Skip to main content

Acuerdo de Protección de Datos de GitHub

Introducción

Las partes concuerdan que este Acuerdo de Protección de Datos ("DPA, por sus siglas en inglés) de GitHub establece sus obligaciones con respecto al procesamiento y la seguridad de los Datos personales y, cuando se declare explícitamente en los Términos del DPA, con respecto a los Datos de Clientes en conexión con los Servicios en Línea que proporciona GitHub, Inc. ("GitHub"). El DPA (incluyendo su Apéndice y Adjuntos) se celebra entre GitHub y cualquier cliente que reciba Servicios en Línea de GitHub, con base en el Acuerdo de Cliente de GitHub ("Cliente") y se incorpora como referencia en el Acuerdo de Cliente de GitHub.

En caso de que se suscite cualquier conflicto o inconsistencia entre los Términos del DPA y cualquier término adicional en el Acuerdo de Cliente de GitHub, el DPA deberá prevalecer. Las disposiciones de los Términos del DPA sustituyen cualquier otra que entre en conflicto con la Declaración de Privacidad de GitHub que, de otra forma, pudiera aplicar al procesamiento de los Datos Personales. Para mayor claridad, las Cláusulas Contractuales Estándar prevalecen sobre cualquier otro término del DPA.

Términos y Actualizaciones aplicables al DPA

Límites de las Actualizaciones

Cuando un cliente renueva o compra una suscripción nueva a un Servicio en Línea, se aplicarán los Términos del DPA vigentes en el momento y no se cambiarán durante el periodo de dicha suscripción nueva para estos Servicios en Línea.

No obstante a los límites anteriores de las actualizaciones, cuando GitHub introduzca características, suplementos o software relacionado que sean nuevos (por ejemplo, que no se incluyeran previamente en la suscripción), GitHub podría proporcionar términos o hacer actualizaciones al DPA que apliquen al uso del Cliente para dichas características, suplementos o software relacionado nuevos. Si estos términos incluyen cualquier cambio material adverso a los Términos del DPA, GitHub proporcionará una opción al cliente para utilizar las características, suplementos o software relacionado nuevos sin la pérdida de la funcionalidad existente de un Servicio en Línea generalmente disponible. En caso de que algún cliente no utilice las características, suplementos o software relacionado nuevos, no se aplicarán los términos nuevos correspondientes.

Requisitos y Regulación Gubernamental

No obstante a los límites anteriores de las actualizaciones, GitHub podrá modificar o terminar el Servicio en Línea en cualquier país o jurisdicción en donde exista un requisito u obligación gubernamental futura que (1) atenga a GitHub a cualquier regulación o requisito que no se aplique generalmente al negocio que allí opere, (2) presente una dificultad para que GitHub siga operando el Servicio en línea sin modificación y, (3) ocasione que GitHub crea que los Términos del DPA o el Servicio en Línea pudiera entrar en conflicto con cualquier requisito o obligación en cuestión.

Avisos electrónicos

GitHub podría proporcionar de forma electrónica al cliente información y avisos sobre los Servicios en Línea, incluyendo por correo electrónico, o mediante un sitio web que identifique GitHub. GitHub proporcionará un aviso de la fecha en la que lo haya hecho disponible.

Versiones Anteriores

Los Términos del DPA proporcionan aquellos de los Servicios en Línea que se encuentren vigentes actualmente. En el caso de las versiones anteriores de los Términos del DPA, el Cliente podrá contactar a su revendedor o Administrador de Cuenta de GitHub.

Definiciones

Los términos capitalizados que se utilizan pero no se definen en este DPA tendrán los medios que se proporcionan en el Acuerdo de Cliente de GitHub. Los términos que se definen a continuación se utilizan en este DPA:

CCPA” se refiere a la Ley de Privacidad de Consumidores de California, de acuerdo con lo que se establece en el Código Civil §1798.100 et seq. y sus regulaciones de implementación.

Datos de Cliente” significa todos los datos, incluyendo todos los archivos de texto, sonido, video o imágenes y software que se le proporcionen a GitHub o en nombre del cliente mediante el uso del Servicio en Línea.

"Requisitos para la Protección de Datos" significa la GDPR, las Leyes de Protección de Datos locales de la EU/EEA y cualquier ley, regulación y requisito adicional aplicable que se relacione con (a) privacidad y seguridad de datos y; (b) el uso, recolección, retención, almacenamiento, seguridad, divulgación, transferencia, eliminación y cualquier otro tipo de procesamiento de los Datos Personales.

Datos de Diagnóstico” significa los datos que GitHub recolecta u obtiene del software que un Cliente instala localmente en conexión con el Servicio en Línea. También se les conoce a los Datos de Diagnóstico como telemetría. Los Datos de Diagnóstico no incluyen Datos de Cliente, Datos Generados por el Servicio ni Datos de Servicios Profesionales.

Términos del DPA” significa tanto los términos de este DPA y cualquier otro específico del Servicio en Línea en el Acuerdo de Cliente de GitHub que complementen o modifiquen específicamente los términos de privacidad y seguridad en el presente DPA para un Servicio en Línea específico (o para una característica de un Servicio en Línea). En caso de suscitarse cualquier conflicto o inconsistencia entre el DPA y dichos términos específicos del Servicio en Línea, estos últimos prevalecerán de acuerdo con el Servicio en Línea aplicable (o con la característica de este).

GDPR” significa la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas naturales con respecto al procesamiento de los datos personales y sobre el movimiento de dichos datos y derogatoria de la Directiva 95/46EC (Reglamento General de Protección de Datos). En conexión con el Reino Unido, "GDPR" significa el Reglamento (UE) 2016/679 de acuerdo a como se transpuso en las leyes nacionales del Reino Unido mediante la Ley del Reino Unido y (su Salida) de la Unión Europea del 2018 y modificada por los Reglamentos de Protección de Datos, Privacidad y Comunicaciones Electrónicas del Reino Unido (Enmiendas, etc.) (Salida de la EU) del 2019 (conforme se modifiquen de vez en cuando).

Leyes de Protección de Datos Locales EU/EEA” significa cualquier legislación y regulación subordinadas que implementen la GDPR.

Los Términos Relacionados de la GDPR” significa aquellos en el Adjunto 3, bajo los cuales, GitHub, contrae compromisos vinculantes con respecto a su procesamiento e Datos Personales de acuerdo con los requisitos del Artículo 28 de la GDPR.

Afiliado de GitHub” significa cualquier entidad que controle directa o indirectamente, se le controle mediante, o esté bajo control común con GitHub.

Acuerdo de Cliente de GitHub” significa el servicio u otro(s) acuerdo(s) que ingrese el Cliente con Github para Obtener Servicios en Línea.

Declaración de Privacidad de GitHub” significa la declaración de privacidad de GitHub que se encuentra en https://docs.github.com/en/github/site-policy/github-privacy-statement.

Servicio en Línea” significa cualquier servicio o software que proporcione GitHub a un Cliente bajo el Acuerdo de Cliente de GitHub, al cual acuerde el Cliente, incluyendo las Vistas previas, actualizaciones, parches, correcciones de errores y soporte técnico.

Datos Personales” significa cualquier información que se relacione con una persona natural identificable o identificada. Una persona natural identificable es aquella que puede identificarse directa o indirectamente en partícula mediante una referencia a un identificador tal como un nombre, número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos para identidad física, fisiológica, genética, mental, económica, cultural o social de esta.

Vista Previa” significa los Servicios en Línea que se proporcionan para propósitos de vista previa, evaluación, demostración o pruebas o versiones de pre-lanzamiento de los Servicios en Línea.

Datos de Servicios Profesionales” significa todo los datos, incluyendo archivos de texto, sonido, video, imagen o software que se proporcionen a GitHub mediante o en nombre de un Cliente (o que los Clientes autoricen a GitHub para obtener de un Servicio en Línea) o, de otro modo, que se obtengan o procesen mediante o en nombre de GitHub a través de un compromiso con GitHub para obtener Servicios Profesionales. Los Datos de Servicios Profesionales incluyen a los Datos de Soporte.

Datos Generados de los Servicios” significa los datos que se generan o derivan de GitHub mediante la operación de un Servicio en Línea. Los Datos Generados de los Servicios no incluyen a los Datos de Cliente, de Diagnóstico o de Servicios Profesionales.

Cláusulas Contractuales Estándar” significa cualquiera de los siguientes conjuntos de Cláusulas Contractuales Estándar, de acuerdo con lo aplicable en el caso individual de la transferencia de datos personales de acuerdo con la sección de este DPA llamada "Transferencias de Datos y Ubicación" a continuación:

  • las Cláusulas Contractuales Estándar (MÓDULO DOS: Transferencia de controlador a procesador), con fecha del 4 de junio de 2021, para la transferencia de datos personales de países terceros de conformidad con el Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo, de acuerdo a como se describe en el artículo 46 de la GDPR y aprobado por la Decisión Implementada de la Comisión Europea (EU) 2021/91 ("Cláusulas Contractuales Estándar (EU/EEA)"). Se exponen las Cláusulas Contractuales Estándar (EU/EEA) en el Adjunto 1.
  • las Cláusulas Contractuales Estándar (Procesadores), con fecha del 5 de febrero de 2010, para la transferencia de datos personales a los procesadores establecidos en países terceros, los cuales no garantizan un nivel adecuado de protección de datos, de acuerdo con lo descrito en el Artículo 46 de la GDPR, aprobado por la Decisión de la Comisión Europea 2010/87/EU y reconocido por las autoridades supervisoras o regulatorias del Reino Unido apara uso en conexión con la transferencia de datos desde el Reino Unido ("Cláusulas Contractuales Estándar (UK)"). Se exponen las Cláusulas Contractuales Estándar (UK) en el Adjunto 2.

Subprocesador” significa cualquier otro procesador que utiliza GitHub para procesar los Datos Personales en nombre de un Cliente en conexión con los Servicios en Línea, de acuerdo con lo descrito en el Artículo 28 de la GDPR.

Datos de Soporte” significa todos los datos, incluyendo los archivos de texto, sonido, video, imagen o software que se proporcionan a GitHub mediante o en nombre de un Cliente (o que este Cliente autoriza a GitHub para obtener de un Servicio en Línea) mediante un acuerdo con GitHub para obtener soporte técnico para los Servicios en Línea que se cubren en este acuerdo. Los Datos de Soporte son un subconjunto de Datos de Servicios Profesionales.

Los términos en minúsculas que se utilizan pero no se definen en este DPA, tales como "violación de datos personales", "procesamiento", "controlador", "procesador, "perfilamiento", "datos personales" y "sujeto de datos" tendrán el mismo significado de acuerdo con lo expuesto en el Artículo 4 de la GDPR, independientemente de si la GDRP es aplicable o no. Los términos "importador de datos" y "exportador de datos" tienen los significados que se otorgan en las Cláusulas Contractuales Estándar.

Para obtener más claridad y, de acuerdo con lo antes descrito, los datos que se definen como Datos de Clientes, Datos de Diagnóstico, Datos Generados de Servicio, y Datos de Servicios Profesionales, podrían contener Datos Personales. Para fines ilustrativos, por favor, consulta la siguiente tabla:

personal_data_types

La anterior es una representación visual de los tipos de datos que se definen en la DPA. Todos los datos personales se procesan como parte de los toros tipos de datos (de los cuales, todos incluyen a los datos no personales también). Los Datos de Soporte son un subconjunto de Datos de Servicios Profesionales. Excepto en donde se declare explícitamente de otra forma, los Términos del DPA aplican exclusivamente a los Datos Personales.

Términos Generales

Cumplimiento con las Leyes

GitHub cumplirá con todas las leyes y regulaciones aplicables a su prestación de Servicios en Línea, incluyendo la ley de notificación de violaciones de seguridad y Requisitos de Protección de Datos. Sin embargo, GitHub no es responsable del cumplimiento de ninguna ley o regulación aplicable al Cliente o a la industria de este, las cuales no sean aplicables generalmente a los proveedores de servicios de tecnologías de la información. GitHub no determina si los Datos del Cliente incluyen información sujeta a cualquier ley o regulación específicas. Todos los incidentes de seguridad están sujetos a los siguientes términos de Notificación de Incidentes de Seguridad.

Los Clientes deben cumplir con todas las leyes y regulaciones aplicables a su uso de los Servicios en Línea, incluyendo las leyes que se relacionan con los datos biométricos, la confidencialidad de las comunicaciones y los Requisitos de Protección de Datos. El Cliente es responsable de determinar si los Servicios en Línea son adecuados para el almacenamiento y procesamiento de la información sujeta a cualquier regulación o ley y para utilizar los Servicios en Línea de forma consistente con las obligaciones regulatorias y legales del Cliente. El Cliente es responsable de responder a cualquier solicitud de un tercero con respecto al uso del Servicio en Línea por parte del mismo, tal como la solicitud de retirar el contenido que se considera en la Ley de Derechos de Autor para Medios Digitales u otras leyes aplicables.

Protección de datos

Los términos de la DPA en esta sección incluyen las siguientes subsecciones:

  • Alcance
  • Naturaleza del Procesamiento de Datos; Propiedad
  • Divulgación de los Datos Procesados
  • Procesamiento de los Datos Personales; GDPR
  • Seguridad de Datos
  • Notificación de Incidentes de Seguridad
  • Transferencia de Datos y Ubicación
  • Retención y Borrado de Datos
  • Compromiso de Confidencialidad del Procesador
  • Aviso y Controles de Uso de Subprocesadores
  • Instituciones Educativas
  • Acuerdo de Cliente de CJIS, Asociado de Negocios HIPAA, Datos Biométricos
  • Ley de Privacidad de Consumidores de California (CCPA)
  • Cómo Contactar a GitHub
  • Apéndice A – Medidas de Seguridad

Ámbito

Los términos del DPA aplican a todos los Servicios en Línea.

Las vistas previas podrían emplear medidas de seguridad y privacidad menores o diferentes que aquellos tipos que se presentan habitualmente en los Servicios en Línea. A menos de que se indique lo contrario, el Cliente no deberá utilizar las Vistas Previas para procesar Datos Personales u otros que estén sujetos a requisitos de cumplimiento regulatorio o legal. Los siguientes términos en el presente DPA no aplican a las Vistas Previas: Procesamiento de Datos Personales; GDPR, Seguridad de Datos y Ley de Privacidad del Consumidor de California.

Naturaleza del Procesamiento de Datos; Propiedad

A menos de que se indique lo contrario en los Términos del DPA, GitHub utilizará y, de otra forma, procesará los Datos de Cliente y Datos Personales de acuerdo con lo descrito y sujeto a las limitaciones que se proporcionan a continuación (a) para proporcionar el Servicio en Línea al Cliente de acuerdo con las instrucciones que este mismo documentó y (b) para las operaciones de negocios legítimos de GitHub inherentes a la entrega de los Servicios en Línea al Cliente. Como entre las partes, el Cliente retendrá todos los derechos, títulos e intereses y Datos de Cliente. GitHub no adquiere derechos sobre los Datos de Cliente aparte de los que el mismo Cliente le otorgue en esta sección. Este párrafo no afecta los derechos de GitHub sobre el software o los servicios sobre los cuales GitHub otorga licencias al Cliente.

Procesamiento para proporcionar los Servicios en Línea al Cliente

Para fines de este DPA, "proporcionar" un Servicio en Línea, consiste en:

  • Entregar capacidades funcionales de acuerdo con como el Cliente y sus usuarios cuentan con licencia, los configuran y usan, incluyendo las experiencias personalizadas para los usuarios;
  • Solucionar problemas (por ejemplo, prevenir, detectar y reparar problemas) y;
  • Mejora continua (por ejemplo, instalar las actualizaciones más recientes y hacer mejoras a la productividad de los usuarios, confiabilidad, eficacia y seguridad).

Cuando se proporcionan Servicios en Línea, GitHub utilizará o procesará de cualquier otra forma los Datos personales únicamente en nombre del Cliente y de acuerdo con las instrucciones documentadas de este.

Procesamiento para las Operaciones de Negocio Legítimas de GitHub

Para propósitos de este DPA, las "operaciones de negocio legítimas de GitHub" consisten de lo siguiente, cada una como un incidente de entrega de los Servicios en Línea al Cliente: (1) administración de cuenta y facturación; (2) compensación (por ejemplo, calcular las comisiones de empleados e incentivos de los socios); (3) reportes internos y modelados de negocio (por ejemplo, proyecciones, ganancias, planeación de capacidad, estrategia de producto); (4) combatir el fraude, abuso, cibercrimen o ciberataques que pudieran afectar a GitHub o a los Servicios en Línea; (5) mejorar las funcionalidades de accesibilidad, privacidad o eficiencia energética; (6) reportes financieros y cumplimiento con las obligaciones legales (sujetas a las limitaciones de divulgación de Datos Personales que se describen más adelante); (7) la creación o administración de cuentas de usuarios finales y perfiles por parte de GitHub para los usuarios individuales del Cliente (excepto cuando el Cliente cree, administre o controle de otra forma dichas cuentas de usuario final o perfiles por sí mismo) y; (8) otros propósitos que se relacionen con los Datos Personales que no proporcione el Cliente para su almacenamiento en los repositorios de GitHub o en conexión con los Servicios Profesionales.

Cuando se realicen procesamientos para las operaciones de negocios legítimas de GitHub, GitHub no utilizará o procesará los Datos Personales de ninguna otra forma más que para: (a) crear perfiles de usuario, (b) anunciar o realizar propósitos comerciales similares, (c) vender datos o hacer corretaje de estos o (d) cualquier otro propósito diferente de aquellos que se describen en esta sección.

Divulgación de los Datos Procesados

GitHub no divulgará o proporcionará acceso a ningún Dato Procesado, excepto: (1) de acuerdo con como el Cliente lo indique; (2) de acuerdo con lo descrito en este DPA; o (3) de acuerdo con los requisitos legales. Para propósitos de esta sección, "Datos Procesados" significa: (a) Datos de Cliente; (b) Datos Personales y (c) cualquier otros datos que procese GitHub en conexión con el Ser vicio en Línea que utilice la información confidencial del Cliente bajo el Acuerdo de Cliente de GitHub. Todo el procesamiento de Datos Procesados está sujeto a la obligación de GitHub sobre la confidencialidad bajo el Acuerdo de Cliente de GitHub.

