Todos los términos en mayúsculas no definidos en este DPA tendrán el significado que se les atribuye en el Contrato. Las siguientes palabras y expresiones tendrán el significado que se indica a continuación:

1.1. «Decisión de Adecuación» significa que el destinatario, o el país o territorio en el que se tratan los datos personales, garantiza un nivel adecuado de protección de los derechos y libertades de los interesados en relación con el tratamiento de los Datos Personales según lo determinado por la Comisión Europea (en la fecha de iniciación de la vigencia del Contrato, la lista está disponible aquí);

1.2. «CPRA» significa la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act), modificada por la Ley de Derechos de Privacidad de California (California Privacy Rights Act), Cal. Civ. Code § 1798.100 et seq;

1.3. «DPA» significa el presente Adendum sobre Tratamiento de Datos y sus Anexos, suscritos entre las Partes como parte del Contrato;

1.4. «Leyes de Protección de Datos» significa cualquier legislación aplicable a Veriff o al Cliente que proteja los derechos y libertades fundamentales de las personas y su derecho a la privacidad con respecto al tratamiento de Datos Personales, como el Reglamento GDPR, las Leyes de Protección de Datos de los Estados Unidos, cualquier legislación nacional implementada o complementaria y cualquier otra ley de protección de datos o privacidad aplicable en un determinado momento a Veriff o al Cliente. En el presente DPA, los términos «responsable del tratamiento», «empresa», «encargado del tratamiento», «interesado», «tratamiento», «proveedor de servicios», «sub-encargado del tratamiento» y sus respectivos términos derivados tendrán los significados establecidos en las Leyes de Protección de Datos;

1.5.  «Datos No Identificados» significa los datos creados utilizando Datos Personales que no pueden vincularse razonablemente a dichos Datos Personales, ya sea directa o indirectamente;

1.6. «GDPR» significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de Datos Personales y a la libre circulación de dichos datos;

1.7. «Fines Comerciales Permitidos» significa el uso de Datos Personales para los fines operativos razonablemente necesarios, incluidos los descritos en la CPRA y para los siguientes fines para los que Veriff está tratando los Datos Personales: (i) garantizar el cumplimiento de la normativa aplicable, incluida la conservación de pruebas de ello para el cumplimiento de sus obligaciones legales, (ii) para establecer, ejercer o defender una reclamación legal, (iii) desarrollar, probar, mejorar y alterar la funcionalidad del Servicio, incluido el aprendizaje automático, la anotación de datos, las pruebas y la formación, la prevención del fraude y los fines de detección, y la producción de informes estadísticos anónimos o anónimos y agregados y la investigación;

1.8. «Datos Personales» significa cualquier Dato del Cliente que: (a) esté vinculado o sea razonablemente vinculable a una persona física identificada o identificable; o (b) de alguna manera se trate de cualquier «dato personal», «información personal», «información de identificación personal» o datos o información definidos de forma similar de conformidad con lo previsto en las Leyes de Protección de Datos, incluidos: (i) los nombres y datos de contacto de los Usuarios Finales; (ii) los detalles de los documentos de los Usuarios Finales (documento de identificación, licencia de conductor, recibo o constancia para el pago de servicios públicos, según corresponda), incluida la foto del documento, el tipo de documento, el número, la fecha de emisión y la fecha de caducidad, la fecha de nacimiento, la edad estimada, el contenido de los campos extraídos dependiendo de las funciones del Servicio elegidas; (iii) fotografías, vídeos y grabaciones de audio de los Usuarios Finales capturados a través del Servicio; (iv) datos biométricos faciales relativos a los Usuarios Finales; (v) los resultados del proceso de verificación de identidad/autenticación realizado a través del Servicio; (vi) datos disponibles en Sitios de Terceros, en su caso; (vii) datos de uso del dispositivo y del Servicio de los Usuarios Finales, incluida la duración del uso del Servicio por parte del Usuario Final, la actividad en el Servicio, la dirección IP, el nombre de dominio, la información de red, los atributos de software y hardware, la ubicación geográfica en general (p. ej., ciudad, estado, país); (viii) los datos de uso del Servicio y del dispositivo de los Usuarios Finales, incluida la duración del uso del Servicio por parte del Usuario (por ejemplo, ciudad, estado, país); y (viii) cualquier otro Dato Personal del Usuario Final que Veriff trate en nombre del Cliente en relación con el uso y acceso del Cliente al Servicio. Los Datos no identificados quedan excluidos de la definición de Datos Personales;