GitHub no divulgará ni proporcionará acceso de ningún Dato Procesado a las fuerzas policiales a menos de que la ley así lo requiera. Si las fuerzas policiales contactan a GitHub con una demanda de Datos Procesados, GitHub intentará redireccionar a dicha agencia para que solicite los datos directamente del Cliente. En caso de que se le obligue a divulgar o proporcionar acceso a cualquier tipo de Datos Procesados a la fuerza policial, GitHub notificará de inmediato al Cliente y proporcionará una copia de dicha demanda, a menos de que se le prohíba hacerlo explícitamente.

En el momento de que se reciba cualquier otra solicitud de terceros para obtener Datos Procesados, GitHub notificará de inmediato al Cliente a menos de que la ley lo prohiba. GitHub rechazará la solicitud a menos de que la ley exija su cumplimiento. Si la solicitud es válida, GitHub intentará redireccionar al tercero para que solicite los datos directamente del Cliente.

GitHub no proporcionará a ningún tercero: (a) acceso directo, indirecto, abierto o sin restricción a los Datos Procesados; (b) llaves de cifrado de plataforma que se utilicen para asegurar los Datos Procesados o la capacidad de librar dicho cifrado o (c) acceso a los Datos Procesados si GitHub está consciente que estos se utilizarán para propósitos diferentes a aquellos enunciados en la solicitud del tercero.

Para apoyar lo anterior, GitHub podría proporcionar información de contacto básica del Cliente al tercero.

Procesamiento de los Datos Personales; GDPR

Cualquier Dato Personal que procese GitHub en conexión con los Servicios en Línea se obtendrá como parte ya sea de los Datos de Cliente, Datos de Servicios Profesionales (incluyendo los Datos de Soporte) Datos de Diagnóstico o Datos Generados por los Servicios. Los Datos Personales que se proporcionan a GitHub mediante o en nombre del Cliente, mediante el uso del Servicio en Línea, también se consideran Datos de Cliente. Los identificadores de pseudónimo podrían incluirse en los Datos de Diagnóstico o Datos Generados por los Servicios y también se consideran Datos Personales. Cualquier Dato Personal en forma de pseudónimo o desidentificado pero no anonimizado o Dato Personal que se derive de los Datos Personales también se considera un Dato Personal.

En medida en que GitHub sea un procesador o subprocesador de los Datos Personales sujetos a la GDRP, los Términos Relacionados con la GDPR en el Adjunto 3 regirán el procesamiento y las partes también concuerdan con los siguientes términos de esta sub-sección ("Procesamiento de Datos Personales; GDPR"):

Roles y Responsabilidades del Procesador y Controlador

El Cliente y GitHub concuerdan que el Cliente es el controlador de los Datos Personales y GitHub es el procesador de estos, excepto (a) cuando el Cliente actúe como procesador de los Datos Personales, en cuyo caso, GitHub será un subprocesador o (b) de acuerdo a como se enuncie de otro modo en el Acuerdo de Cliente de GitHub o en este DPA. Cuando GitHub actúe como el procesador o subprocesador de los Datos Personales, los procesará únicamente en nombre y de acuerdo con lo documentado en las instrucciones del Cliente. El Cliente concuerda que este Acuerdo de Cliente de GitHub (incluyendo los Términos del DPA y cualquier actualización aplicable), en conjunto con la documentación del producto y el uso del Cliente y la configuración de características en los Servicios en Línea, son las instrucciones completamente documentadas del Cliente hacia GitHub para el procesamiento de los Datos Personales. Se puede encontrar la información sobre el uso y configuración de los Servicios en Línea en https://docs.github.com o en una ubicación posterior. Deberá acordarse cualquier instrucción adicional o alterna conforme al proceso para modificar el Acuerdo de Cliente de GitHub del Cliente. En cualquier instancia en donde aplique la GDPR y el Cliente sea un procesador, el Cliente garantiza a GitHub que el controlador relevante autorizó las instrucciones otorgadas, incluyendo la designación de GitHub como un procesador o subprocesador.

En medida en que GitHub utilice o procese de otra forma los Datos Personales sujetos a la GDPR para las operaciones de negocio legítimas de GitHub inherentes a la entrega de los Servicios en Línea al Cliente, GitHub cumplirá con las obligaciones de un controlador de datos independientes bajo la GDPR para dicho uso. GitHub acepta las responsabilidades añadidas de un "controlador" de datos bajo la GDPR para el procesamiento en conexión con sus operaciones legítimas de negocios para: (a) actuar en consistencia con los requisitos regulatorios, en la medida que lo requiera la GDPR y (b) proporcionar la transparencia incrementada para los Clientes y confirmar la responsabilidad de GitHub para dicho procesamiento. GitHub emplea salvaguardas para proteger los Datos Personales durante su procesamiento, incluyendo a aquellos que se identifican en este DPA y aquellos que se contemplan en el el Artículo 6(4) de la GDPR. Con respecto al procesamiento de Datos Personales bajo este párrafo, GitHub hace los compromisos descritos en las Cláusulas Contractuales Estándar que se muestran en el Adjunto 1 o el Adjunto 2 (conforme sea aplicable); para dichos propósitos, (i) cualquier divulgación de Datos Personales por parte de GitHub, de acuerdo con lo descrito en el Anexo III al Adjunto 1 o Apéndice 3 al Adjunto 2 (conforme aplique), que se haya transferido en conexión con las operaciones de negocios legítimas de GitHub se considera una "Divulgación Relevante" y (ii) los compromisos en el Anexo III al Adjunto 1 o del Apéndice 3 al Adjunto 2 (según el caso) aplicarán a dichos Datos Personales.

Procesar Detalles

Las partes reconocen y concuerdan en que:

  • Objeto del contrato. El objeto del contrato de procesamiento se limita a los Datos Personales con el alcance de la sección de este DPA denominado "Naturaleza del Procesamiento de los Datos; Propiedad", el cual se encuentra anteriormente, y la GDPR.
  • Duración del procesamiento. La duración del procesamiento tomará lugar de acuerdo con las instrucciones del Cliente y de los términos del DPA.
  • Naturaleza y propósito del procesamiento. La naturaleza y propósito del procesamiento será el proporcionar el Servicio en Línea conforme al Acuerdo de Cliente de GitHub del Cliente y para las operaciones de negocios legítimas de GitHub inherentes a la entrega del Servicio en Línea al Cliente (de acuerdo con lo descrito en la sección de este DPA que se titula "Naturaleza del Procesamiento de Datos; Propiedad", que se encuentra anteriormente).
  • Categorías de los Datos. Los tipos de Datos Personales que procesa GitHub al proporcionar el Servicio en Línea incluyen: (i) Datos Personales que elige el Cliente para incluir en los Datos del Cliente o Datos de Servicios Profesionales (incluyendo, mas no limitándose a los Datos de Soporte) y (ii) aquellos que se identifican explícitamente en el Artículo 4 de la GDPR y que podrían contenerse en los Datos Diagnósticos o Datos Generados por los Servicios. Los tipos de Datos Personales que el Cliente elige incluir en los Datos de Cliente o Datos de Servicios Profesionales (incluyendo, mas no limitándose a los Datos de Soporte) podrían ser de cualquier categoría de Datos Personales identificada en los registros que mantiene el Cliente actuando como controlador conforme al Artículo 30 de la GDPR, incluyendo las categorías de Datos Personales que se describen en el Anexo I al Adjunto 1 o en el Apéndice 1 al Adjunto 2 (conforme sea aplicable).
  • Titulares de los datos. Las categorías de titulares de los datos son representantes del Cliente y usuarios finales, tales como empleados, contratistas, colaboradores y clientes y podrían incluir cualquier otra categoría de titulares de los datos de acuerdo con lo identificado en los registros que mantiene el cliente, actuando como un controlador de conformidad con el Artículo 30 de la GDPR, incluyendo las categorías de titulares de datos que se describen en el Anexo 1 al Adjunto 1 o al Apéndice 1 al Adjunto 2 (conforme sea aplicable).

Derechos de los Titulares de los Datos; Asistencia con las Solicitudes

GitHub pondrá a disposición del Cliente, de forma consistente con la funcionalidad del Servicio en Línea y del rol de GitHub como procesador de Datos Personales de los titulares de estos, la capacidad de cumplir con las solicitudes de los titulares de datos para ejecutar sus derechos bajo la GDPR. Si GitHub recibe un formato de solicitud del titular de los datos del Cliente para ejecutar uno más de sus derechos bajo la GDPR en conexión con un Servicio en Línea por el cual GitHub es un procesador o subprocesador, GitHub redireccionará al titular de los datos para que haga su solicitud directamente con el Cliente. El cliente será responsable de responder a cualquier solicitud de este tipo, incluyendo, cuando sea necesario, utilizando la funcionalidad del Servicio en Línea. Github deberá cumplir con las soclitudes razonables que haga el Cliente para asistir la respuesta del mismo a dichas solicitudes de un sujeto de datos.

Registros de Actividades de Procesamiento

En medida en que la GPR requiera que GitHub recolecte y mantenga los registros de alguna información relacionada con el Cliente, este proporcionará dicha información a GitHub, cuando se le solicite, y la mantendrá actualizada y correcta. GitHub podría poner dicha información a disposición de la autoridad supervisora en caso de que la GDPR así lo requiera.

Seguridad de Datos

GitHub implementará y mantendrá las medidas organizacionales y técnicas adecuadas y las salvaguardas de seguridad contra la destrucción accidental o ilegal, o contra la pérdida, alteración o divulgación o acceso no autorizados a los Datos de Cliente y Datos Personales que procese en nombre y de conformidad con las instrucciones documentadas del Cliente en conexión con los Servicios en Línea. GitHub monitoreará frecuentemente el cumplimiento de estas medidas y salvaguardas y seguirá tomando los pasos adecuados a lo largo del periodo en el que el Acuerdo de Cliente de GitHub sea vigente. El Apéndice A – Salvaguardas de Seguridad contiene una descripción de las medidas técnicas y organizacionales y de las salvaguardas de seguridad que implementa GitHub.

El Cliente es el único responsable de hacer una determinación independiente de si las medidas técnicas y organizacionales y las salvaguardas de seguridad para un Servicio en Línea cumplen con los requisitos del Cliente, incluyendo todas sus obligaciones de seguridad bajo los Requisitos de Protección de Datos aplicables. El cliente reconoce y concuerda que (tomando en cuenta las tecnologías más recientes, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento de sus Datos de Cliente y Datos Personales, así como el riesgo de posibilidad y gravedad variable de los derechos y libertades de las personas naturales) las medidas técnicas y organizacionales y salvaguardas de seguridad que implementa y mantiene GitHub, proporcionan un nivel de seguridad adecuado al riesgo con respecto a sus Datos Personales y Datos de Cliente. El Cliente es responsable de implementar y mantener las protecciones de privacidad y medidas de seguridad para los componentes que este proporcione o controle.

GitHub proporcionará un reporte de cumplimiento de seguridad tal como los reporte de auditoría externa SOC1, tipo 2 y SOC2, tipo 2, bajo solicitud del Cliente. El Cliente concuerda que cualquier derecho de información y auditoría que otorguen los Requisitos de Protección de Datos aplicables (incluyendo, en dado caso, el Artículo 28(3)(h) de la GDPR) se satisfarán mediante estos reportes de auditoría y, de otro modo, solo se presentarán en la medida en que el aprovisionamiento de GitHub para un reporte de cumplimiento no proporcione información suficiente o en medida en que el Cliente deba responder a una auditoría o investigación de una autoridad supervisora o regulatoria.

En caso de que el Cliente esté sujeto a una auditoría de una autoridad supervisora o regulatoria o a una investigación o que lleve a cabo una auditoría o investigación como respuesta a una solicitud de una autoridad supervisora o regulatoria que requiera la participación de GitHub y las obligaciones del Cliente no puedan satisfacerse de forma razonable (cuando sea permisible por parte de los reguladores del Cliente) mediante reportes de auditoría, documentación o información de cumplimiento que GitHub mantenga disponible generalmente a sus clientes, entonces, GitHub responderá inmediatamente a las instrucciones y solicitudes adicionales del Cliente con respecto a la información, de acuerdo con los siguientes términos y condiciones:

  • GitHub proporcionará acceso al personal con conocimientos relevantes, documentación y software de aplicaciones.
  • El Cliente y GitHub acordarán mutuamente con un acuerdo escrito previamente (se acepta también el formato de correo electrónico) sobre los requisitos del alcance, tiempos, duración, control y evidencia, en caso de que dicho requisito para estar de acuerdo no permita que GitHub retrase su cooperación de forma razonable.
  • El Cliente debe garantizar el uso de su regulador sobre una firma de auditoría de terceros independiente y acreditada durante horas hábiles habituales y con un aviso por escrito razonablemente anticipado y sujeto a los procedimientos de confidencialidad razonables. Ni el Cliente, ni sus reguladores, ni los delegados de sus reguladores deberán tener acceso a cualquier tipo de datos de otros clientes, sistemas o instalaciones de GitHub que no se involucren en los Servicios en Línea.
  • El Cliente es responsable de todos los costos y comisiones que se relacionen con la cooperación de GitHub con las auditorías regulatorias del Cliente, incluyendo todos los costos y comisiones razonables por cualquier y todos los gastos de GitHub, adicionalmente a las tasas por los servicios que lleva a cabo GitHub.
  • Si el reporte que se genere de la cooperación de GitHub con la auditoría regulatoria del Cliente involucra cualquier hallazgo que pertenezca a GitHub, el Cliente compartirá dicho reporte, hallazgos y acciones recomendadas con GitHub cuando los reguladores del Cliente así lo permitan.

Notificación de Incidentes de Seguridad

Si GitHub se hace consciente de alguna violación de seguridad que llevase a una destrucción, pérdida, alteración, divulgación o acceso no autorizados e ilegales de los Datos de Cliente o de los Datos Personales que procesa GitHub en nombre de y de acuerdo con las instrucciones documentadas del Cliente en conexión con los Servicios en Línea (cada uno de ellos un "Incidente de Seguridad"), GitHub realizará inmediatamente y sin retraso indebido (1) la notificación al cliente sobre el Incidente de Seguridad; (2) la investigación del Incidente de Seguridad y otorgamiento al Cliente de la información detallada sobre dicho Incidente de Seguridad; (3) el tomar los pasos razonables para mitigar los efectos y minimizar cualquier daño que resultara de dicho Incidente de Seguridad.

Las notificación(es) de incidentes de seguridad se entregarán a uno o más de los administradores del cliente por cualquier medio que seleccione GitHub, incluyendo el correo electrónico. Es la responsabilidad única del cliente el asegurar que mantiene información de contacto actualizada con GitHub y que su administrador monitoree y responda a cualquier notificación. El Cliente es el único responsable de cumplir con sus obligaciones según las leyes de notificación de incidentes aplicables al Cliente y de cumplir con las obligaciones de notificación de terceros relacionadas con cualquier Incidente de seguridad.

GitHub hará esfuerzos razonables para asistir al Cliente en el cumplimiento de sus obligaciones bajo el Artículo 33 de la GDPR o cualquier otra ley o regulación aplicable para notificar a la autoridad supervisora o regulatoria y a los titulares de los datos individuales sobre cualquier incidente de Seguridad.

La notificación o respuesta a un Incidente de Seguridad por parte de GitHub bajo esta sección no es un reconocimiento de GitHub sobre cualquier falta o responsabilidad con respecto al mismo.

El Cliente debe notificar a GitHub inmediatamente sobre cualquier posible mal uso de sus cuentas o credenciales de autenticación o Incidentes de Seguridad que se relacionen con el Servicio en Línea.

Transferencia de Datos y Ubicación

Los Datos Personales que procese GitHub en nombre de y de acuerdo con las instrucciones documentadas del Cliente en conexión con los Servicios en Línea no deberán transferirse a, o almacenarse y procesarse en una ubicación geográfica, con excepción de aquellas que se apeguen a los Términos del DPA y a las salvaguardas que se proporcionan más adelante en esta sección. Tomando en cuenta dichas salvaguardas, el Cliente designará a GitHub para transferir Datos Personales a los Estados Unidos o a cualquier otro país en el que GitHub o sus Subprocesadores operen y almacenen y procesen Datos Personales para proporcionar los Servicios en Línea, con excepción de lo que se describa en cualquier otra parte de los Términos del DPA.

Todas las transferencias de Datos Personales fuera de la Unión europea, del Área Económica Europea o de Suiza para proporcionar los Servicios en Línea deberán regirse por las Cláusulas Contractuales Estándar (EU/EEA) en el Adjunto 1. Todas las transferencias de Datos Personales fuera del Reino Unido para proporcionar los Servicios en Línea deberán regirse por las Cláusulas Contractuales Estándar (UK) en el Adjunto 2. Para propósitos de las Cláusulas Contractuales Estándar (UK) en el Adjunto 2, las referencias a "La Unión Europea", "UE", "El Área Económica Europea", "AEE" o un "Estado Miembro", deberán interpretarse para referirse al Reino Unido donde sea razonablemente necesario y adecuado para dar fuerza y efecto totales a las Cláusulas Contractuales Estándar (UK) con respecto a las transferencias de Datos Personales desde el Reino Unido. Esto aplica sin importar el hecho de que, desde el 31 de enero de 2020, el Reino Unido ya no es un Estado Miembro de la Unión Europea o del Área Económica Europea.

GitHub cumplirá los requisitos de las leyes de protección de datos aplicables de la Unión Europea, el Área Económica Europea, el Reino Unido y Suiza y el resto de los Requisitos de Protección de Datos, en cada caso, que tengan que ver con la transferencia de Datos Personales a los receptores o a las jurisdicciones fuera de estas. Todas estas transferencias de Datos Personales estarán, cuando sea aplicable, sujetas a las salvaguardas adecuadas de acuerdo con lo descrito en el Artículo 46 de la GDPR y dichas transferencias y salvaguardas se documentarán de acuerdo con el Artículo 30(2) de la GDPR.