1.9. «Vendido» y «Compartido» tienen el significado que se les atribuye en las Leyes Sobre Protección de Datos de E.U;

1.10. «Cláusulas Contractuales Estándar” significa las cláusulas estándar de protección de datos adoptadas con base en la Resolución de Implementación (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales estándar para la transferencia de Datos Personales a los países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, en su versión vigente o modificada o sustituida en un determinado momento por la Comisión Europea, cualquier autoridad de protección de datos aplicable u otro organismo con autoridad y jurisdicción competentes;

1.11. «Leyes de Protección de Datos de Estados Unidos» significa, en la medida en que sean aplicables a Veriff o al Cliente, las leyes federales y estatales de Estados Unidos (incluida, entre otras, la CPRA) relativas a la protección de datos y/o la privacidad y el tratamiento de Datos Personales, en su versión vigente o modificada o sustituida en un determinado momento.

2.1. El Cliente será el responsable de los Datos Personales, y tratará los Datos Personales de conformidad con las Leyes de Protección de Datos.

2.2. Veriff se encargará de:

(a) tratar los Datos Personales por y en nombre del Cliente según sea necesario para la prestación del Servicio, lo que incluye la implementación de la garantía de calidad del Servicio y, en la medida en que lo permita la ley para todos los efectos propios de los Fines Comerciales Permitidos. Veriff tratará los Datos Personales siguiendo las instrucciones del Cliente, a menos que el tratamiento de éstos esté permitido o sea obligatorio por virtud de lo dispuesto en la legislación de la Unión Europea, de cualquier Estado Miembro de la Unión Europea o por cualquier otra legislación aplicable a la que Veriff esté sujeta; en dicho caso, Veriff informará al Cliente antes de tratar los Datos Personales, a menos que Veriff no esté legalmente autorizada para informar al Cliente.

(b) tratar los Datos Personales en la medida necesaria para llevar a cabo los Fines Comerciales Permitidos.

2.3. Por lo que respecta a los Datos Personales de los representantes de las Partes, cada una de ellas será responsable individualmente del cumplimiento de las obligaciones que le incumban según lo dispuesto en las Leyes de Protección de Datos.

3.1. El Cliente designa a Veriff para tratar los Datos Personales en nombre del Cliente y de conformidad con sus instrucciones, y en los términos del Contrato, el presente DPA y los anexos aplicables, según sea razonablemente necesario para prestar el Servicio y para los Fines Comerciales Permitidos, y según lo acuerden posteriormente las Partes por escrito. Cualquier convenio posterior estará sujeto al presente DPA.

3.2. Las instrucciones del Cliente para el tratamiento de los Datos Personales deberán cumplir con las Leyes de Protección de Datos de tal forma que Veriff no infrinja cualquier tipo de ley o normativa aplicable, incluidas las Leyes de Protección de Datos. El Cliente reconoce que Veriff no es responsable de determinar qué leyes son aplicables a la actividad del Cliente ni si la prestación del Servicio por parte de Veriff cumple o no los requisitos de dichas leyes. Veriff informará al Cliente en caso de que Veriff considere desde una perspectiva razonable que las instrucciones del Cliente entran en conflicto con los requisitos del Reglamento GDPR, y Veriff tiene derecho a negarse a ejecutar aquellas instrucciones que no cumplan con el Reglamento GDPR. En caso de que las instrucciones del Cliente excedan el alcance del Contrato o del presente DPA, o supongan esfuerzos de desarrollo adicionales por parte de Veriff, antes de cumplir con la instrucción de que se trate, las Partes podrán acordar los honorarios adicionales pagaderos a Veriff.

3.3. El Cliente garantizará el cumplimiento de las Leyes de Protección de Datos en relación con los Datos Personales revelados e intercambiados con Veriff de conformidad con este DPA (para el Servicio y para los Fines Comerciales Permitidos), incluida la precisión, calidad y legalidad del tratamiento de los Datos Personales por las Partes, los medios por los que el Cliente adquiere los Datos Personales y la expedición de todos los avisos informativos a los Usuarios Finales y referencias a Veriff (incluido el aviso de privacidad de Veriff) con base en lo exigido por las Leyes de Protección de Datos.

3.4. El Cliente garantiza que, antes de poner el Servicio a disposición de sus Usuarios Finales y revelar los Datos Personales para el Servicio y los Fines Comerciales Permitidos, dispone de una base legal adecuada de conformidad con lo dispuesto en las Leyes de Protección de Datos para el tratamiento legal de los Datos Personales por parte de Veriff de conformidad con el presente DPA. El Cliente reconoce que el hecho de disponer de una base legal adecuada puede incluir, entre otras cosas, la obtención de consentimientos y la comunicación de periodos de retención para el tratamiento de los Datos Personales del Usuario Final (incluidos los datos biométricos y de documentos), si así lo exigen las Leyes de Protección de Datos. A petición razonable de Veriff, el Cliente proporcionará sin demora a Veriff la prueba de que dispone de la base legal adecuada, los avisos y comunicados, los consentimientos y las políticas de retención requeridos, según sea necesario, para el tratamiento legal de conformidad con este DPA.

3.5. Cuando procese Datos Personales de un menor de edad, el Cliente obtendrá los consentimientos legales requeridos, incluyendo, pero no limitándose a, consentimientos plenos y legales del tutor legal del menor de edad, o autorizará el tratamiento de otra manera, tal y como exigen las Leyes de Protección de Datos.

3.6. El Cliente informará a Veriff de las Sesiones no autorizadas, después de lo cual Veriff, siguiendo las instrucciones del Cliente, eliminará o aplicará otras medidas técnicas a los Datos Personales relacionados tratados por Veriff o cualquier sub-encargado. Si Veriff detecta una Sesión no autorizada determinada por el Cliente, podrá eliminar los Datos Personales tratados por Veriff o cualquier sub-encargado del tratamiento. Veriff tiene derecho a suprimir, difuminar, desidentificar o hacer ilegibles de cualquier otro modo los Datos Personales que no puedan tratarse con base en lo dispuesto en la legislación aplicable.

4.1. El Cliente otorga una autorización general para que Veriff contrate a sub-encargados para el tratamiento de los Datos Personales, siempre que (i) Veriff celebre un convenio por escrito con el sub-encargado en cuestión; y (ii) el convenio escrito con el sub-encargado no sea menos protector de los Datos Personales que el presente DPA. Cuando así lo solicite el Cliente, Veriff le informará de todos los sub-encargados actuales utilizados por Veriff. La lista actualizada de sub-encargados está disponible en la “Sub-Processor Page” de Veriff.

4.2. Veriff notificará al Cliente cualquier cambio previsto en relación con la adición o sustitución de sub-encargados que utilice para tratar los Datos Personales. El Cliente reconoce y acepta recibir notificaciones relacionadas con dichos sub-encargados a través del Servicio.  Si el Cliente se opone por escrito y por motivos razonables a un nuevo sub-encargado en un plazo de treinta (30) días desde que Veriff haya notificado al Cliente dicho cambio propuesto, entonces (i) las Partes negociarán de buena fe soluciones alternativas comercialmente razonables; o (ii) en caso de que Veriff no esté de acuerdo con la objeción del Cliente o las Partes no lleguen a una solución alternativa comercialmente razonable, entonces, previo aviso con treinta (30) días de anticipación, cualquiera de las Partes tendrá derecho a rescindir la Solicitud de Servicio aplicable, con respecto únicamente a aquellos Servicios que no puedan ser prestados por Veriff sin el uso del sub-encargado objetado.