Sujeto a las salvaguardas que se describen anteriormente, GitHub podría transferir, almacenar y procesar de cualquier otra forma los Datos Personales hacia o en las jurisdicciones y ubicaciones geográficas internacionales como lo considere, sujeto a su propio criterio, razonablemente necesario en conexión con los Servicios en Línea.

Retención y Borrado de Datos

Bajo la solicitud razonable del Cliente, a menos de que lo prohíba la ley, GitHub devolverá o destruirá todos los Datos de Cliente y Datos Personales que procese en nombre y de acuerdo con las instrucciones documentadas del dicho Cliente en conexión con los Servicios en Línea en todas las ubicaciones donde se almacene en los primeros 30 días desde la solicitud, suponiendo que ya no se requiera para proporcionar los Servicios en Línea o para los propósitos por los cuales se autorizó el procesamiento de dichos Datos Personales. GitHub podría retener los Datos del Cliente o los Datos Personales conforme lo requiera de acuerdo con los Requisitos de Protección de Datos u otras leyes aplicables y únicamente en la medida y por el periodo en que dichos Requisitos de Protección de datos u otras leyes aplicables así lo requieran, asumiendo que GitHub se asegure de que los Datos Personales o Datos del Cliente se procesen únicamente de acuerdo con las necesidades del propósito especificado en los Requisitos de Protección de Datos u otras leyes aplicables y no para cualquier otro propósito y que dichos Datos Personales o Datos del Cliente permanezcan bajo la protección de los Requisitos de Protección de Datos u otras leyes aplicables.

Compromiso de Confidencialidad del Procesador

GitHub garantizará que su personal que participa en el procesamiento de Datos de Cliente o Personales en nombre del Cliente y en conexión con los Servicios en Línea (i) procesará dichos datos únicamente bajo las instrucciones del cliente o de acuerdo con lo que se describe en este DPA y (ii) se verá obligado a mantener la confidencialidad y seguridad de dichos datos, incluso si la relación termina. GitHub deberá proporcionar capacitación frecuente y obligatoria sobre concientización, seguridad y privacidad de los datos a sus empleados con acceso a los Datos Personales o del Cliente, de acuerdo con los Requisitos de Protección de Datos u otras leyes aplicables y con los estándares de la industria.

Aviso y Controles de Uso de Subprocesadores

GitHub podría contratar subprocesadores para proporcionar algunos servicios limitados o auxiliares en su nombre. El cliente otorga el consentimiento a esta participación y a los Afiliados de GitHub, tales como los subprocesadores. Las autorizaciones antes mencionadas constituirán el consentimiento por escrito previo del cliente para que GitHub subcontrate el procesamiento de los Datos Personales en caso de que este se requiera bajo la ley aplicable, las Cláusulas Contractuales Estándar o los Términos Relacionados con la GDPR.

GitHub es responsable del cumplimiento de sus subprocesadores para con las obligaciones de GitHub que se contienen en el presente DPA. GitHub hace disponible la información relacionada con los subprocesadores en su sitio web https://github.com/subprocessors (o en una ubicación subsecuente). Cuando GitHub haga partícipe a cualquier subprocesador, se asegurará mediante un contrato por escrito de que dicho subprocesador pueda acceder a los Datos del Cliente o Datos Personales únicamente para entregar los servicios para los cuales GitHub los haya contratado para prestar y se les prohibirá utilizar los Datos de Cliente o Datos Personales para cualquier otro propósito. GitHub se asegurará de que los subprocesadores se rijan mediante acuerdos por escrito que los obliguen a proporcionar por lo menos el nivel de protección de datos que GitHub requiere mediante este DPA, incluyendo las limitaciones de divulgación de Datos Personales. GitHub acuerda supervisar a los subprocesadores para garantizar que estas obligaciones contractuales se cumplan.

De vez en cuando, GitHub podría involucrar subprocesadores nuevos. GitHub dará aviso al Cliente (actualizando el sitio web en https://github.com/github-subprocessors-list (o en alguna ubicación subsecuente) y proporcionándole al Cliente los mecanismos para obtener las notificaciones de dicha actualización) sobre cualquier subprocesador nuevo antes de proporcionar a dicho subprocesador el acceso a los Datos del Cliente. Si GitHub involucra a un subprocesador nuevo para un Servicio en Línea nuevo, GitHub notificará al Cliente antes de que dicho Servicio en Línea esté disponible.

Si algún Cliente no aprueba el subprocesador nuevo, entonces dicho Cliente podría terminar cualquier suscripción al Servicio en Línea afectado sin tener penalización alguna en caso de que proporcione, antes de la finalización del periodo de notificación relevante, una notificación por escrito de dicha terminación. El Cliente también podrá incluir una explicación de las bases para este desapruebo en conjunto con la notificación de terminación para permitir que GitHub reevalúe a cualquier subprocesador en cuestión de acuerdo con sus preocupaciones aplicables. Si el Servicio en Línea afectado es parte de una suite (o de la compra de servicios individuales similar), entonces cualquier terminación aplicará a la suite completa. Después de la terminación, GitHub eliminará las obligaciones de pago para cualquier suscripción para el Servicio en Línea terminado para que no existan facturas subsecuentes para el Cliente o su revendedor.

Instituciones Educativas

Un Cliente es una agencia educativa o instituto sujeto a las regulaciones bajo la Ley de Privacidad y Derechos Educativos de la Familia, 20 U.S.C. § 1232g (FERPA), o a las leyes de privacidad educativa o estudiantil estatales similares (en conjunto, las "Leyes de Privacidad Educativa"), el Cliente no deberá proporcionar Datos Personales de acuerdo con dichas Leyes de Privacidad Educativa a GitHub sin haber obtenido el consentimiento específico y por escrito de GitHub previamente y haber ingresado en un acuerdo por separado en donde GitHub rija los derechos y obligaciones de las partes con respecto al procesamiento de dichos Datos Personales por parte de GitHub en conexión con los Servicios en Línea.

Sujeto a lo anterior, si el Cliente necesita proporcionar a GitHub los Datos Personales que se contemplan en la FERPA, las partes concuerdan y reconocen que, para propósitos de este DPA, GitHub es un "directivo escolar" con "intereses educativos legítimos" en los Datos Personales, ya que estos términos se definieron bajo la FERPA y sus regulaciones de implementación. El Cliente entiende que GitHub podría poseer información de contacto limitada o nula sobre los padres de los alumnos y los alumnos mismos. Como consecuencia, el Cliente será responsable de obtener cualquier consentimiento de los padres del alumno para cualquier tipo de uso que tendrá el usuario final sobre los Servicios en Línea, el cual pudiera requerir la ley aplicable y de convenir las notificaciones en nombre de GitHub a los alumnos (o, con respecto a los alumnos menores de 18 años de edad que no asisten a una institución post-secundaria, al padre del alumno) sobre cualquier orden judicial o citación emitida legalmente, la cual requiera la divulgación de los Datos Personales en posesión de GitHub conforme pueda requerirse bajo la ley aplicable.

Acuerdo de Cliente de CJIS, Asociado de Negocios HIPAA, Datos Biométricos

El cliente no deberá proporcionar a GitHub ningún tipo de Datos Personales, a menos de que cuente con el consentimiento previo, específico y por escrito de GitHub

  • con relación a las condenas y ofensas o a los Datos Personales recolectados de cualquier otra forma y procesados por el Cliente sujetos o en conexión con los Servicios de Información de Justicia Penal del FBI o de la Política de Seguridad relacionada.
  • constituir información protegida sobre la salud que se rija por las reglas de notificación de violación, seguridad y privacidad que emite el Departamento de Salud y Servicios Humanos de los Estados Unidos en las partes 160 y 164 del título 45 del Código Federal de Regulaciones, las cuales se establecen de conformidad con la Ley de Portabilidad y Responsabilidad de los Seguros de Salud de 1996 (Ley Pública 104-191) o mediante las leyes de privacidad médica o de salud del estado.
  • recolectada como parte de ensayos clínicos u otros estudios de investigación biomédica sujetos a o conducidos de acuerdo con la Política Federal para la Protección de Sujetos Humanos (Regal Común).
  • cubierta por las leyes de privacidad biométrica extranjeras, federales o estatales o de otra manera, que constituya información biométrica que incluya información sobre las características conductivas, biológicas, psicológicas o físicas de un individuo o cualquier información derivada de esto, la cual se utilice o pretenda utilizarse, individual o colectivamente con cada parte de la información o con otro tipo de información diferente, para establecer la identidad individual.

Ley de Privacidad de Consumidores de California (CCPA) / Ley de Derechos de Privacidad de California (CPRA)

Si y en la medida en la que GitHub esté procesando Datos Personales en nombre de y de acuerdo con las instrucciones documentadas del Cliente dentro del alcance de la CCPA, GitHub hace los siguientes compromisos adicionales con el Cliente. GitHub procesará los Datos Personales en nombre del Cliente y no

  • venderá los Datos personales de acuerdo con la definición del término "vender" en la CCPA. - compartirá, rentará, liberará, divulgará, diseminará, pondrá a disposición, transferirá o comunicará de otra manera en forma oral, escrita o electrónica o por otros medios la Información Personal a un tercero para hacer publicidad conductual entre contextos, ya sea por una remuneración monetaria o con otra consideración de valor, incluyendo las transacciones para los anuncios conductuales entre contextos en donde no se intercambie dinero.
  • retendrá, utilizará o divulgará los Datos Personales para cualquier propósito diferente a aquellos de negocios que se especifican en los Términos del DPA y del Acuerdo de Cliente de GitHub, incluyendo el retener, utilizar o divulgar los Datos Personales para propósitos comerciales diferentes a aquellos de negocios que se especifican en los Términos del DPA o en el Acuerdo de Cliente de GitHub o de otra forma permitido por la CCPA.
  • retendrá, utilizará o divulgará Datos Personales fuera de la relación comercial directa con el Cliente.
  • combinará los Datos Personales con la información personal que recibe de o en nombre de un tercero o recolecta de los residentes de California, con excepción de que GitHub podría combinar los Datos Personales para realizar cualquier propósito comercial de acuerdo con lo permitido por la CCPA o con cualquier regulación que se adopte o emita bajo esta.

Cómo Contactar a GitHub

Si el cliente Cree que GitHub no está respetando sus compromisos de privacidad o seguridad, este puede contactar a soporte al cliente o utilizar el formato web de Privacidad de GitHub, el cual se ubica en https://support.github.com/contact/privacy. La dirección postal de GitHub es:

GitHub Privacy
GitHub, Inc.
88 Colin P. Kelly Jr. Street
San Francisco, California 94107 EE.UU.

GitHub B.V. es el representante de protección de datos de GitHub para el Área Económica Europea. Puedes contactar al representante de privacidad de GitHub B.V. en la siguiente dirección postal:

GitHub B.V.
Vijzelstraat 68-72
1017 HL Amsterdam
Países Bajos

Apéndice A – Salvaguardas de Seguridad

GitHub ha implementado y mantendrá para los Datos de Cliente y Datos Personales que procese en nombre y de acuerdo con las instrucciones documentadas del Cliente en conexión con los servicios de GitHub las siguientes medidas organizacionales y técnicas y las salvaguardas de seguridad, las cuales en conjunto con los compromisos de seguridad en este DPA (incluyendo los relacionados con los Terminos relacionados con la GDPR), son responsabilidad exclusiva de GitHub con respecto a la seguridad de dichos datos:

DominioPrácticas
Organización de la seguridad informáticaPropiedad de la seguridad. GitHub designó uno o más funcionarios de seguridad responsables de coordinar y monitorear las políticas y procedimientos de seguridad.

Roles y responsabilidades de seguridad. El personal de GitHub con acceso a los Datos del Cliente y Datos Personales están sujetos a obligaciones de confidencialidad.

Programa de administración de riesgos. GitHub realiza una valoración de riesgos anual.
GitHub retiene sus documentos de seguridad según sus requisitos de retención después de que ya no están vigentes.

Administración de proveedores. GitHub tiene un proceso de valoración de riesgo de proveedores, cláusulas contractuales con los proveedores y acuerdos de protección de datos adicionales con estos.
Administración de activosInventario de activos. GitHub mantiene un inventario de todos los medios en los que se almacenan los Datos de Clientes y Datos Personales. El acceso a los inventarios de dichos medios se restringe al personal de GitHub autorizado para estos fines.

Manejo de activos
- GitHub clasifica los Datos de Cliente y Datos Personales para ayudar a identificarlos y permitir que el acceso a los mismos se restrinja adecuadamente.
- GitHub comunica la responsabilidad de empleo y rendición de cuentas sobre la protección de datos hasta el punto de e incluyendo las causas de terminación.
El personal de GitHub debe obtener la autorización de GitHub antes de acceder remotamente a los Datos de Cliente y Datos Personales o de procesar estos fuera de las instalaciones de GitHub.
Seguridad de Recursos HumanosCapacitación de seguridad. GitHub requiere que todo el personal nuevo que se contrate complete una capacitación de concientización de privacidad y seguridad como parte inicial de su integración. Es necesario participar en las capacitaciones anuales para que los empleados proporcionen una línea base de lo esencial en privacidad y seguridad.
Seguridad ambiental y físicaAcceso físico a las instalaciones. GitHub limita el acceso a las instalaciones donde se ubican los sistemas informáticos que procesan Datos de Cliente y Datos Personales para los individuos autorizados identificados.

Acceso físico a los componentes. GitHub mantiene registros de los medios salientes y entrantes que contengan Datos de Cliente, incluyendo el tipo de medios, los receptores/emisores autorizados, la fecha y hora, la cantidad de medios y los tipos de Datos Personales y de Cliente que contengan.

Protección contra las interrupciones. GitHub utiliza diversos sistemas estándar de la industria para protegerse contra la pérdida de datos debido a fallos en el suministro de energía eléctrica o de interferencia de línea.

Eliminación de componentes. GitHub utiliza procedimientos estándar de la industria para borrar Datos de Cliente o Personales cuando ya no se requieren.
Administración de comunicaciones y operacionesPolítica operativa. GitHub mantiene documentos de seguridad que describen sus medidas de seguridad y los procedimientos y responsabilidades relevantes de su personal que tiene acceso a los Datos de Cliente.

Procedimientos de recuperación de datos
- Constantemente, pero jamás en una frecuencia menor a una vez por semana (A menos de que no se hayan actualizado Datos de Cliente o Personales durante este periodo de tiempo), GitHub mantendrá copias múltiples de los Datos Personales y de Cliente desde donde estos puedan recuperarse.
- GitHub almacena copias de los Datos de Cliente y Personales y los procedimientos de recuperación de datos en un lugar distinto a donde se ubica el equipo de cómputo primario que los procesa.
- GitHub cuenta con procedimientos específicos que rigen el acceso a las copias de los Datos de Cliente.
- GitHub registra los esfuerzos de restablecimiento de datos, incluyendo la persona responsable, la descripción de los datos restablecidos y, cuando aplica, la persona responsable y el tipo de datos (en su caso) que tuvieron que ingresarse manualmente en el proceso de recuperación.

Software malintencionado. GitHub tiene controles de detección de amenazas que ayudan a identificar y responder a cualquier tipo de acceso sospechoso anómalo a los Datos de Cliente, incluyendo el software malicioso que se origina de las redes públicas.

Datos más allá de los límites
- GitHub cifra o habilita al Cliente para cifrar Datos de Cliente o Personales que se transmitan a través de las redes públicas.
- GitHub restringe el acceso a los Datos de Cliente y Personales en los datos que salen de sus instalaciones.

Registro de eventos. GitHub registra o habilita al cliente para que Registre, acceda y utilice los sistemas informáticos que contienen Datos de Cliente, registrando la ID de acceso, la hora, la autorización obtenida o denegada y la actividad relevante.
Control de AccesosPolítica de acceso. GitHub mantiene un registro de los privilegios de seguridad de los individuos que tienen acceso a los Datos de Cliente.

Autorización de Acceso
- GitHub mantiene y actualiza un registro del personal autorizado para acceder a los sistemas de GitHub que contengan Datos de Cliente.
- GitHub identifica al personal que podría otorgar, alterar o cancelar el acceso no autorizado a los datos y recursos.
- GitHub garantiza que, en donde más de un individuo tenga acceso a los sistemas que contienen Datos de Cliente, estos tengan identificadores/inicios de sesión separados en donde sea factible técnica y arquitectónicamente así como comercialmente razonable.

Menor privilegio
- Solo se permite al personal de soporte técnico tener acceso a los Datos de Cliente y Personales cuando los necesiten.
- GitHub restringe el acceso a los Datos de Cliente y Personales a únicamente aquellos individuos que lo requieran para realizar sus funciones laborales. Los empleados de GitHub solo obtienen acceso a los sistemas productivos con base en su rol dentro de la organización.

Integricad y confidencialidad

- GitHub instruye a su personal para que inhabilite las sesiones administrativas cuando las computadoras se quedan desatendidas.
- GitHub almacena las contraseñas para que se cifren o queden ininteligibles mientras están vigentes.

Autenticación
- GitHub utiliza prácticas estándar de la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas informáticos.
- Cuando los mecanismos de autenticación se basan únicamente en las contraseñas, GitHub requiere que estas tengan por lo menos ocho carácteres de longitud.
- GitHub se asegura de que los identificadores de empleado desactivados o vencidos no se otorguen a otros individuos.
- GitHub monitorea o habilita a los Clientes para monitorear los intentos constantes de obtener acceso a los sistemas informáticos cuando se utilizan contraseñas no válidas.
- GitHub mantiene los procedimientos estándar de la industria para desactivar las contraseñas que se corrompieron o se divulgaron inadvertidamente.
- GitHub utiliza las prácticas de protección de contraseñas que son estándares de la industria, incluyendo aquellas que se diseñan para mantener su confidencialidad e integridad cuando se asignan y distribuyen, así como durante su almacenamiento.