4.3. Veriff seguirá siendo en todo momento responsable del cumplimiento de sus obligaciones con base en lo dispuesto en este DPA y será responsable ante el Cliente de los actos y omisiones de cualquier sub-encargado como si fueran actos y omisiones de Veriff.

5.1. Veriff no podrá transferir los Datos Personales a un destinatario en un país o territorio fuera del Espacio Económico Europeo a menos que:

(a) la transferencia se fundamente en una Decisión de Adecuación; o

(b) la transferencia se haga con base en lo previsto en las Cláusulas Contractuales Estandar, o en cualquier versión posterior que se publique, o en otro método de transferencia legalmente reconocido.

5.2. Si Veriff adopta un mecanismo de transferencia alternativo a los mecanismos descritos en el presente DPA, incluida cualquier nueva versión de las Cláusulas Contractuales Estándar, por ejemplo en caso de que se modifique o retire una Decisión de Adecuación u otro mecanismo de transferencia, dando lugar a la imposibilidad de usar como base el mecanismo de transferencia, entonces dicho mecanismo de transferencia alternativo se aplicará automáticamente en lugar de los mecanismos descritos en el presente DPA, y el Cliente cooperará plenamente con Veriff para firmar una modificación del presente DPA y/o adoptar cualquier otra medida que pueda ser necesaria para dar efecto legal a dicho mecanismo de transferencia alternativo. En la medida en que el Cliente o Veriff hayan adoptado y certificado el cumplimiento de dicho mecanismo alternativo de transferencia, el Cliente declara y garantiza que cumplirá todos los principios y términos legales de dicho mecanismo alternativo de transferencia. Además, en caso de que un tribunal de jurisdicción competente o una autoridad supervisora ordene (por cualquier motivo) que las medidas descritas en el presente DPA no pueden ser invocadas para transferir legalmente Datos Personales transfronterizos, entonces, a petición de cualquiera de las Partes, la otra Parte cooperará plenamente para tomar las medidas que sean necesarias para subsanar dicho incumplimiento.

5.3. Si los Datos Personales se transfieren (incluida su revelación a través del Servicio) al Cliente fuera (i) del Espacio Económico Europeo, o (ii) de una jurisdicción con una Decisión de Adecuación, los Módulos 1 y 4 de las Cláusulas Contractuales Estándar se incorporan por referencia y formarán parte integrante del Contrato de conformidad con el presente DPA. Se considerará que las Partes que celebran el Contrato suscriben también las Cláusulas Contractuales Estándar y sus Apéndices. Si las Cláusulas Contractuales Estándar son aplicables de conformidad con esta sección, las Partes convienen y aceptan que:

(a) Veriff es el «exportador de datos» y el Cliente es el «importador de datos»,

(b) en la Cláusula 7, no se aplica la cláusula de acoplamiento opcional,

(c) en la Cláusula 11, no se aplica el lenguaje opcional,

(d) de conformidad con las Cláusulas 17 (Legislación Aplicable) y 18 (Elección del Foro y Jurisdicción), cualquier litigio derivado de las Cláusulas Contractuales Estándar se resolverá de conformidad con la legislación de la República de Estonia en el Tribunal del Condado de Harju (Estonia, Tallin). Para efectos de la cláusula 17, la opción 1 es la aplicable para el Módulo 1,

(e) Los detalles exigidos con base en lo dispuesto en los anexos de las Cláusulas Contractuales Estándar aparecen en este documento, incluyendo su «Anexo A”.

6.1. Veriff aplicará y mantendrá las medidas técnicas y organizacionales adecuadas, tal como se describen en la sección «Controles de Seguridad» del Contrato, para garantizar un nivel de seguridad adecuado al riesgo. Veriff tendrá derecho de modificar y actualizar unilateralmente dichas medidas, siempre que ello no suponga una disminución sustancial en la seguridad general del Servicio.

6.2. Veriff cuenta con las certificaciones y auditorías de terceros descritas en la sección «Controles de Seguridad» del Contrato. Previa solicitud por escrito del Cliente en intervalos razonables y con sujeción a las obligaciones de confidencialidad establecidas en el Contrato, Veriff pondrá a disposición del Cliente (o del auditor externo independiente del Cliente) información relativa al cumplimiento por parte de Veriff de las obligaciones establecidas en el presente DPA en forma de resumen, o copia de las auditorías o certificaciones de terceros más recientes de Veriff descritas en la sección «Controles de Seguridad» del Contrato.

6.3. El Cliente podrá ponerse en contacto por escrito con Veriff para solicitar una auditoría adicional de las actividades de tratamiento de Datos Personales de Veriff cubiertas por el presente DPA. El Cliente podrá llevar a cabo la auditoría adicional por sí mismo o a través de un auditor externo independiente cuando:

(a) la información disponible con arreglo a esta sección no es suficiente para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA;

(b) el Cliente ha recibido un aviso de Veriff sobre una violación de la seguridad de los Datos Personales; o

(c) dicha auditoría sea exigida por las Leyes de Protección de Datos o por la autoridad controladora competente del Cliente.

6.4. La auditoría adicional deberá incluir un plan de auditoría en el que se detallen los elementos de cumplimiento objeto de la auditoría. Las Partes convienen que la auditoría adicional se llevará a cabo:

(a) hasta una vez al año mediante aviso previo por escrito con al menos 30 días. Si una urgencia justifica un plazo de preaviso más breve, Veriff se esforzará de buena fe por atender la nueva solicitud de auditoría;

(b) durante el horario comercial habitual de Veriff sin interferencias injustificadas con las operaciones cotidianas de Veriff; y

(c) actuando de forma razonable y proporcionada, teniendo en cuenta la naturaleza y complejidad de los Servicios utilizados por el Cliente.

Antes de proceder a una nueva auditoría, las Partes acordarán mutuamente el alcance, el calendario y la duración de la auditoría, así como el porcentaje de reembolso del cual será responsable el Cliente. Los porcentajes de reembolso serán razonables, teniendo en cuenta los recursos erogados por Veriff o en su nombre.

6.5. Si una de las Partes tiene conocimiento de una violación real o razonablemente sospechada respecto de la seguridad en el Servicio que provoque la destrucción accidental o ilícita, la pérdida, alteración, divulgación no autorizada o el acceso a Datos Personales, entonces dicha Parte:

(a) notificará a la otra Parte el incidente de seguridad sin demora injustificada,

(b) investigará el incidente de seguridad y prestará la asistencia razonable a la Parte (y a cualquier funcionario encargado de hacer cumplir la ley o funcionario regulador) que sea necesaria para investigar el incidente de seguridad, y

(c) tomará medidas para subsanar cualquier incumplimiento de este DPA.

El Cliente deberá confirmar y acordar previamente con Veriff respecto de cualquier incidente de seguridad que sea necesario comunicar al público o a los Usuarios Finales.

6.6. Veriff limitará el acceso a los Datos Personales al personal que tenga la necesidad (comercial) de tener acceso a dichos Datos Personales, y se asegurará de que dicho personal esté sujeto a un convenio de confidencialidad al menos tan protector de los Datos Personales como los términos de este DPA y el Contrato.

6.7. Cada una de la Partes hace constar que:

(a) no ha creado respaldos o programaciones similares que pudieran utilizarse para acceder al sistema y/o a los Datos Personales,

(b) no ha creado o modificado intencionadamente sus procesos empresariales de forma que se facilite el acceso a los Datos Personales o a los sistemas, y

(c) la legislación nacional o las políticas gubernamentales no exigen a dicha Parte crear o mantener respaldos o facilitar el acceso a Datos Personales o sistemas o que la Parte tenga en su poder o entregue la clave de cifrado.

Sin perjuicio de otros derechos aplicables de Veriff, Veriff tendrá derecho a rescindir el Contrato y el DPA con efectos inmediatos si el Cliente contraviene lo despuesto en los apartados (a) a (c) de esta sección.