Diseño de red. GitHub tiene controles para asegurarse de que ningún sistema que almacene Datos de Cliente o Personales sean parte de la misma red lógica que se utiliza para las operaciones de negocio de GitHub.
Administración de incidentes de sistemas informáticosProceso de respuesta incidentes
- GitHub mantiene un registro de los incidentes de seguridad con una descripción de estos, su periodo de tiempo, las consecuencias de las irrupciones, el nombre de quien los reporta y a quién se le reporta y los detalles con respecto al manejo de los mismos.
- En caso de que la Seguridad de GitHub confirme o tenga una sospecha razonable de que algún cliente de GitHub.com se ve afectado por una fuga de datos, notificaremos al cliente sin demora indebida
- GitHub rastrea o habilita al Cliente para rastrear las divulgaciones de Datos de Cliente, incluyendo los detalles de cuáles se divulgaron, a quién y cuándo.

Monitoreo de servicios. GitHub emplea una amplia gama de soluciones de monitoreo continuo para prevenir, detectar y mitigar los ataques al sitio.
Administración de la continuidad del negocio- GitHub mantiene planes de emergencia y contingencia para las instalaciones en las que se ubican los sistemas informáticos que procesan los Datos de Cliente y Personales.
- El almacenamiento redundante de GitHub, así como los procedimientos de recuperación de datos, se diseñan para intentar reconstruir Datos de Cliente y Personales en su estado original o el que se replicó al final antes de que se hubiera perdido o destruido.

Adjunto 1 - Las Cláusulas Contractuales Estándar (UE/EEA)

Controlador a Procesador

SECCIÓN I

Cláusula 1

Propósito y alcance

  1. El propósito de estas cláusulas contractuales estándar es garantizar el cumplimiento con los requisitos de la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas naturales con respecto al procesamiento de los datos personales y sobre el movimiento libre de estos datos (Regulación de Protección de Datos Generales) para la transferencia de los datos personales a un país tercero.
  2. Las partes:
    1. la(s) persona(s) natural(es) o legal(es), autoridad/es públicas, agencia/s u otro/s cuerpo/s (en lo subsecuente ‘entidad/es’) que transfieren los datos personales de acuerdo con lo listado en el Anexo I.A (en lo subsecuente ‘exportador de datos’), y
    2. la/s entidad/es en un país tercero que recibe/n los datos personales desde el exportador de datos, directa o indirectamente, a través de otra entidad que también sea una parte de estas cláusulas, de acuerdo con lo listado en el Anexo I.A (en lo subsecuente, cada ‘importador de datos’)
    acuerdan cumplir con estas cláusulas contractuales estándar (en lo subsecuente: 'las Cláusulas').
  3. Estas cláusulas aplican con respecto a la transferencia de datos personales de acuerdo con lo especificado en el Anexo I.B.
  4. El Apéndice de estas Cláusulas que contienen los Anexos a los cuales se hace referencia conforma una parte integral de las presentes.
Cláusula 2

Efecto e invariabilidad de las Cláusulas

  1. Estas Cláusulas establecen salvaguardas adecuadas, incluyendo los los datos de los sujetos de datos aplicables y remedios legales efectivos de acuerdo con el Artículo 46(1) y Artículo 46(2)(c) de la Regulación (UE) 2016/679 y, con respecto a las transferencias de datos desde los controladores hacia los procesadores y/o de los procesadores a los procesadores, las cláusulas contractuales estándar en cumplimiento con el Artículo 28(7) de la Regulación (UE) 2016/679, siempre y cuando no se modifiquen, excepto para seleccionar el(los) módulo(s) adecuado(s) o para agregar o actualizar la información del Apéndice. Esto no previene que las partes incluyan las cláusulas contractuales estándar que se establecen en estas Cláusulas en un contrato más amplio y/o que se agreguen otras cláusulas o salvaguardas adicionales, siempre y cuando no contradigan, directa o indirectamente, a estas cláusulas o que no perjudiquen los derechos fundamentales o libertades de los sujetos de datos.
  2. Estas Cláusulas no tienen prejuicio u obligaciones para el exportador de datos en virtud de la Regulación (UE) 2016/679.
Cláusula 3

Beneficiarios terceros

  1. Los sujetos de datos podrían invocar y hacer valer estas Cláusulas, como beneficiarios terceros, contra el exportador de datos y/o el importador de datos, con las siguientes exepciones:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
    3. Cláusula 9(a), (c), (d) y (e);
    4. Cláusula 12(a), (d) y (f);
    5. Cláusula 13;
    6. Cláusula 15.1(c), (d) y (e);
    7. Cláusula 16(e);
    8. Cláusula 18(a) y (b).
  2. El párrafo (a) no implica prejuicio a los derechos de los sujetos de datos bajo la Regulación (UE) 2016/679.
Cláusula 4

Interpretación

  1. En donde estas Cláusulas utilicen términos que se identifiquen en la Regulación (UE) 2016/679, dichos términos tendrán el mismo significado que en esta.
  2. Las Cláusulas deberán leerse e interpretarse a la luz de las disposiciones de la Regulación (UE) 2016/679.
  3. Dichas cláusulas no deberán interpretarse de forma tal que entren en conflicto con los derechos y obligaciones previstas en la Regulación (UE) 2016/679.
Cláusual 5

Jerarquía

En caso de que exista alguna contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las partes, cuando existen en el momento en el que se ingrese o acuerde con estas Cláusulas o posteriormente, estas Cláusulas prevalecerán.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s) y, particularmente, las categorías de los datos personales que se transfieren y el(los) propósito(s) por el(los) cuál(es) se transfiere(n), se especifican en el Anexo I.B.

Cláusula 7

Cláusula de acoplamiento

  1. Una entidad que no sea una parte de estas cláusulas podrá, con el acuerdo de las Partes, acceder a ellas en cualquier momento, ya sea como exportador o importador de datos, completando el Apéndice y firmando el Anexo I.A.
  2. Una vez que se haya completado el Apéndice y firmado el Anexo I.A, la entidad de que acceda deberá convertirse en Parte de estas Cláusulas y tener los derechos y obligaciones del exportador o importador de datos de acuerdo con su designación en el Anexo I.A.
  3. La entidad que accede no deberá tener derechos u obligaciones que surjan bajo estas Cláusulas desde el periodo anterior a haberse convertido en una Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8

Salvaguardas de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos es capaz, mediante la implementación de las medidas organizacionales y técnicas aduecuadas, de satisfacer sus obligaciones bajo estas Cláusulas.

8.1 Instrucciones

      <li>El importador de datos sólo deberá procesar los datos personales que se encuentran en las instrucciones documentadas del exportador de datos. El exportador de datos podría dar dichas instrucciones a lo largo de la duración del contrato.</li>
      <li>El importador de datos deberá informar de inmediato al exportador de datos en caso de que no sea capaz de seguir dichas instrucciones.</li>
    

8.2 Limitación del propósito

El importador de datos deberá procesar los datos personales únicamente para el propósito específico de la transferencia de acuerdo con lo estipulado en el Anexo I.B, a menos de que existan instrucciones posteriores del exportador de datos.

8.3 Transparencia

Bajo solicitud, el exportador de datos deberá tener una copia de estas Cláusulas, incluyendo el Apéndice de acuerdo con lo que complementan las Partes, disponible y gratuita para el sujeto de datos. Conforme sea necesario para proteger los secretos de negocio u otra información confidencial, incluyendo las medidas descritas en el Anexo II y los datos personales, el exportador de datos podría redactar parte del texto del Apéndice para estas Cláusulas antes de compartir una copia, pero este deberá proporcionar un resumen significativo de donde el sujeto de datos pudiese, de otra forma, no entender su contenido o ejercer sus derechos. Bajo solicitud, las Partes deberán proporcionar al sujeto de datos las razones de sus redacciones en medida de lo posible sin revelar la información redactada. Esta Cláusula no representa un prejuicio a las obligaciones del exportador de datos bajo los Artículos 13 y 14 de la Regulación (UE) 2016/679.

8.4 Exactitud

Si el importador de datos se percata de que los datos personales que recibió son inexactos u obsoletos, este deberá informar al exportador de datos sin demora indebida. En este caso, el importador de datos deberá cooperar con el exportador de datos para borrar o rectificar dichos datos.

8.5 Duración del procesamiento y borrado o devolución de los datos

El procesamiento del importador de datos solo deberá tomar lugar para la duración especificada en el Anexo I.B. Después de finalizar la prestación de los servicios de procesamiento, el importador de datos deberá, de acuerdo con las elecciones del importador de datos, borrar todos los datos procesados en nombre del exportador de datos y certificar al exportador de datos que lo ha hecho o devolver los datos personales procesados al exportador de datos en su nombre y borrar las copias existentes. Has que se borren o devuelvan los datos, el importador de datos deberá seguir asegurando el cumplimiento con estas Cláusulas. En caso de que existan leyes locales aplicables para el importador de datos, las cuales prohíban la devolución o borrado de los datos personales, el importador de datos garantiza que seguirá asegurando el cumplimiento con estas Cláusulas y que solo los procesará en medida y hasta donde lo requiera dicha ley local. Esto no implica ningún prejuicio a la Cláusula 14, particularmente, al requisito para el importador de datos bajo la cláusula 14(e) para notificar al exportador de datos a lo largo de la duración del contrato si tiene razón para creer que es o se ha convertido en sujeto de las leyes o prácticas que no se apegan a los requisitos de la Cláusula 14(a).

8.6 Seguridad de procesamiento

  1. El importador de datos y, durante la transmisión, también el exportador de datos deberán implementar las medidas organizacionales y técnicas adecuadas para garantizar la seguridad de los datos, incluyendo su protección contra una posible violación de seguridad que conlleve la destrucción ilegal o accidental, pérdida, alteración, divulgación no autorizada o acceso a dichos datos (en lo subsecuente ‘violación de los datos personales’). Al evaluar el nivel adecuado de seguridad, las Partes deben tener debidamente en cuenta las tecnologías más avanzadas, los costos de implementación, la naturaleza, alcance, contexto y propósito(s) de procesamiento y los riesgos que se involucran en este para con los sujetos de datos. Las Partes deben, particularmente, considerar tener los recursos para cifrado o pseudonimización, incluyendo durante la transmisión, en donde el propósito de procesamiento pueda cumplirse de esa forma. En caso de pseudonimización, la información adicional para atribuir los datos personales a un sujeto de datos específico deberá, en medida de lo posible, permanecer bajo el control exclusivo del exportador de datos. Para cumplir con las obligaciones que le atribuye el presente párrafo, el importador de datos deberá por lo menos implementar las medidas organizacionales y técnicas que se especifican en el anexo II. El importador de datos deberá hacer verificaciones frecuentes para garantizar que estas medidas sigan proporcionándose en un nivel de seguridad adecuado.
  2. El importador de datos deberá otorgar acceso a su personal a los datos personales únicamente en medida de lo estrictamente necesario para la implementación, administración y monitoreo del contrato. Deberá asegurarse de que las personas autorizadas para procesar los datos personales se hayan comprometido con la confidencialidad o estén en una obligación de confidencialidad estatutaria adecuada.
  3. En caso de que exista una violación de datos personales con respecto a los datos que procesó el importador de datos bajo estas Cláusulas, el importador de datos deberá tomar las medidas adecuadas para dirigir dicha violación, incluyendo las medidas para mitigar sus efectos adversos. El importador de datos también deberá notificar al exportador de datos sin demora indebida después de haberse enterado de dicha violación. Dicha notificación deberá contener los detalles de un punto de contacto con quien se puedan obtener más información, una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y la cantidad aproximada de los sujetos de datos y de los registros de datos personales en cuestión), sus consecuencias posibles y las medidas que se llevaron a cabo o que se proponen para tratar la violación, incluyendo, cuando sea adecuado, aquellas para mitigar los posibles efectos adversos. Donde y en la medida en la que no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial deberá contener la información que entonces esté disponible y el resto deberá, conforme esté disponible, proporcionarse subsecuentemente sin demora indebida.
  4. El importador de datos deberá cooperar con y asistir al exportador de datos para que cumpla con sus obligaciones bajo la Regulación (UE) 2016/679, particularmente, para notificar a la autoridad supervisora competente y a los sujetos de datos afectados, tomando en cuenta la naturaleza del procesamiento y la información disponible para el importador de datos.

8.7 Datos sensibles

En donde la transferencia involucre datos personales que revelen el origen étnico o racial, las opciones públicas, las creencias filosóficas o religiosas o las afiliaciones sindicales, datos genéticos o biométricos para el propósito único de identificar a una persona natural, los datos que correspondan a la salud o vida sexual u orientación sexual de una persona o aquellos relacionados con condenas y ofensas criminales (en lo subsecuente ‘datos sensibles’), el importador de datos deberá aplicar las restricciones específicas y/o las salvaguardas adicionales descritas en el Anexo I.B.

8.8 Transferencias posteriores

El importador de datos solo deberá divulgar los datos personales a un tercero si este se encuentra en las instrucciones documentadas del exportador de datos. Adicionalmente, los datos solo podrán divulgarse a un tercero que se ubique fuera de la Unión Europea (1) (en el mismo país que el importador de datos o en otro país tercero, en lo subsecuente ‘transferencia posterior’) si el tercero está o acuerda estar de acuerdo con estas Cláusulas, bajo el Módulo adecuado o en caso de que:

  1. la transferencia posterior sea hacia un país que se beneficia de una decisión de reconocimiento conforme al Artículo 45 de la Regulación (UE) 2016/679 que cubre la transferencia posterior;
  2. el tercero asegure de otra forma las salvaguardas adecuadas de acuerdo con los Artículos 46 o 47 de la Regulación (UE) 2016/679 con respecto al procesamiento en cuestión;
  3. la transferencia posterior sea necesaria para establecer, ejercer o defender las reclamaciones legales en el contexto de los procedimientos administrativos, regulatorios o judiciales específicos; o
  4. la transferencia posterior sea necesaria para proteger los intereses vitales del sujeto de datos o de cualquier otra persona natural.

  5. Cualquier transferencia posterior está sujeta al cumplimiento mediante el importador de datos para con el resto de las salvaguardas bajo estas Cláusulas, en limitación de propósitos particulares.

8.9 Documentación y cumplimiento

  1. El importador de datos deberá tratar rápida y adecuadamente las consultas del exportador de datos que se relacionen con el procesamiento de estas Cláusulas.
  2. Las Partes deberán demostrar el cumplimiento con estas Cláusulas. En particular, el importador de datos deberá mantener la documentación adecuada de las actividades de procesamiento que se llevan a cabo en nombre del exportador de datos.
  3. El importador de datos deberá poner a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento con las obligaciones que se describen en las presentes Cláusulas y conforme lo solicite el exportador de datos, permitir y contribuir con las auditorías de las actividades de procesamiento que cubren estas Cláusulas, en intervalos razonables o si existen indicaciones de incumplimiento. Cuando decida sobre alguna revisión o auditoría, el exportador de datos deberá tomar en cuenta las certificaciones relevantes que ostente el importador de datos.
  4. El exportador de datos podría elegir llevar a cabo la auditoría por sí mismo o encomendar a un auditor independiente. Las Auditorías podrían incluir inspecciones en las instalaciones o lugares físicos del importador de datos y deberán, conforme sea adecuado, llevarse a cabo con la notificación correspondiente por adelantado.
  5. Las Partes deberán poner a disposición de la autoridad supervisora competente la información que se referencia en los párrafos (b) y (c), incluyendo los resultados de las auditorías, bajo petición.
Cláusula 9

Uso de subprocesadores

  1. AUTORIZACIÓN GENERAL POR ESCRITO El importador de datos tiene la autorización general del exportador de datos para contratar a los subprocesadores de la lista que hayan acordado. El importador de datos deberá informar específicamente al exportador de datos por escrito y con 90 días de antelación sobre cualquier cambio previsto a dicha lista si existe la adición o reemplazo de los subprocesadores, otorgando así al exportador de datos tiempo suficiente para poder objetar dichos cambios antes de la contratación de dichos subprocesadores. El importador de datos deberá proporcionar al exportador de datos la información necesaria para habilitar al exportador de datos para ejercer su derecho de objeción.
  2. Cuando el importador de datos contrate un subprocesador para que lleve a cabo las actividades de procesamiento específico (en nombre del exportador de datos), este deberá hacerlo mediante un contrato por escrito que proporcione, en sustancia, las mismas obligaciones de protección de datos que aquellas que vinculan al importador de datos con estas Cláusulas, incluyendo aquellas de los términos de los derechos de beneficiarios terceros para los sujetos de datos.(2) Las partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple sus obligaciones bajo la cláusula 8.8. El importador de datos deberá garantizar que el subprocesador cumple con las obligaciones con las que este mismo acordó en las presentes Cláusulas.
  3. El importador de datos deberá proporcionar, bajo solicitud del exportador de datos, una copia del acuerdo con el subprocesador de datos y cualquier enmienda subsecuente al exportador de datos. En medida de lo necesario para proteger los secretos de negocio o cualquier otra información confidencial, incluyendo los datos personales, el importador de datos podría redactar el texto del acuerdo antes de compartir una copia.
  4. El importador de datos seguirá siendo completamente responsable ante el exportador de datos por el desempeño de las obligaciones del subprocesador bajo su contrato con el importador de datos. El importador de datos deberá notificar al exportador de datos de cualquier falla del procesador para cumplir con sus obligaciones bajo ese contrato.
  5. El importador de datos deberá acordar una cláusula de beneficiarios terceros con el subprocesador en donde, en caso de que el importador de datos haya desaparecido realmente, dejado de existir legalmente o sea insolvente, el exportador de datos tendrá el derecho de terminar el contrato con el subprocesador e instruirá a dicho subprocesador para borrar o devolver los datos personales.
Cláusula 10

Derechos del sujeto de datos

  1. El importador de datos deberá notificar inmediatamente al exportador de datos sobre cualquier solicitud que haya recibido de un sujeto de datos. Este no deberá responder a dicha solicitud por sí mismo, a menos de que el exportador de datos lo haya autorizado para hacerlo.
  2. El importador de datos deberá ayudar al exportador de datos para cumplir con sus obligaciones para responder a las solicitudes del sujeto de datos para ejercer sus derechos bajo la regulación (UE) 2016/679. De esta forma, las Partes deberán establecer en el Anexo II las medidas organizacionales y técnicas adecuadas, tomando en cuenta la naturaleza del procesamiento, mediante el cual deberá proporcionarse la asistencia, así como el alcance y la amplitud que se requieren para esta.
  3. Para cumplir sus obligaciones conforme a los párrafos (a) y (b), el importador de datos deberá cumplir con las indicaciones del exportador de datos.
Cláusula 11