7.1. En la medida en que lo permita la legislación aplicable, Veriff notificará al Cliente cualquier solicitud que haya recibido del Usuario Final en relación con los Datos Personales y remitirá al Usuario Final al Cliente. El Cliente tramitará la solicitud del Usuario Final. Para efectos de mayor claridad, Veriff tendrá derecho a comunicarse con el Usuario Final para aclarar la solicitud, incluido si la solicitud se presenta en relación con el Cliente, y a proporcionar información al Usuario Final sobre la identidad del Cliente.

7.2. Veriff proporcionará al Cliente la asistencia razonable que sea necesaria para que el Cliente cumpla con su obligación (con base en lo dispuesto en las Leyes de Protección de Datos) de responder a las solicitudes del Usuario Final, incluida, si procede, la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos establecidos en las Leyes de Protección de Datos.

7.3. Cualquier Parte notificará a la otra Parte cualquier solicitud de divulgación de los Datos Personales del Servicio o cualquier consulta sobre el Servicio o el tratamiento de los Datos Personales de Veriff por parte de un organismo gubernamental o regulador o una autoridad encargada de hacer cumplir la ley (incluyendo cualquier autoridad supervisora de la protección de datos), a menos que lo prohíba la ley o una orden legalmente vinculante de dicho organismo o dependencia gubernamental.

8.1. Teniendo en cuenta la naturaleza del tratamiento, y en la medida exigida por la legislación sobre protección de datos:

(a) Las Partes harán todo lo razonablemente posible y no obstaculizarán los esfuerzos de la otra Parte en pro del cumplimiento, para ayudarse mutuamente mediante la aplicación de las medidas técnicas y organizacionales apropiadas y todas las demás medidas de cumplimiento necesarias, en la medida en que ello sea posible, para el cumplimiento de la obligación de las Partes de cumplir las Leyes de Protección de Datos y responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en las Leyes de Protección de Datos;

(b) Veriff prestará una asistencia razonable al Cliente en las evaluaciones de impacto sobre la protección de datos y en las consultas previas a las autoridades de control, en cada caso únicamente en relación con el tratamiento de los Datos Personales y teniendo en cuenta la información de que disponga Veriff. Esta asistencia podrá consistir en un servicio de pago similar al establecido en la sección 6.4 referente al tema de la auditoría.

8.2. Teniendo en cuenta la naturaleza del tratamiento de los Datos Personales, cada una de las Partes prestará a la otra asistencia razonable en relación con su obligación de cumplir con las Leyes de Protección de Datos.

9.1. El Cliente reconoce que las prácticas de retención de datos de Veriff varían en función de la oferta de Servicio y del tipo de Datos Personales enviados al Servicio. Las prácticas de retención de datos de Veriff se detallan en su página web “Data Retention Page”. A menos que el Cliente solicite otra cosa, o las Partes lo acuerden por escrito o el Cliente lo modifique en el Servicio, se aplicarán los plazos de retención especificados en la Página de Retención de Datos.

9.2. A petición del Cliente, y siempre que dicha solicitud se reciba a más tardar 14 días naturales después de la rescisión o vencimiento del Contrato, Veriff apoyará al Cliente para lograr recuperar la copia de los Datos Personales en el Servicio; a partir de entonces, Veriff dispondrá la eliminación, y hará esfuerzos razonables para procurar la eliminación de todas las demás copias de Datos Personales tratados por Veriff o cualquier sub-encargado.

9.3. Si así lo exige la legislación aplicable o si el Cliente lo solicita por escrito, Veriff eliminará los Datos Personales antes de la fecha prevista en los apartados 9.1 o 9.2.

9.4. El Cliente reconoce y acepta que Veriff y/o sus sub-encargados podrán conservar los Datos Personales en la medida en que lo exija la legislación aplicable, o en la medida en que Veriff lo considere necesario para establecer, ejercer o defender cualquier reclamación de tipo legal, siempre que Veriff garantice la confidencialidad de dichos Datos Personales y se retengan únicamente en la medida y durante el periodo que exija la legislación aplicable o hasta que se resuelva cualquier cuestión.