Compensación

  1. El importador de datos deberá informar a los sujetos de datos sobre un formato transparente y de fácil acceso, mediante notificaciones individuales o a través de su sitio web, sobre un punto de contacto autorizado para tramitar las quejas. Deberá tratarlas sin demora con cualquier queja que reciba de cualquier sujeto de datos.
  2. En caso de disputa entre un sujeto de datos y alguna de las Partes en cuanto al cumplimiento con dichas Cláusulas, esta Parte deberá hacer su mejor esfuerzo para resolver el problema de forma amistosa y oportuna. Las Partes deberán mantenerse informadas sobre dichas disputas y, conforme sea adecuado, cooperar para resolverlas.
  3. Cuando el sujeto de datos invoque un derecho beneficiario de terceros de acuerdo con la Cláusula 3, el importador deberá aceptar la decisión del sujeto de datos para:
    1. presentar una queja con una autoridad supervisora en el Estado miembro de su residencia habitual o lugar de trabajo o con la autoridad supervisora competente de acuerdo con la Cláusula 13;
    2. referir la disputa a las cortes competentes conforme el sentido de la Clausula 18.
  4. Las Partes aceptan que los sujetos de datos podrían representarse mediante un cuerpo sin fines de lucro, organización o asociación bajo las condiciones que se describen en el Artículo 80(1) de la Regulación (UE) 2016/679.
  5. El importador de datos deberá acatar la decisión que lo vincula con la ley aplicable del Estado miembro o la UE.
  6. El importador de datos concuerda con que la elección que realice el sujeto de datos no perjudicará sus derechos procesales y sustanciales para buscar remedios de acuerdo con las leyes aplicables.
Cláusula 12

Responsabilidades

  1. Cada Parte debe ser responsable del resto de las Partes por los daños que cause la otra Parte por cualquier violación de estas Cláusulas.
  2. El importador de datos deberá ser responsable por el sujeto de datos y el sujeto de datos deberá tener derecho a recibir una compensación por cualquier daño material o no material que el importador o su subprocesador le cause con la violación de los derechos beneficiarios de terceros bajo estas Cláusulas.
  3. No obstante al párrafo (b), el exportador de datos deberá ser responsable del sujeto de datos y el sujeto de datos deberá tener el derecho de recibir una compensación por cualquier daño material o no material que le ocasionen el exportador o importador de datos (o sus subprocesadores) con la violación de los derechos beneficiarios de terceros bajo estas Cláusulas. Esto no implica un perjuicio a la responsabilidad del exportador de datos y, cuando el exportador de datos sea un procesador que actúe en nombre de un controlador, a la responsabilidad del controlador bajo la Regulación (UE) 2016/679 o la Regulación (UE) 2108/1725, conforme sea aplicable.
  4. Las Partes acuerdan que, si el exportador de datos se considera responsable bajo el párrafo (c) por los daños ocasionados al importador de datos (o su subprocesador), este deberá tener el derecho a hacer una contra-reclamación del importador de datos de que parte de esa compensación corresponde a la responsabilidad del importador de datos por el daño.
  5. Cuando más de una Parte sea responsable por cualquier daño ocasionado al sujeto de datos como resultado de una violación a estas Cláusulas, todas las Partes responsables deberán ostentar la responsabilidad severa y conjunta y el sujeto de datos tendrá el derecho de tomar acción judicial contra cualquiera de ellas.
  6. Las Partes concuerdan que, si una de ellas se considera responsable bajo el párrafo (e), esta deberá tener derecho de reclamar a otras Partes la parte de la compensación correspondiente a su responsabilidad por el daño.
  7. El importador de datos podría no invocar la conducta de un subprocesador para evitar su propia responsabilidad.
Cláusula 13

Supervisión

  1. [Donde el exportador de datos se establezca en un Estado Miembro de la UE:] La autoridad supervisora con la responsabilidad de garantizar el cumplimiento del exportador de datos con la Regulación (UE) 2016/679 con respecto a la transferencia de datos, de acuerdo a lo indicado en el Anexo I.C, deberá actuar como la autoridad supervisora competente.

    [Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero esté dentro del alcance territorial de la aplicación de la Regulación (UE) 2016/679 de acuerdo con su Artículo 3(2) y haya designado a un representante de acuerdo con el Artículo 27(1) de la Regulación (UE) 2016/679:] La autoridad supervisora del Estado miembro en el que el representante dentro del sentido del Artículo 27(1) de la Regulación (UE) 2016/679 y establecido como se indica en el Anexo I.C, deberá actuar como la autoridad supervisora competente.

    [Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero esté dentro del alcance territorial de la aplicación de la Regulación (UE) 2016/679 de acuerdo con su artículo 3(2) sin tener que designar a un representante de acuerdo con el Artículo 27(2) de la Regulación (UE) 2016/679:] La autoridad supervisora de uno de los Estados Miembro en donde el sujeto de datos cuyos datos personales se transfieren bajo estas Cláusulas en relación con el ofrecimiento de bienes o servicios hacia ellos, o cuyo comportamiento se monitoree, se ubicará, de acuerdo con lo que indica el Anexo I.C, y actuará como autoridad supervisora competente.

  2. El importador de datos acuerda emitirse a sí mismo a la jurisdicción y cooperar con la autoridad supervisora competente en cualquier procedimiento que pretenda garantizar el cumplimiento con estas Cláusulas. Particularmente, el importador de datos acuerda responder a las consultas, emitir a las auditorías y cumplir con las medidas que adopte la autoridad supervisora, incluyendo aquellas compensatorias y de remediación. Este deberá proporcionar confirmación por escrito a la autoridad supervisora de que las acciones necesarias se han tomado.

SECCIÓN III – LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Leyes y prácticas locales que afectan el cumplimiento con las Cláusulas

  1. Las Partes garantizan que no tienen razón para pensar que las leyes y prácticas locales en el país tercero de destino aplicable para el procesamiento de los datos personales por medio del importador de datos, incluyendo cualquier requisito para divulgar datos personales o medidas de autorización de acceso mediante autoridades públicas, previenen al importador de datos de cumplir con sus obligaciones bajo estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo que es necesario y que se proporcionan en una sociedad democrática para salvaguardar uno de los objetivos que se listan en el Artículo 23(1) de la Regulación (UE) 2016/679, no contradicen a estas Cláusulas.
  2. Las Partes declaran que, en proporcionar la garantía del párrafo (1), han tomado debidamente en cuenta, particularmente, los siguientes elementos:
    1. las circunstancias específicas de la transferencia, incluyendo la longitud de la cadena de procesamiento, la cantidad de actores involucrados en los canales de transmisión que se utilizan; las transferencias subsecuentes previstas; el tipo de receptor; el propósito del procesamiento; las categorías y formatos de los datos personales transferidos; el sector económico en el cual ocurre la transferencia; la ubicación de almacenamiento de los datos transferidos;
    2. las leyes y prácticas del país de destino tercero; incluyendo aquellas que requieren la divulgación de los datos a las autoridades públicas o la autorización de acceso a las mismas; pertinentes a la luz de las circunstancias específicas de la transferencia y las limitaciones aplicables y salvaguardas (3);
    3. cualquier salvaguarda contractual, técnica u organizacional relevante que se establezca para suplementar las salvaguardas bajo estas Cláusulas, incluyendo las medidas que se aplican durante la transmisión y en el procesamiento de los datos personales en el país destino.
  3. El importador de datos garantiza que, al llevar a cabo la valoración del párrafo (b), ha realizado su mejor esfuerzo para proporcionar al exportador de datos la información relevante y acuerda que seguirá cooperando con este para garantizar el cumplimiento con las Cláusulas.
  4. Las Partes acuerdan en documentar la valoración del párrafo (b) y hacerla disponible a la autoridad supervisora competente bajo solilcitud.
  5. El importador de datos acuerda notificar oportunamente al exportador de datos en caso de que, después de haber acordado con las presentes Cláusulas y por la duración de este contrato, tiene razón de pensar que es o se ha hecho sujeto a las leyes o prácticas que no se alineen con los requisitos del párrafo (a), incluyendo el seguir un cambio en las leyes del país tercero o una medida (tal como la solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se alinee con los requisitos del párrafo (a).
  6. Al seguir una notificación de acuerdo con el párrafo (e) o, si el exportador tiene alguna otra razón de pensar que el importador de datos ya no puede cumplir con sus obligaciones bajo estas Cláusulas, el exportador de datos deberá identificar inmediatamente las medidas adecuadas (por ejemplo: medidas organizacionales o técnicas para garantizar la seguridad y confidencialidad) que debe adoptar él mismo o el exportador de datos para tratar la situación. El exportador de datos deberá suspender la transferencia de datos si considera que no hay salvaguardas adecuadas que se puedan garantizar para esta o si se lo indica la autoridad supervisora competente. En este caso, el exportador de datos deberá tener el derecho de terminar el contrato en la medida en la que se refiera al procesamiento de los datos personales bajo estas Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos podría ejercer este derecho a la terminación únicamente con respecto a la Parte relevante, a menos de que las Partes hayan convenido lo contrario. Cuando el contrato finalice de acuerdo con esta Cláusula, aplicarán las fracciones 16(d) y (e) de la misma.
Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1 Notificación

  1. El importador de datos acuerda notificar al exportador de datos y, cuando sea posible, al sujeto de datos inmediatamente (en caso de ser necesario, con la ayuda del exportador de datos) si este:
    1. recibe una solicitud de una autoridad pública que lo vincule legalmente, incluyendo las autoridades judiciales, bajo las leyes del país destino para la divulgación de datos personales transferidos de acuerdo con estas Cláusulas; tal notificación deberá incluir información de los datos personales solicitados, la autoridad solicitante, las bases legales de la solicitud y la respuesta proporcionada; o
    2. se entera de que existe cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de acuerdo con estas Cláusulas de acuerdo con las leyes del país destino; tal información deberá incluir toda aquella disponible para el importador.
  2. Si se le prohíbe al importador de datos el notificar al exportador de datos o al sujeto de datos bajo las leyes del país destino, el importador acuerda utilizar sus mejores esfuerzos para obtener una exención de prohibición, con una vista para comunicar tanta información como sea posible y tan pronto sea posible. El importador de datos acuerda documentar sus mejores esfuerzos para poder demostrarlos bajo solicitud del exportador de datos.
  3. Cuando sea permisible bajo las leyes del país destino, el importador de datos acuerda proporcionar al exportador de datos, en intervalos frecuentes durante la duración del contrato, con tanta información relevante como sea posible bajo las solicitudes recibidas (particularmente, la cantidad de solicitudes, tipo de datos solicitados, autoridad(es) solicitantes, si las solicitudes se han impugnado y el resultado de dicha impugnación, etc.).
  4. El importador de datos acuerda preservar la información de conformidad con los párrafos del (a) al (c) durante la duración del contrato y ponerla a disposición de la autoridad supervisora competente bajo solicitud.
  5. Los párrafos del (a) al (c) no tienen prejuicio para la obligación del importado de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 para informar al exportador de datos inmediatamente cuando no pueda cumplir con estas.

15.2 Revisión de la legalidad y minimización de los datos

  1. El importador de datos acuerda revisar la legalidad de la solicitud de divulgación, particularmente, donde se mantenga dentro de los poderes otorgados a la autoridad pública solicitante e impugnar la solicitud si, después de una valoración cuidadosa, concluye que existen bases razonables para considerar que la solicitud es ilegal de acuerdo con las leyes del país destino, las obligaciones aplicables bajo la ley internacional y los principios de cortesía internacional. El importador de datos deberá, bajo las mismas condiciones, buscar las posibilidades de apelación. Cuando se impugne una solicitud, el importador de datos deberá buscar medidas interinas con intención de suspender los efectos de esta hasta que la autoridad judicial competente haya tomado una decisión sobre sus méritos. No deberá divulgar los datos personales solicitados sino hasta que se le requiera hacerlo bajo las normas procesales aplicables. Estos requisitos no tienen prejuicio para las obligaciones del importador de datos bajo la Cláusula 14(e).
  2. El importador de datos acuerda documentar su valoración legal y cualquier impugnación a la solicitud de divulgación y, en medida de lo permisible bajo las leyes del país destino, poner la documentación a disposición del exportador de datos. También debe ponerla a disposición de la autoridad supervisora competente bajo solicitud.
  3. El importador de datos acuerda proporcionar la cantidad mínima de información permisible cuando responda a una solicitud de divulgación, con base en una interpretación razonable de dicha solicitud.

SECCIÓN IV - DISPOSICIONES GENERALES

Cláusula 16

Falta de cumplimiento con las Cláusulas y terminación

  1. El importador de datos deberá informar inmediatamente al exportador de datos en caso de no ser capaz de cumplir con las presentes Cláusulas, por cualquier motivo.
  2. En caso de que el importador de datos se encuentre en violación de las presentes Cláusulas o sea incapaz de cumplir con ellas, el exportador de datos deberá suspender la transferencia de los datos personales al importador de datos hasta que se pueda garantizar el cumplimiento nuevamente o terminar el contrato. Esto no conlleva prejuicio alguno a la Cláusula 14(f).
  3. El exportador de datos tendrá el derecho de terminar el contrato en la medida en la que competa al procesamiento de datos personales bajo las presentes Cláusulas, cuando:
    1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de acuerdo con el párrafo (b) y el cumplimiento con las Cláusulas presentes no se restablezca dentro de un límite de tiempo razonable y en cualquier evento dentro de un mes posterior a la suspensión;
    2. el importador de datos se encuentre en una violación persistente y sustancial de las Cláusulas presentes; o
    3. el importador de datos falle en cumplir con una decisión vinculante de una corte competente o autoridad supervisora con respecto a sus obligaciones bajo estas Cláusulas.

    En estos casos, deberá informar a la autoridad supervisora competente sobre dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos podría ejercer su derecho a la terminación, únicamente con respecto a la Parte relevante, a menos de que las Partes hayan acordado lo contrario.
  4. Los datos personales que se hayan transferido antes de la terminación del contrato de acuerdo con el párrafo (c) deberán, bajo elección del exportador de datos, devolvérsele inmediatamente o borrarse en su totalidad. Lo mismo deberá aplicar a cualquier copia de los datos. El importador de datos deberá certificar el borrado de estos al exportador. Has que se borren o devuelvan los datos, el importador de datos deberá seguir asegurando el cumplimiento con estas Cláusulas. En caos de que existan leyes locales aplicables para que el importador de datos prohíba la devolución o borrado de los datos personales transferidos, este garantiza que seguirá garantizando el cumplimiento con las presentes Cláusulas y solo procesará los datos en medida y hasta donde lo requieran dichas leyes locales.
  5. Cada Parte podría revocar su acuerdo a vincularse con las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) de la Regulación (UE) 2016/679 que cubra la transferencia de los datos personales a los cuáles apliquen estas Cláusulas; o (ii) cuando la Regulación (UE) 2016/679 se convierta en parte del marco legal del país al cual se transfieren los datos personales. Esto es sin prejuicio a otras obligaciones que aplican al procesamiento en cuestión bajo la Regulación (UE) 2016/679.
Cláusula 17

Legislación aplicable

Estas Cláusulas se regirán por la ley de uno de los Estados Miembro de la UE, siempre y cuando dicha ley permita que existan los derechos de beneficiarios terceros. Las Partes acuerdan que esta será la ley de los Países Bajos.

Cláusula 18

Elección de foro y jurisdicción

  1. Cualquier disputa que se origina por estas Cláusulas deberá resolverse en la corte de un Estado Miembro de la UE.
  2. Las Partes acuerdan que estas serán las cortes de los Países Bajos.
  3. Un sujeto de datos también podrá interponer procedimientos legales contra el exportador de datos o el importador de datos ante las cortes del Estado miembro en el cual tenga su residencia habitual.
  4. Las partes acuerdan someterse a la jurisdicción de dichas cortes.

ANEXO I

sobre las Cláusulas Contractuales Estándar (UE/EEA)

A. LISTA DE PARTES

Exportador(es) de datos: El cliente es el exportador de datos
Nombre: consulta el Acuerdo de Cliente de GitHub
Dirección: consulta el Acuerdo de Cliente de GitHub
Nombre posición y detalles de la persona de contacto: consulta el Acuerdo de Cliente de GitHub
Actividades relevantes para los datos transferidos bajo estas Cláusulas:
El exportador de datos es un usuario de los Servicios en Línea o Servicios Profesionales de acuerdo con lo que se define en el DPA y en el Acuerdo de Cliente de GitHub.
Firma y fecha: consulta el Acuerdo de Cliente de GitHub (el DPA y las Cláusulas Contractuales Estándar (UE/EEA) se incorporan en el Acuerdo de Cliente de GitHub
Rol (controlador/procesador): controlador (a menos de que se haya acordado de forma distinta en el Acuerdo de Cliente).

Importador(es) de datos:
Nombre: GitHub, Inc.
Dirección: 88 Colin P Kelly Jr St, San Francisco, CA 94107, EE.UU.
Nombre posición y detalles de la persona de contacto: Frances Wiet, Jefe de Privacidad, fwiet@github.com
Actividades relevantes para los datos transferidos bajo estas Cláusulas:
GitHub, Inc. es un productor global de software y servicios
Fecha y firma: consulta el Acuerdo de Cliente de GitHub (el DPA y las Cláusulas Contractuales Estándar (UE/EEA) se incorporan en el Acuerdo de Cliente de GitHub)
Rol (controlador/procesador): procesador o, dependiendo de los acuerdos que se establezcan en el Acuerdo de Cliente, subprocesador.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de los sujetos de datos cuyos datos personales se transfirieron:

Los titulares de los datos incluyen a los representantes de los exportadores de datos y a los usuarios finales, incluyendo a los empleados, consultores, colaboradores, y clientes del exportador de los datos. Los titulares de los datos también podrían incluir a aquellos individuos que intentan comunicarse o transferir datos personales a los usuarios de los servicios proporcionados por el importador de los datos. GitHub reconoce que, dependiendo del uso del Cliente para el Servicio en Línea o Servicios Profesionales, este podrá elegir el incluir datos personales desde cualquier otro de los siguientes tipos de sujetos de datos en ellos:

  • Empleados, consultores y trabajadores temporales (actuales, previos o futuros) del exportador de los datos;
  • Consultores/personas de contacto del exportador de datos (personas naturales) o los empleados, consultores o trabajadores temporales de la entidad legal de las personas de contacto/consultores (actuales, futuros, pasados);
  • Usuarios y otros sujetos de datos que sean usuarios de servicios de exportación de datos;
  • Socios, interesados o individuos que colaboren, se comuniquen o interactuen activamente de otra forma con los empleados del exportador de los datos y/o que utilicen herramientas de comunicación tales como apps y sitios web que proporcione el exportador de los datos.

Categorías de los datos personales transferidos:

Los datos personales transferidos que se incluyen en los correos electrónicos, documentos y en otros tipos de datos en forma electrónica o en el contexto del Servicio en Línea o de los Servicios Profesionales. GitHub reconoce que, dependiendo del uso que el Cliente dé al Servicio en Línea o Servicios Profesionales, este podrá elegir incluir datos personales de cualquiera de las siguientes categorías entre los suyos:

  • Datos personales básicos (por ejemplo: lugar de nacimiento, nombre de calle y número de casa (dirección), código postal, ciudad de residencia, país de residencia, número de teléfono móvil, nombre, apellido, iniciales, dirección de correo electrónico, género, fecha de naciemiento);
  • Datos de autenticación (por ejemplo: nombre de usuario, contraseña, código PIN, pregunta de seguridad, rastro de auditoría);
  • Información de contacto (por ejemplo: direcciones, correo electrónico, números telefónicos, identificadores de redes sociales; detalles de contactos de emergencia);
  • Números de identificación únicos y firmas (por ejemplo: direcciones IP, número de empleado, número de alumno);
  • Identificadores pseudónimos;
  • Fotos, video y audio;
  • Actividad en internet (por ejemplo; historial de búsqueda, actividades de visualización y lectura);
  • Identificación de dispositivos (por ejemplo, número IMEI, número de tarjeta SIM, dirección MAC);
  • Perfilado (por ejemplo: con base en el comportamiento criminal o antisocial que se haya observado o perfiles pseudónimos con base en las URL visitadas, clics en transmisiones, bitácoras de búsqueda, direcciones IP, dominios, apps instaladas o perfiles con base en las preferencias de mercadeo);
  • Categorías especiales de datos que los sujetos de datos proporcionen de forma voluntaria (por ejemplo: origen racial o étnico, opiniones políticas, creencias filosóficas o religiosas, membrecías de sindicatos, datos genéticos, datos biométricos para identificar únicamente a una persona natural, datos sobre la salud, datos sobre la vida u orientación sexual de una persona o datos relacionados con convicciones u ofensas criminales); o
  • Cualquier otro tipo de datos identificados en el Artículo 4 de la GDPR.

Datos sensibles transferidos (de ser aplicable) y restricciones o salvaguardas aplicadas que tomen integralmente en consideración la naturaleza de los datos y los riesgos involucrados, tales como por ejemplo la limitación estricta de propósitos, restricciones de acceso (incluyendo el acceso únicamente para el personal que haya tenido capacitación especializada), mantener un registro del acceso a los datos, restricciones para las transferencias constantes o medidas de seguridad adicionales:
GitHub no solicita ni pide de otra forma datos sensibles y los recibe únicamente cuando los clientes o sujetos de datos deciden proporcionarlos.

La frecuencia de transferencia (por ejemplo: ya sea que los datos se transfieran en una sola ocasión o contínuamente):

Continuo como parte de los Servicios en Línea o Servicios Profesionales.

Naturaleza del procesamiento:

Los datos personales transferidos estarán sujetos a las siguientes actividades procesales básicas:

  1. Duración y objeto del procesamiento de datos. La duración del procesamiento de datos deberá ser por el periodo designado bajo el Acuerdo de Cliente de GitHub aplicable entre el exportador y el importador de datos. El objetivo del procesamiento de los datos es el desempeño de los Servicios en Línea y Servicios Profesionales.
  2. Acceso a los Datos Personales. Durante el periodo designado bajo el Acuerdo de Cliente de GitHub aplicable, el importador de datos, bajo su elección y de acuerdo como sea necesario bajo la ley aplicable, ya sea: (1) proporcionará al exportador de datos la capacidad de corregir, borrar o bloquear los datos personales, o (2) realizará dichas correcciones, borrados o bloqueos en su nombre.
  3. Instrucciones del exportador de datos. Para los Servicios en Línea y Servicios Profesionales, el importador de datos solo actuará bajo las instrucciones del exportador.

Propósito(s) de la transferencia de datos y procesamiento subsecuente:

El alcance y propósito de procesar datos personales se describe en la sección "Procesamiento de Datos Personales; GDPR" del DPA. El importador de datos opera una red global de centros de datos e instalaciones de soporte/administración y dicho procesamiento podría tomar lugar en cualquier jurisdicción en donde el importador de datos o sus subprocesadores operen dichas instalaciones de acuerdo con la sección de "Prácticas y Políticas de Seguridad" del DPA.

El periodo por el cual se retendrán los datos personales o, en caso de no ser posible, los criterios que se utilizan para terminar dicho periodo serán:

Cuando venza o finalice el uso de los Servicios en Línea o Servicios Profesionales por parte del exportador de datos, este podrá extraer datos personales y el importador de datos borrará dichos datos personales, cada uno de acuerdo con los Términos del DPA que apliquen al acuerdo.

Para las transferencias a los (sub)procesadores, también se especificará la materia, naturaleza y duración del procesameinto:

De acuerdo con la DPA, el importador de los datos podrá contratar a otras compañías para proporcionar servicios limitados en nombre del importador de los datos, tales como proporcionar soporte al cliente. Se permitirá a cualquier subcontratista obtener los datos personales únicamente para entregar los servicios que el importador de datos haya retenido en su entrega y se prohibirá utilizar datos personales para cualquier otro propósito. A menos de que se reemplace a un subcontratista en particular antes de tiempo, el procesamiento tomará lugar en el periodo designado bajo el Acuerdo de Cliente de GitHub aplicable entre el exportador y el importador de datos.

C. AUTORIDAD SUPERVISORA COMPETENTE

Identificar la(s) autoridad(es) supervisora(s) competente(s) de acuerdo con la Cláusula 13:

La autoridad supervisora con responsabilidad para asegurar el cumplimiento del exportador de datos con la Regulación (UE) 2016/679.  

ANEXO II

sobre las Cláusulas Contractuales Estándar (UE/EEA)

MEDIDAS TÉCNICAS Y ORGANIZACIONALES INCLUYENDO AQUELLAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizacionales que implementa el(los) importador(es) de datos (incluyendo cualquier certificación relevante) para garantizar un nivel de seguridad adecuado, tomando en cuenta la naturaleza, alcance, contexto y propósito del procesamiento y los riesgos de los derechos y libertades de las personas naturales.

  1. Certificaciones de seguridad en datos. El importador mantendrá las siguientes certificaciones de seguridad en datos:
    • SOC 1, Tipo 2;
    • SOC 2, Tipo 2;
    • NIST, de acuerdo con lo uncorporado para FedRAMP de bajo impacto / ATO adaptada.
  2. Personal. El personal del importador de datos no procesará datos personales sin autorización. El personal está obligado a mantener la confidencialidad de cualquier dato personal y dicha obligación seguirá incluso después de que su relación termine.
  3. Contacto de privacidad de datos. Podrá contactarse al encargado de la privacidad de los datos que designe el importador de datos en la siguiente dirección:

    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 EE.UU.

  4. Medidas técnicas y organizacionales. El importador de datos ha implementado y mantendrá las medidas técnicas y organizacionales adecuadas, los controles internos y las rutinas de seguridad informática previstas para proteger los datos personales, de acuerdo con lo que se define en la sección de Prácticas y Políticas de Seguridad del DPA, contra la pérdida accidental, destrucción o alteración; divulgación o acceso no autorizados o destrucción ilegal de acuerdo con lo siguiente: Las medidas técnicas y organizacionales, controles internos y rutinas de seguridad informática dispuestas en la sección de Seguridad da Datos del DPA se incorporan a la presente en este Anexo II en el Adjunto 1 mediante esta referencia y vinculan al importador de datos como si se hubieran dispuesto en el presente Anexo 2 en el Adjunto 1 integralmente.

En le caso de las transferencias a los (sub) procesadores, también describe las medidas técnicas y organizacionales que deberá tener el (sub) procesador para poder proporcionar asistencia al controlador y, para las transferencias de procesador a subprocesador, al exportador de datos:

Programa de administración de proveedores - programa de riesgos de terceros

El importador cuenta con un proceso de valoración de riesgos de proveedores, cláusulas contractuales y acuerdos de protección de datos adicionales con estos. Los proveedores se someterán a una revaloración cuando se solicite un caso de uso de negocio nuevo. El programa de riesgos de proveedores del importador de datos se estructura de tal manera que todas las valoraciones de riesgo de sus proveedores se renueven cada dos años desde la última fecha de revisión.

Los proveedores que se consideren de alto riesgo, tales como los de los centros de datos u otros que procesen o almacenen datos en el alcance de los requisitos contractuales o regulatorios del importador de datos, se someterán a una revaloración anualmente.

ANEXO III

sobre las Cláusulas Contractuales Estándar (UE/EEA)

Adenda de Salvaguardas Adicionales

Mediante la presente Adenda de Salvaguardas Adicionales a las Cláusulas Contractuales Estándar (UE/EEA) (esta "Adenda"), GitHub, Inc. ("GitHub") proporciona salvaguardas adicionales a los clientes y direcciones adicionales a los sujetos de datos a quienes se refieren los datos personales de Cliente.

La presente Adenda complementa y se hace parte de, pero no para variar ni modificar a, las Cláusulas Contractuales Estándar (UE/EEA).

  1. Impugnaciones a las órdenes. Adicionalmente a la Cláusula 15.1 de las Cláusulas Contractuales Estándar (UE/EEA), en caso de que GitHub reciba una orden de cualquier tercero sobre la divulgación obligatoria de cualquier dato personal que se haya transferido bajo las Cláusulas Contractuales Estándar (UE/EEA), GitHub deberá:
    1. utilizar esfuerzos razonables para redirigir al tercero para que solicite los datos directamente del Cliente;
    2. notificar inmediatamente al Cliente, a menos de que la legislación aplicable lo prohíba para el tercero solicitante y, en caso de que esta prohíba notificar al Cliente, utilizar esfuerzos legales para obtener el derecho de exonerar la prohibición para comunicar al Cliente tanta información como sea posible lo más rápido posible; y
    3. utilizar esfuerzos legales para impugnar la orden de divulgación con base en cualquier deficiencia legal bajo las leyes de la parte solicitante o cualquier conflicto relevante con la ley de la Unión Europea o la Ley del Estado miembro aplicable.

    Para el propósito de esta sección, los esfuerzos legales no incluirán las acciones que pudieran dar como resultado sanciones judiciales o civiles, tales como desacato a la corte bajo las leyes de la jurisdicción relevante.
  2. Indemnización de los sujetos de datos. Sujeto a las Secciones 3 y 4, GitHub deberá indemnizar a cualquier sujeto de datos por el daño material o no material al mismo que ocasiones la divulgación de sus datos personales por parte de GitHub, la cual se haya transferido bajo las Cláusulas Contractuales Estándar (UE/EEA) en respuesta a una orden de un cuerpo gubernamental o agencia policial diferentes a los de la UE/EEA (una "Divulgación Relevante"). No obstante de lo anterior, GitHub no tendrá obligación de indemnizar al sujeto de datos bajo esta sección 2 conforme a lo dispuesto cuando el sujeto de datos ya haya recibido una compensación por el mismo daño, ya sea de GitHub o de cualquier otro modo.
  3. Condiciones de indemnización. La indemnización bajo la sección 2 es condicional al establecimiento del sujeto de datos, para la satisfacción razonable de GitHub, que:
    1. GitHub participó en una Divulgación Relevante;
    2. dicha Divulgación Relevante fue la base de un procedimiento oficial del cuerpo gubernamental o agencia policial diferente a la de la UE/EEA en contra del sujeto de datos; y
    3. la Divulgación Relevante ocasionó directamente que el sujeto de datos sufriera daños materiales o no materiales.

    El sujeto de datos lleva la carga de prueba con respecto a las condiciones de la "a" a la "c".
    No obstante a lo anterior, GitHub no deberá tener obligación alguna de indemnizar al sujeto de datos bajo la Sección 2 si GitHub establece que la Divulgación Relevante no violó sus obligaciones bajo el Capítulo V de la GDPR.
  4. Alance de los daños. La indemnización bajo la sección 2 se limita a los daños materiales y no materiales estipulados en la GDPR y excluye los daños consecuenciales y todos los demás que no resulten de que GitHub haya incumplido con la GDPR.
  5. Ejercicio de derechos. Los derechos que se otorgan a los sujetos de datos bajo esta Adenda podrán hacerse valer contra GitHub independientemente de cualquier restricción de las Cláusulas 3 o 12 de las Cláusulas Contractuales Estándar (UE/EEA). El sujeto de datos solo podrá presentar una reclamación bajo esta Adenda de forma individual y no como parte de una clase, colectivo, grupo o acción representativa. Los derechos que se otorgan a los sujetos de datos bajo la presente Adenda son personales del sujeto de datos y no podrán asignarse.
  6. Aviso de cambio. Adicionalmente a la Cláusula 14 de las Cláusulas Contractuales Estándar (UE/EEA), GitHub acuerda y garantiza que no tiene razón para creer que la legislación aplicable a esta o a sus subprocesadores, incluyendo aquella en cualquier país al que se transfieran datos personales ya sea por ella misma o mediante un subprocesador, impide que lleve a cabo las instrucciones que recibe del exportador de datos y sus obligaciones bajo esta Adenda o bajo las Cláusulas Contractuales Estándar (UE/EEA) y que, en caso de que exista un cambio en esta legislación, el cual pueda tener efectos adversos sustanciales en las garantías y obligaciones que otorga esta Adenda o las Cláusulas Contractuales Estándar (UE/EEA), notificará inmediatamente sobre este cambio al Cliente tan pronto como se percate de él, en cuyo caso, el Cliente tendrá el derecho de suspender la transferencia de datos y/o terminar el contrato.
  7. Terminación. La presente Adenda deberá terminarse automáticamente en caso de que la Comisión Europea, la autoridad supervisora de un Estado Miembro competente, o una corte de un Estado Miembro competente de la UE apruebe un mecanismo de transferencia legal diferente que pudiera ser aplicable a las transferencias de datos que se cubren en la Cláusulas Contractuales Estándar (UE/EEA) (y si dicho mecanismo aplica únicamente a algunos tipos de transferencias de datos, la presente Adenda terminará únicamente con respecto a ellas) y no requieran las salvaguardas adicionales que se estipulan en la presente.

Adjunto 2 - Las Cláusulas Contractuales Estándar (UK)

La ejecución del Acuerdo de Cliente de GitHub por parte del Cliente incluye también la ejecución de este Adjunto 2, el cual contrafirma GitHub, Inc.

En los países donde se requiera de aprobación regulatoria para utilizar las Cláusulas Contractuales Estándar, no se podrá depender de éstas bajo la Comisión Europea 2010/87/EU (de febrero de 2010) para legitimar la exportación de datos del país en cuestión, a menos de que el cliente tenga la aprobación regulatoria requerida.

Desde el 25 de mayo de 2018 y en lo subsecuente, las referencias a diversos Artículos de la Directiva 95/46/EC en las siguientes Cláusulas Contractuales Estándar se tratará como referencias a los Artículos adecuados relevantes de la GDPR.

Para efectos del Artículo 26(2) de la Directiva 95/46/EC para la transferencia de datos personales a los procesadores establecidos en los países terceros que no aseguran un nivel adecuado de protección de datos, el Cliente (como exportador de datos) y GitHub, Inc. (como importador de datos, cuya firma se muestra más adelante), constituyendo cada uno una "parte" y, en conjunto, denominados como "las partes", han acordado en seguir las Cláusulas Contractuales (las "Cláusulas" o "Cláusulas Contractuales Estándar") para citar las salvaguardas adecuadas con respecto a la protección de la privacidad y derechos fundamentales y libertades de los individuos para la transferencia del exportador al importador de los datos personales que se especifican en el Apéndice 1.

Cláusula 1: Definiciones

  1. 'datos personales', categorías especiales de datos', 'proceso/procesamiento', 'controlador', 'procesador', 'sujeto de datos' y 'autoridad supervisora' deberán tener el mismo significado que en la Directiva 95/46/EC del Parlamento Europeo y del Consejo del 24 de octubre de 1995 sobre la protección de los individuos con respecto al procesamiento de datos personales y con el movimiento libre de los mismos;
  2. 'el exportador de datos' se refiere al controlador que transifere los datos personales;
  3. 'el importador de datos' significa el procesador que acuerda recibir del exportador de datos los datos personales previstos para procesar en su nombre después de la transferencia de acuerdo con sus instrucciones y con las condiciones de las Cláusulas y quien no está sujeto a un sistema del país tercero que garantice la protección dentro del significado del Artículo 25(1) de la Directiva 95/46/EC;
  4. 'el subprocesador' significa cualquier procesador contactado mediante el importador de datos o mediante cualquier otro subprocesador del importador de datos quien acuerde recibir del importador de datos o de cualquier otro subprocesador de dicho importador los datos personales exclusivos que se pretenden utilizar en actividades de procesamiento que se llevarán acabo en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, las condiciones de las Cláusulas y las de el subcontrato por escrito;
  5. 'la ley de protección de datos aplicable' se refiere a la legislación que protege los derechos fundamentales y las libertades de los individuos y, particularmente, su derecho a la privacidad con respecto al procesamiento de los datos personales aplicables al controlador de datos en el Estado Miembro en el cual se establece el exportador de datos;
  6. 'medidas de seguridad técnicas y organizacionales' se refiere a aquellas medidas que se enfocan en proteger los datos contra una pérdida accidental o una destrucción ilegal, alteraciones, diseminación no autorizada o acceso, particularmente donde el procesamiento involucre la transmisión de datos a través de una red, y contra todo el resto de formas ilegales de procesamiento.