9.5. El Cliente reconoce y acepta que Veriff y/o sus sub-encargados pueden retener Datos Personales en sus sistemas de copia de seguridad, de los que se eliminarán los Datos Personales correspondientes una vez finalizado el ciclo de copia de seguridad. Veriff garantiza que durante el periodo de copia de seguridad se aplicarán las protecciones adecuadas y que los materiales de copia de seguridad quedarán fuera de uso.

10.1. Además de las Partes de este DPA, esta sección 10 se aplica en la medida en que las Leyes de Protección de Datos de E.U.A. rijan el tratamiento de Datos Personales para la Prestación de Servicios y los Fines Comerciales Permitidos.

10.2. Con respecto a los Datos Personales que están sujetos a las Leyes de Protección de Datos de E.U.A., a menos que existan instrucciones del Cliente, Veriff tiene prohibido:

(a) Vender o compartir los Datos Personales;

(b) conservar, utilizar o divulgar los Datos Personales para cualquier fin distinto de los fines comerciales específicos, limitados o permitidos o de cualquier otro modo autorizado por la legislación en materia de protección de datos;

(c) conservar, utilizar o divulgar los Datos Personales fuera de la relación comercial directa entre las Partes; y

(d) salvo que las Leyes de Protección de Datos o las instrucciones del Cliente permitan lo contrario, combinar los Datos Personales con los Datos Personales que Veriff reciba de o en nombre de otra persona o personas, o recopile de su propia interacción con el interesado.

10.3. Veriff notificará oportunamente al Cliente si determina que ya no puede cumplir sus obligaciones con base en lo dispuesto en las Leyes de E.U. sobre protección de datos.

10.4. Veriff no disminuirá de manera importante el nivel de seguridad asignado a la protección de los Datos Personales.

10.5. Por este medio, Veriff certifica que entiende las restricciones y obligaciones establecidas en el presente DPA y que las cumplirá.

Esta versión en español del DPA se facilita por comodidad para el Cliente. Si bien estos términos deben ser materialmente los mismos que la versión en inglés que se encuentra en la fecha de firma del presente DPA en https://www.veriff.com/data-processing-addendum/ver-DPA-2303 (o cualquier vínculo ulterior que lo substituya), el Cliente reconoce y acepta que en caso de conflicto o incoherencia entre las versiones en idioma inglés y en idioma español de este DPA, prevalecerá y regirá la versión en inglés.

ANEXO A DEL ADENDUM SOBRE TRATAMIENTO DE DATOS

Descripción del tratamiento y de la transferencia de datos personales

Lista de las Partes

Sólo es aplicable si se realizan transferencias entre las Partes de los Módulos 1 y 4 de las Cláusulas Contractuales Estándar.

Autoridad Controladora Competente

Sólo es aplicable si se realizan transferencias entre las Partes conforme a lo previsto en el Módulo 1 de las Cláusulas Contractuales Estándar. 

De conformidad con la cláusula 13(a) del Módulo 1 de las Cláusulas Contractuales Estándar, la autoridad competente de Veriff como exportador de datos es la Oficina de Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon), correo electrónico: info@aki.ee.

Medidas Técnicas y Organizacionales para Garantizar la Seguridad de los Datos

Sólo es aplicable si se realizan transferencias entre las Partes conforme a lo previsto en el Módulo 1 de las Cláusulas Contractuales Estándar.

Por este medio el Cliente confirma que, al tratar Datos Personales (en primer lugar, los datos de contacto relacionados con el trabajo de los representantes de Veriff) conforme a lo previsto en el Módulo 1 de las Cláusulas Contractuales Estándar, se somete a las medidas técnicas y organizacionales equivalentes a las aplicadas por Veriff (tal y como se describen en la sección «Controles de Seguridad» del Contrato) para garantizar el nivel de seguridad adecuado al riesgo relacionado con el tratamiento de los datos personales. El Cliente tiene derecho a modificar y actualizar en cualquier momento y según considere necesario, todas y cada una de las medidas técnicas y organizacionales, siempre y cuando, en todos los casos, dichas modificaciones no supongan una degradación importante de la seguridad de los datos personales.