Cláusula 2: Detalles de la transferencia

Los detalles de la transferencia y, en particular, de las categorías especiales de datos personales en donde sean aplicables se especifican en el Apéndice 1 que se encuentra más adelante, el cual forma una parte integral de las Cláusulas.

Cláusula 3: Cláusula de beneficiario tercero

  1. El titular de los datos podrá hacer valer la ley contra el exportador de datos en esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y de (g) a (j), la Cláusula 6(1) y (2), la Cláusula 8(2), y las Cláusulas 9 a 12 como beneficiario tercero.
  2. El titular de los datos podrá hacer valer la ley contra el importador de datos en esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, Cláusula 7, Clúsula 8(2) y las Cláusulas 9 a 12, en los casos en donde el exportador de los datos haya desaparecido realmente o haya dejado de existir en la ley a menos de que alguna entidad de sucesión haya asumido las obligaciones legales integrales del exportador de datos mediante onctrato o mediante la operación legal, como resultado de que lo que asume en los derechos y obligaciones del exportador de datos, en cuyo caso, el titular de los datos podrá hacer valor esto contra dicha entidad.
  3. El sujeto de los datos puede aplicar la ley en contra del subprocesador de esta Cláusula, la Cláusula 5(a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8(2) y Cláusulas 9 a 12, en casos en donde tanto el exportador como el importador de los datos hayan desaparecido realmente o dejado de existir en la ley o se hayan declarado insolventes, a menos de que cualquier entidad sucesora haya asumido todas las obligaciones del exportador de los datos contractualmente o conforme a derecho que resulte en la toma de derchos y obligaciones del exportador de datos, en cuyo caso, el titular de los datos puede aplicar la ley en contra de dicha entidad. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.
  4. Las partes no se oponen a que un titular de los datos se represente mediante una asociación o cualquier otro cuerpo si dicho titular así lo desea expresamente y si la ley nacional lo permite.

Cláusula 4: Las obligaciones del exportador de los datos

El exportador de los datos acuerda y garantiza:

  1. que el procesamiento, incluyendo la transferencia misma de los datos personales, se ha estado llevando a cabo y se seguirá haciendo de acuerdo con las disposiciones generales de la ley de protección de datos aplicable (y, cuando sea aplicable, se ha notificado a las autoridades relevantes del Estado Miembro en donde se establece el exportador de los datos) y no viola las disposiciones generales relevantes de dicho estado;
  2. que se ha instruido y, a través de la duración de los servicios de procesamiento de datos personales, se instuirá al importador de los datos para procesar los datos personales transferidos únicamente en nombre del exportador de los datos de acuerdo con la ley de protección de datos personales y con las Cláusulas;
  3. que el importador de los datos proporcionará garantía suficiente con respecto a las medidas de seguridad técnicas y organizacionales especificadas en el Apéndice 2 descrito posteriormente;
  4. que después de la valoración de los requisitos para la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal o contra la pérdida, alteración, divulgación no autorizada o acceso accidentales, particularmente en donde el procesamiento involucre la transmisión de datos a través de una red, y contra cualquier otra forma ilegal de procesamiento, y que estas medidas garantizan un nivel de seguridad adecuado para los riesgos que se presentan mediante el procesamiento y por la naturaleza de los datos que se protegerán con respecto a las tecnologías más recientes y el costo de su implementación;
  5. que garantizará el cumplimiento con las medidas de seguridad;
  6. que, en caso de que la transferencia involucre categorías especiales de datos, se ha informado o se le informará al sujeto de datos con antelación o tan pronto sea posible después de la transferencia que sus datos podrían transmitirse a un país tercero sin proporcionar la protección adecuada dentro del significado de la Directiva 95/46/EC;
  7. reenviar cualquier notificación que se recibe de un importador de datos o de cualquier subprocesador de acuerdo con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos si el exportador de los datos decide continuar con la transferencia o levantar la suspeción;
  8. poner a disposición una copia de las Cláusulas para los titulares de los datos por solicitud, con la exepción del Apéndice 2, y un resúmen descriptivo de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subprocesamiento que se tiene que hacer de acuerdo con las Cláusulas, a menos de que las Cláusulas o el contrato contengan información comercial, en cuyo caso se podrá eliminar dicha información comercial;
  9. que, en caso de subprocesamiento, la actividad de procesamiento se llevará a cabo de acuerdo con la Cláusula 11 mediante un subprocesador que proporcione por lo menos el mismo nivel de protección para los datos personales y para los derechos del titual de los datos como importador de los mismos bajo las Cláusulas; y
  10. que garantizará el cumplimiento con la Cláusula 4(a) a la (j).

Cláusula 5: Obligaciones del importador de los datos

El importador de los datos acuerda y garantiza:

  1. procesar los datos personales únicamente en nombre del exportador de los datos y en cumplimiento con sus instrucciones y con las Cláusulas; si no puede proporcionar dicho cumplimiento por cualquier razón, acuerda informar de manera oportuna al exportador de los datos de dicha incapacidad, en cuyo caso, el exportador de los datos tendrá derecho a suspender al trasnferencia de los mismos o de terminar el contrato;
  2. que no hay razón para creer que la legislación aplicable a ello les previene de completar las instrucciones recibidas del exportador de datos y sus obligaciones contractuales y que en caso de un cambio a dicha legislación, el cual probablemente tenga un efecto adverso sobre las garantías y obligaciones que proporcionan las Cláusulas, se notificará oportunamente sobre el cambio al exportador de los datos tan pronto sea de su conocimiento, en cuyo caso, el exportador de los datos tendrá derecho para suspender la transferencia de los mismos y/o de terminar el contrato;
  3. que ha implementado las medidas de seguridad técnicas y organizacionales especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;
  4. que notificará oportunamente al exportador de los datos sobre:
    1. cualquier solicitud legalmente vinculante para la divulgación de los datos personales mediante una autoridad legal a menos de que se prohiba de otro modo, tal como una prohibición bajo leyes judiciales para preservar la confidencialidad de una investigación legal,
    2. cualquier acceso accidental o no autorizado, y
    3. cualquier solicitud recibida directamente de los titulares de los datos sin responder a dicha solicitud, a menos de que se haya autorizado de otra forma;
    lidiar oportuna y adecuadamente con todas las investigaciones de exportador de datos que se relacionen con su procesamiento de los datos personales sujetos a transferencia y cumplir con los consejos de la autoridad supervisante con respecto al procesamiento de los datos transferidos; bajo solicitud del exportador de los datos, emitir sus medios de procesamiento de datos para su auditoría de actividades de procesamiento que se cubren en las cláusulas, lo cual se deberá llevar a cabo por medio del exportador de los datos o mediante un cuerpo de inspección compuesto de miembros independientes y en posesión de las certificaciones profesionales requeridas y ligadas por deber o confidencialidad, seleccionadas por el exportador de los datos, cuando sea aplicable, de acuerdo con la autoridad supervisora;
  5. poner a disposición para el titular de los datos bajo solicitud una copia de las Cláusulas, o de cualquier contrato existente para el subprocesamiento, a menos de que dichas Cláusulas o contrato contengan información compercial, en cuyo caso pudiera eliminar dicha información comercial, con excepción del Apéndice 2, el cual se deberá reemplazar con un resumen descriptivo de las medidas de seguridad en esos casos donde el titular de los datos no puede obtener una copia del exportador de los datos;
  6. que, en caso de subprocesamiento, se ha informado previamente al exportador de los datos y se ha obtenido una aprobación previa por escrito;
  7. que los servicios de procesamiento del subprocesador se llevarán acabo de acuerdo con la Cláusula 11; y
  8. enviar al exportador de los datos oportunamente una copia de cualquier contrato de subprocesamiento que se concluya bajo las Cláusulas.

Cláusula 6: Responsabilidades

  1. Las partes concuerdan que cualquier titular de los datos que haya sufrido daños como resultado de cualquier violación a las obligaciones descritas en la Cláusula 3 o en la Cláusula 11 por parte de cualquier subprocesador tiene derecho a recibir una compensación del exportador de los datos por dicho daño sufrido.
  2. Si algún titular de los datos no puede presentar un reclamo de indemnización en contra del exportador de los datos de acuerdo con el párrafo 1, la cual se derive de una violación por parte del importador de los datos o de su subprocesador o de cualquiera de sus obligaciones que se describen en la Cláusula 3, o en la Cláusula 11, debido a que el exportador de los datos ha desaparecido realmente o dejado de existir ante la ley, o se haya declarado insolvente, el importador de los datos acuerda que el titular de los datos puede emitir un reclamo contra este como si fuera el exportador de los mismos, a menos de que alguna entidad sucesora haya asumido las obligaciones legales íntegras del exportador de los datos contractualmente o mediante la aplicación de la ley, en cuyo caso, el sujeto de los datos puede hacer valer sus derechos contra dicha entidad.

    El importador de los datos no podrá depender en argumentar una violación mediante un procesador de sus obligaciones para evitar sus propias responsabilidades.
  3. Si un titular de los datos no puede presentar un reclamo en contra del exportador o importador de los datos a los cuales se hace referencia en los párrafos 1 y 2, derivado de una violación por parte del subprocesador o por cualquiera de sus obligaciones explicadas en la Cláusula 2 o en la Cláusula 11 ya que ambos, importador y exportador, hayan desaparecido realmente o dejado de existir ante la ley, o se hayan declarado insolventes, el subprocesador acuerda que el titular de los datos podrá emitir un reclamo contra el subprocesador de los datos con respecto a sus propias operaciones de procesamiento bajo las Cláusulas como si fuera el exportador o importador de los mismos, a menos de que cualquier entidad sucesora haya asumido las obligaciones íntegras del exportador o importador de los datos contractualmente o por aplicación de la ley, en cuyo caso, el titular de los datos puede hacer valer sus derechos en contra de dicha entidad. La responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento bajo las Cláusulas.

Cláusula 7: Mediación y Jurisdicción

  1. El iimportador de los datos acuerda que si el titular de los datos apelase en contra de sus derechos de beneficiario tercero y/o reclama una compensación por daños bajo las Cláusulas, el importador de los datos aceptará la decisión del titular de los datos:
    1. para referir la disputa de mediación, mediante una persona independiente o, cuando sea aplicable, mediante la autoridad supervisora;
    2. referir la disputa en las cortes del Estado Miembro en el cual se establece el exportador de los datos.
  2. Las partes acuerdan que la elección que haga el titular de los datos no perjudicará sus derechos sustantivos o procesales para buscar remedios de acuerdo con otras disposiciones de la ley internacional o nacional.

Cláusula 8: Cooperación con las autoridades supervisantes

  1. El exportador de los datos acuerda depositar una copia de este contrato con la autoridad supervisora si así lo requiere o si dicho depósito se requiere bajo la ley de protección de datos aplicable.
  2. Las partes concuerdan que la autoridad supervisora tiene el derecho de conducir una auditoría del importador de los datos, y de cualquier subprocesador, la cual tiene el mismo alcance y está sujeta a las mismas condiciones que aplcarían en una auditoría del exportador de los datos bajo la ley de protección de datos aplicable.
  3. El importador de los datos deberá informar de manera oportuna al exportador de los datos acerca de la existencia de la legislación aplicable a éste o a cualquier subprocesador, previniendo la conducción de una auditoría al importador de los datos o a cualquier subprocesador de acuerdo con el párrafo 2. En tal caso, el exportador de datos tendrá derecho de tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9: Ley Aplicable.

Las Cláusulas deberán regirse por medio de la ley del Estado Miembro en el cual se establece el exportador de los datos.

Cláusula 10: Variación del contrato

Las partes se comprometen a no variar o modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre los asuntos relacionados con los negocios conforme se requieran mientras que éstas no contradigan la Cláusula.

Cláusula 11: Subprocesamiento

  1. El importador de los datos no deberá subcontratar ninguna de sus operaciones de procesamiento que se realicen en nombre del exportador de los datos bajo las Cláusulas sin el consentimiento previo y por escrito del exportador de los datos. En caso de que el importador de los datos subcontrate sus obligaciones debajo de las Cláusulas, con el consentimiento del exportador de los datos, deberá hacerlo únicamente por medio de un contrato por escrito con el subprocesador, el cual imponga las mismas obligaciones en el subprocesador que se impusieron en el importador de los datos bajo las Cláusulas. Donde sea que el subprocesador incumpla con sus obligaciones de protección de datos bajo dicho contrato por escrito, el importador de los datos deberá ser plenamente responsable del exportador de los datos por el cumplimiento de las obligaciones del subprocesador bajo dicho contrato.
  2. El contrato escrito previo entre el importador de los datos y el subprocesador también deberá proporcionar una cláusula de terceros beneficiarios de acuerdo con lo asentado en la Cláusula 3 para los casos en donde el titular de los datos no pueda preentar una reclamación de compensación como se refiere en el párrafo 1 de la Cláusula 6 en contra del exportador o del importador de los datos debido a que han desaparecido realmente o han dejado de existir ante la ley o se hayan declarado insolventes y ninguna entidad sucesora haya asumido las obligaciones legales íntegras del exportador o importador de los datos contractualmente o mediante la ley aplicable. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.
  3. Las disposiciones que se relacionan con los aspectos de protección de datos para el subprocesamiento del cntracto al cual se refiere en el párrafo 1 deberán regirse por la ley del Estado Miembro en el cual se establezca el exportador de los datos.
  4. El exportador de los datos deberá mantener una lista de contratos de subprocesamiento que se celebren bajo las Cláusulas y que el importador de los datos notifique de acuerdo con la Cláusula 5 (j), la cual se debe actualizar por lo menos una vez al año. La lista deberá estar disponible para la autoridad supervisora de protección de datos del exportador de los datos.

Cláusula 12: Obligaciones después de la terminación de los servicios de procesamiento de datos personales

  1. Las partes acuerdan que, en la terminación de la prestación de los servicios de procesamiento de datos, el importador y subprocesador de los mismos deberá, a elección del exportador, regresar todos los datos personales transferidos y las copias de los mismos al exportador de los datos o deberá destruir todos los dtos personales y certificar ante el exportador de los datos que así lo ha hecho, a menos de que la legislación impuesta en el importador de los datos impida que regrese o destrulla todos o parte de los datos personales transferidos. En dado caso, el importador de los datos justifica que garantizará la confidencialidad de los datos personales transferidos y que ya no procesará activamente dichos datos personales.
  2. El importador de los datos y el subprocesador garantizan que, bajo solicitud del exportador de los datos y/o de la autoridad supervisora, emitirán sus instalaciones de procesamiento de datos para auditoría de las medidas descritas en el párrafo 1.

Apéndice 1 para las Cláusulas Contractuales Estándar (UK)

Exportador de datos: El Cliente es el exportador de datos. El exportador de datos es un usuario de los Servicios en Línea o Servicios Profesionales de acuerdo a lo que se define en el DPA y en el Acuerdo de Cliente de GitHub.

Importador de los datos: El importador de los datos es GitHub, Inc., un productor global de software y servicios.

Titulares de los datos: Los titulares de los datos incluyen a los representantes de los exportadores de datos y a los usuarios finales, incluyendo a los empleados, consultores, colaboradores, y clientes del exportador de los datos. Los titulares de los datos también podrían incluir a aquellos individuos que intentan comunicarse o transferir datos personales a los usuarios de los servicios proporcionados por el importador de los datos. GitHub reconoce que, dependiendo del uso del Cliente para el Servicio en Línea o Servicios Profesionales, este podrá elegir el incluir datos personales desde cualquier otro de los siguientes tipos de sujetos de datos en ellos:

  • Empleados, consultores y trabajadores temporales (actuales, previos o futuros) del exportador de los datos;
  • Consultores/personas de contacto del exportador de datos (personas naturales) o los empleados, consultores o trabajadores temporales de la entidad legal de las personas de contacto/consultores (actuales, futuros, pasados);
  • Usuarios y otros sujetos de datos que sean usuarios de servicios de exportación de datos;
  • Socios, interesados o individuos que colaboren, se comuniquen o interactuen activamente de otra forma con los empleados del exportador de los datos y/o que utilicen herramientas de comunicación tales como apps y sitios web que proporcione el exportador de los datos.

Categorías de los datos: Los datos personales transferidos que se incluyen en los correos electrónicos, documentos y en otros tipos de datos en forma electrónica o en el contexto del Servicio en Línea o de los Servicios Profesionales. GitHub reconoce que, dependiendo del uso que el Cliente dé al Servicio en Línea o Servicios Profesionales, este podrá elegir incluir datos personales de cualquiera de las siguientes categorías entre los suyos:

  • Datos personales básicos (por ejemplo: lugar de nacimiento, nombre de calle y número de casa (dirección), código postal, ciudad de residencia, país de residencia, número de teléfono móvil, nombre, apellido, iniciales, dirección de correo electrónico, género, fecha de naciemiento);
  • Datos de autenticación (por ejemplo: nombre de usuario, contraseña, código PIN, pregunta de seguridad, rastro de auditoría);
  • Información de contacto (por ejemplo: direcciones, correo electrónico, números telefónicos, identificadores de redes sociales; detalles de contactos de emergencia);
  • Números de identificación únicos y firmas (por ejemplo: direcciones IP, número de empleado, número de alumno);
  • Identificadores pseudónimos;
  • Fotos, video y audio;
  • Actividad en internet (por ejemplo; historial de búsqueda, actividades de visualización y lectura);
  • Identificación de dispositivos (por ejemplo, número IMEI, número de tarjeta SIM, dirección MAC);
  • Perfilado (por ejemplo: con base en el comportamiento criminal o antisocial que se haya observado o perfiles pseudónimos con base en las URL visitadas, clics en transmisiones, bitácoras de búsqueda, direcciones IP, dominios, apps instaladas o perfiles con base en las preferencias de mercadeo);
  • Categorías especiales de datos que los sujetos de datos proporcionen de forma voluntaria (por ejemplo: origen racial o étnico, opiniones políticas, creencias filosóficas o religiosas, membrecías de sindicatos, datos genéticos, datos biométricos para identificar únicamente a una persona natural, datos sobre la salud, datos sobre la vida u orientación sexual de una persona o datos relacionados con convicciones u ofensas criminales); o
  • Cualquier otro tipo de datos identificados en el Artículo 4 de la GDPR.

Operaciones de procesamiento: Los datos personales transferidos estarán sujetos a las siguientes actividades de procesamiento básicas:

  1. Duración y propósito del procesamiento de datos. La duración del procesamiento de datos deberá ser por el periodo de tiempo desganado bajo el Acuerdo de Cliente de GitHub aplicable entre el exportador y el importador de datos. El objetivo del procesamiento de los datos es el desempeño de los Servicios en Línea y Servicios Profesionales.
  2. Alcance y propósito del procesamiento de datos. El alcance y propósito de procesar datos personales se describe en la sección "Procesamiento de Datos Personales; GDPR" del DPA. El importador de datos opera una red global de centros de datos e instalaciones de soporte/administración y dicho procesamiento podría tomar lugar en cualquier jurisdicción en donde el importador de datos o sus subprocesadores operen dichas instalaciones de acuerdo con la sección de "Prácticas y Políticas de Seguridad" del DPA.
  3. Acceso a los datos personales. Durante el periodo designado bajo el Acuerdo de Cliente de GitHub aplicable, el importador de datos, bajo su elección y de acuerdo como sea necesario bajo la ley aplicable, ya sea: (1) proporcionará al exportador de datos la capacidad de corregir, borrar o bloquear los datos personales, o (2) realizará dichas correcciones, borrados o bloqueos en su nombre.
  4. Instrucciones del exportador de datos. Para el caso de los Servicios en Línea y Servicios Profesionales, el importador de datos solo actuará según las instrucciones del exportador de datos de acuerdo a lo convenido por GitHub.
  5. Borrado o devolución de datos personales. Cuando venza o finalice el uso de los Servicios en Línea o Servicios Profesionales por parte del exportador de datos, este podrá extraer datos personales y el importador de datos borrará dichos datos personales, cada uno de acuerdo con los Términos del DPA que apliquen al acuerdo.

Subcontratistas: De acuerdo con la DPA, el importador de los datos podrá contratar a otras compañías para proporcionar servicios limitados en nombre del importador de los datos, tales como proporcionar soporte al cliente. Se permitirá a cualquier subcontratista obtener los datos personales únicamente para entregar los servicios que el importador de datos haya retenido en su entrega y se prohibirá utilizar datos personales para cualquier otro propósito.

Apéndice 2 para las Cláusulas Contractuales Estándar (UK)

Descripción de las medidas de seguridad técnicas y organizacionales implementadas por el importador de los datos de acuerdo con las Cláusulas 4(d) y 5(c):

  1. Personal. El personal del importador de datos no procesará datos personales sin autorización. El personal está obligado a mantener la confidencialidad de cualquier dato personal y dicha obligación seguirá incluso después de que su relación termine.
  2. Contacto de privacidad de datos. Se puede contactar al Director de privacidad de datos del importador de datos en la siguiente dirección:
    GitHub, Inc.
    Attn: Privacy
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 EE.UU.
  3. Medidas técnicas y organizacionales. El importador de datos ha implementado y mantendrá las medidas técnicas y organizacionales, controles internos y rutinas de seguridad informática adecuados y previstos para la protección de datos personales de acuerdo con lo que se define en la sección de Políticas y Prácticas de Seguridad del DPA contra la pérdida accidental, destrucción o alteración; divulgación no autorizada o acceso o destrucción ilegal de acuerdo con lo siguiente: Las medidas técnicas y organizacionales, controles internos y rutinas de seguridad informática establecidas en la sección de Políticas y Prácticas de Seguridad del DPA se incorporan al presente Apéndice 2 mediante esta referencia y vinculan al importador de datos como si se hubieran establecido en este Apéndice 2 íntegramente.

Apéndice 3 para las Cláusulas Contractuales Estándar (UK)

Adenda de Salvaguardas Adicionales

Mediante la presente Adenda de Salvaguardas Adicionales a las Cláusulas Contractuales Estándar (UK) (esta "Adenda"), GitHub, Inc. ("GitHub") proporciona salvaguardas adicionales a los clientes y direcciones adicionales a los sujetos de datos a quienes se refieren los datos personales de Cliente.

La presente Adenda complementa y se hace parte de, pero no para variar ni modificar a, las Cláusulas Contractuales Estándar (UK).

  1. Impugnaciones a las órdenes. Adicionalmente a la Cláusula 5(d)(i) de las Cláusulas Contractuales Estándar (UK), en caso de que GitHub reciba una orden de cualquier tercero sobre la divulgación obligatoria de cualquier dato personal que se haya transferido bajo las Cláusulas Contractuales Estándar (UK), GitHub deberá:
    1. utilizar esfuerzos razonables para redirigir al tercero para que solicite los datos directamente del Cliente;
    2. notificar inmediatamente al Cliente, a menos de que la legislación aplicable lo prohíba para el tercero solicitante y, en caso de que esta prohíba notificar al Cliente, utilizar esfuerzos legales para obtener el derecho de exonerar la prohibición para comunicar al Cliente tanta información como sea posible lo más rápido posible; y
    3. utilizar esfuerzos legales para impugnar la orden de divulgación con base en cualquier deficiencia legal bajo las leyes de la parte solicitante o cualquier conflicto relevante con la ley de la Unión Europea o la Ley del Estado miembro aplicable.

    Para el propósito de esta sección, los esfuerzos legales no incluirán las acciones que pudieran dar como resultado sanciones judiciales o civiles, tales como desacato a la corte bajo las leyes de la jurisdicción relevante.
  2. Indemnización de los sujetos de datos. Sujeto a las Secciones 3 y 4, GitHub deberá indemnizar a cualquier sujeto de datos por el daño material o no material al mismo que ocasiones la divulgación de sus datos personales por parte de GitHub, la cual se haya transferido bajo las Cláusulas Contractuales Estándar (UK) en respuesta a una orden de un cuerpo gubernamental o agencia policial diferentes a los de la UE/EEA (una "Divulgación Relevante"). No obstante de lo anterior, GitHub no tendrá obligación de indemnizar al sujeto de datos bajo esta sección 2 conforme a lo dispuesto cuando el sujeto de datos ya haya recibido una compensación por el mismo daño, ya sea de GitHub o de cualquier otro modo.
  3. Condiciones de indemnización. La indemnización bajo la sección 2 es condicional al establecimiento del sujeto de datos, para la satisfacción razonable de GitHub, que:
    1. GitHub participó en una Divulgación Relevante;
    2. dicha Divulgación Relevante fue la base de un procedimiento oficial del cuerpo gubernamental o agencia policial diferente a la de la UE/EEA en contra del sujeto de datos; y
    3. la Divulgación Relevante ocasionó directamente que el sujeto de datos sufriera daños materiales o no materiales.

    El sujeto de datos lleva la carga de prueba con respecto a las condiciones de la "a" a la "c".
    No obstante a lo anterior, GitHub no deberá tener obligación alguna de indemnizar al sujeto de datos bajo la Sección 2 si GitHub establece que la Divulgación Relevante no violó sus obligaciones bajo el Capítulo V de la GDPR.
  4. Alance de los daños. La indemnización bajo la sección 2 se limita a los daños materiales y no materiales estipulados en la GDPR y excluye los daños consecuenciales y todos los demás que no resulten de que GitHub haya incumplido con la GDPR.
  5. Ejercicio de derechos. Los derechos que se otorgan a los sujetos de datos bajo esta Adenda podrán hacerse valer contra GitHub independientemente de cualquier restricción de las Cláusulas 3 o 6 de las Cláusulas Contractuales Estándar (UK). El sujeto de datos solo podrá presentar una reclamación bajo esta Adenda de forma individual y no como parte de una clase, colectivo, grupo o acción representativa. Los derechos que se otorgan a los sujetos de datos bajo la presente Adenda son personales del sujeto de datos y no podrán asignarse.
  6. Aviso de cambio. Adicionalmente a la Cláusula 5(b) de las Cláusulas Contractuales Estándar (UK), GitHub acuerda y garantiza que no tiene razón para creer que la legislación aplicable a esta o a sus subprocesadores, incluyendo aquella en cualquier país al que se transfieran datos personales ya sea por ella misma o mediante un subprocesador, impide que lleve a cabo las instrucciones que recibe del exportador de datos y sus obligaciones bajo esta Adenda o bajo las Cláusulas Contractuales Estándar (UK) y que, en caso de que exista un cambio en esta legislación, el cual pueda tener efectos adversos sustanciales en las garantías y obligaciones que otorga esta Adenda o las Cláusulas Contractuales Estándar (UK), notificará inmediatamente sobre este cambio al Cliente tan pronto como se percate de él, en cuyo caso, el Cliente tendrá el derecho de suspender la transferencia de datos y/o terminar el contrato.
  7. Terminación. La presente Adenda deberá terminarse automáticamente en caso de que la Comisión Europea, la autoridad supervisora de un Estado Miembro competente, o una corte de un Estado Miembro competente de la UE apruebe un mecanismo de transferencia legal diferente que pudiera ser aplicable a las transferencias de datos que se cubren en la Cláusulas Contractuales Estándar (UK) (y si dicho mecanismo aplica únicamente a algunos tipos de transferencias de datos, la presente Adenda terminará únicamente con respecto a ellas) y no requieran las salvaguardas adicionales que se estipulan en la presente.

    Firmar las Cláusulas Contractuales Estándar (UK), Apéndice 1, Apéndice 2 y el

Adjunto 3 – Términos del Reglamento General de Protección de Datos de la Unión Europea

GitHub se compromete a seguir estos Términos relacionados con el GDRP y lo hace efectivo para todos los clientes desde el 25 de mayo de 2018. Estos compromisos vinculan a GitHub con respecto al Cliente independientemente de (1) la versión del Acuerdo de Cliente de GitHub y el DPA que, de otro modo, es aplicable a cualquier suscripción a los Servicios en Línea o (2) cualquier otro acuerdo que referencie el presente adjunto.

Para efectos de los presentes Términos relacionados con el GDPR, el Cliente y GitHub acuerdan que el Cliente es el controlador de los Datos Personales y GitHub es el procesador de los mismos, excepto cuando el Cliente actúe como procesador de Datos Personales, en cuyo caso, GitHub, será un subprocesador. Los presentes Términos relacionados con el GDRP aplican al procesamiento de Datos Personales, dentro del alcance del GDPR, por parte de GitHub en nombre del Cliente. Los presentes Términos relacionados con el GDPR no limitan ni reducen ninguno de los compromisos para la protección de datos que GitHub hace con el Cliente en el Acuerdo de Cliente de GitHub ni en ningún otro acuerdo entre ellos. Estos Términos relacionados con el GDRP no aplican en donde GitHub sea el controlador de los Datos Personales.

Obligaciones relevantes bajo el GDPR: Artículos 28, 32 y 33

  1. GitHub no deberá contratar a otro procesador sin previa autorización por escrito, general o específica, del Cliente. En el caso de una autorización por escrito, GitHub deberá informar al Cliente de cualquier cambio previsto con respecto a la adición o reemplazo de otros procesadores, dando así al Cliente la oportunidad de refutar dichos cambios. (Artículo 28(2))
  2. El procesamiento por parte de GitHub deberá regirse por estos Términos relacionados con el GDPR bajo la legislación de la Unión Europea (en lo subsecuente "Unión") o del Estado Miembro y vinculan a GitHub con respecto al Cliente. El objeto, duración, naturaleza y propósito del procesamiento, el tipo de Datos Personales, las categorías de los sujetos de datos y las obligaciones y derechos del Cliente se establecen en el acuerdo de licencia del Cliente, incluyendo estos Términos relacionados con el GDPR. En particular, GitHub deberá:
    1. procesar los Datos Personales únicamente en las instrucciones que documente el Cliente, incluyendo con respecto a las transferencias de los Datos Personales a un país tercero o a una organización internacional, a menos de que así lo requiera la legislación de la Unión o del Estado Miembro a la cual se someta Github; en cuyo caso, GitHub deberá informar al Cliente sobre dicho requisito legal antes del procesamiento, a menos de que dicha legislación prohíba tal información con bases de interés público importantes;
    2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
    3. tomar todas las medidas requeridas de acuerdo con el artículo 32 del GDPR;
    4. respetar las condiciones a las que se refieren los párrafos 1 y 3 para la contratación de otro procesador;
    5. tomar en cuenta la naturaleza del procesamiento, asistir al Cliente mediante las medidas técnicas y organizacionales adecuadas, siempre que sea posible, para el cumplimiento de la obligación del Cliente para responder a las solicitudes por ejercer los derechos del sujeto de datos como se estipulan en el Capítulo II del GDPR;
    6. ayudará al Cliente a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32-36 del RGPD teniendo en cuenta la naturaleza del tratamiento y la información a disposición de GitHub;
    7. bajo elección del Cliente, borrar o devolver todos los Datos Personales al Cliente después de terminar el aprovisionamiento de servicios relacionados con el procesamiento y borrar las copias existentes a menos de que la legislación del Estado Miembro o la Unión requiera el almacenamiento de Datos Personales;
    8. poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento con las obligaciones que se estipulan en el Artículo 28 del GDPR y permitir y contribuir a las auditorías, incluyendo las inspecciones, que realice el Cliente o cualquier otro auditor designado por el mismo.

    GitHub deberá informar al Cliente de inmediato si, a su consideración, una instrucción infringe el GDPR u otros aprovisionamientos de protección de datos del Estado Miembro o de la Unión. (Artículo 28(3))

  3. Cuando GitHub contrate a otro procesador para llevar a cabo las actividades específicas de procesamiento en nombre del Cliente, se deberán imponer las mismas obligaciones para la protección de datos que las definidas en estos Términos relacionados con el GDPR en dicho procesador mediante un contrato u otro instrumento legal bajo la legislación del Estado Miembro o de la Unión, particularmente, que proporcione garantías suficientes para implementar las medidas técnicas y organizacionales adecuadas de tal forma que el procesamiento cumpla con los requisitos del GDPR. Cuando este otro procesador falle en cumplir con sus obligaciones de protección de datos, GitHub deberá seguir siendo totalmente responsable por el Cliente con respecto al rendimiento de las obligaciones de dicho procesador diferente. (Artículo 28(4))
  4. Tomando en cuenta las tecnologías más actuales, los costos de implementación y la naturaleza, alcance, contexto y propósitos de procesamiento, así como el riesgo de la posibilidad y severidad variables en los derechos y libertades de las personas naturales, el Cliente y GitHub deberán implementar medidas técnicas y organizacionales adecuadas para garantizar el nivel de seguridad adecuada para con el riesgo, incluyendo entre otros y conforme sea adecuado:
    1. la pseudonimización y cifrado de los Datos Personales;
    2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas en los sistemas y servicios de procesamiento;
    3. la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales de forma oportuna en caso de que exista un incidente técnico o físico; y
    4. un proceso para probar, valorar y evaluar frecuentemente la efectividad de las medidas técnicas y organizacionales para garantizar la seguridad del procesamiento. (Artículo 32(1))
  5. Al evaluar el nivel de seguridad adecuado, se deberán tomar en cuenta los riesgos que se presentan con el procesamiento, particularmente, derivados de una destrucción ilegal o accidental, pérdida, alteración, divulgación no autorizada de, o acceso a los Datos Personales transmitidos, almacenados o procesados de otra forma (Artículo 32(2)).
  6. Tanto el Cliente como GitHub deberán tomar medidas para garantizar que cualquier persona natural que actúe bajo la autoridad del Cliente o de GitHub y que tenga acceso a los Datos Personales no los procese, excepto bajo las instrucciones del Cliente, a menos de que la legislación del Estado Miembro o de la Unión así lo requieran (Artículo 32(4)).
  7. GitHub deberá notificar al Cliente sin demora indebida después de que se entere cualquier violación a los Datos Personales (Artículo 33(2)). Dicha notificación incluirá la información que un procesador deberá proporcionar a un controlador bajo el Artículo 33(3) en medida de que dicha información se encuentre razonablemente disponible para GitHub.

(1) El Acuerdo en el Área Económica Europea (Acuerdo AEE) proporciona la extensión del mercado interno de la Unión Europea a los tres Estados de la AAE, Islandia, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluyendo la Regulación (UE) 2016/679, se cubre en el Acuerdo de la AEE y se ha incorporado en el Anexo IX del mismo. Por lo tanto, cualquier divulgación del importador de datos a un tercero que se ubique en la AEE no califica como una transferencia subsecuente de acuerdo con el propósito de las presentes Cláusulas.

(2) este requisito podría satisfacerse si el subprocesador acceder a estas Cláusulas bajo el módulo adecuado, de acuerdo con la Cláusula 7.

(3) Con respecto al impacto de dichas leyes y prácticas sobre el cumplimiento de estas Cláusulas, se pueden considerar diversos elementos como parte de una valoración general. Dichos elementos podrían incluir la experiencia práctica documentada y relevante con instancias anteriores de solicitudes para la divulgación por parte de autoridades públicas, o la ausencia de estas, cubriendo un marco de tiempo representativo suficiente. Esto se refiere en particular a los registros internos u otra documentación, elaborados bajo una base continua de acuerdo con la diligencia debida y certificada a nivel administrativo superior, en caso de que dicha información pueda compartirse legalmente con terceros. Si bien se confiará en que esta experiencia práctica concluye que no se prevendrá que el importador de los datos cumpla con estas Cláusulas, necesita respaldarse con otros elementos objetivos y relevantes y concierne a las Partes considerar cuidadosamente si dichos elementos, en conjunto, tienen el peso suficiente, en materia de su confiabilidad y representatividad, para apoyar a esta conclusión. Particularmente, las Partes deben tomar en cuanta si su experiencia práctica se corrobora y no se contradice conforme a la información confiable de disposición pública (o de otra forma) sobre la existencia o ausencia de las solicitudes dentro del mismo sector y/o la aplicación de la ley vigente, tal como leyes de casos y reportes de cuerpos de supervisión independientes.