ACUERDO DE PROCESAMIENTO DE DATOS

Bienvenido al Sistema de Volúmenes & Genealogías de Nu Skin. Para cumplir con todas leyes internacionales de privacidad y brindar
acceso a su información de línea descendente, debe revisar cuidadosamente y aceptar los términos y condiciones de este Acuerdo de
Procesamiento de Datos. Este Acuerdo de Procesamiento de Datos se aplica en la medida que usted procesa Datos Personales de
los Interesados ubicados en el Espacio Económico Europeo.
Este Acuerdo de Procesamiento de Datos se celebra entre usted como Distribuidor de Nu Skin (“Usted” o el “Procesador”) y
• Nu Skin International Inc., 75 W. Center street, Provo, UT 84601, USA, número de entidad 880564-0142 (“NSI”); y
• NSE Products Europe BVBA, Da Vincilaan 9, 1930 Zaventem, Belgium, número corporativo 0642 635 688 (“NSEPE”);
Por otro lado, si y en la medida que Usted procese Datos Personales de Interesados ubicados en el Espacio Económico Europeo
(EEE), con excepción de Rumania; y
• Nu Skin International Inc., 75 W. Center street, Provo, UT 84601, USA, número de entidad 880564-0142; y
• Nu Skin Enterprises SRL, Str. Grigore Cobalcescu 46, mansard, Camera 13, Bucharest, Romania, número corporativo 03007509
(“NSRO”);
Por otro lado, si y en la media que Usted procese Datos Personales de Interesados Rumanos.

En lo sucesivo referidos como “Controladores Conjuntos”;

Usted y los Controladores Conjuntos pueden ser denominados cada uno como una “Parte” o en conjunto como las “Partes”.

**Por favor revise este Acuerdo de Procesamiento de Datos por completo, y si usted está de acuerdo con sus términos, ingrese su
Nombre, # de ID de Distribuidor y dé clic en “Acepto. Por favor descargue el documento y guarde una copia de este Acuerdo de
Procesamiento de Datos en sus archivos.**

A. Definiciones
Acuerdo: es el Acuerdo de Patrocinio Internacional y el Acuerdo de Distribuidor;
Acuerdo de Procesamiento de Datos: es este acuerdo, incluyendo (cualquier) adjunto y modificaciones;
Interesado(a)(s): es (son) la(s) persona(s) física(s) identificable(s) o identificada(s) cuyos Datos Personales son procesados;
Autoridad de Protección de Datos: es cualquier representante o agente gubernamental que tiene la autoridad de hacer cumplir las
leyes locales de privacidad y seguridad de datos.
Reglamento General de Protección de Datos o GDPR: es el Reglamento 2016/679 del Parlamento Europeo y del Consejo del 27 de
abril de 2016 relativo a la protección de personas físicas en lo que respecta al procesamiento de Datos Personales y a la libre
circulación de dichos datos y que deroga la Directiva 95/46/EC;
Datos Personales: es cualquier información que el Procesador trata a nombre y por cuenta de los Controladores Conjuntos dentro del
marco del Acuerdo y que pueden identificar directa o indirectamente a los Interesados;
Violación de Datos Personales: es una violación de seguridad que puede causar la destrucción accidental o ilícita, pérdida, alteración,
divulgación no autorizada de o el acceso a, Datos Personales transmitidos, almacenados o procesados de otro modo;
Subprocesador: es una entidad que procesa Información a nombre del Procesador.
B. Procesamiento
(a) Las partes, cada una en su capacidad respectiva, procesarán los Datos Personales de acuerdo con este Acuerdo de Protección de
Datos y todas las leyes aplicables a las que están sujetas los Controladores Conjuntos y/o el Procesador.
(b) El Procesador procesará exclusivamente y en todo momento los Datos Personales a nombre y por cuenta de NSI y NSEPE, en la
medida que los Datos Personales se relacionen con los Interesados ubicados en el EEE, pero fuera de Rumania, y a nombre y por
cuenta de NSI y NSRO, en la medida que los Datos Personales se relacionen con los Interesados ubicados en Rumania. Todas las
actividades de procesamiento siempre deberán realizarse en cumplimiento del Anexo 1 de este Acuerdo de Procesamiento de Datos.
(c) El Procesador no tiene control en el propósito de este procesamiento de Datos Personales, ni puede tomar decisiones
independientes respecto al uso, almacenamiento o divulgación de los Datos Personales, a menos y en la medida que se haya
acordado expresamente en este Acuerdo de Procesamiento de Datos.
(d) El Procesador se compromete a implementar y cumplir las medidas necesarias de seguridad técnica y organizacional adecuadas
para proteger los Datos Personales en caso de destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado
accidental o ilícitamente de los Datos Personales. Cuando se determinen las medidas de seguridad técnicas y organizacionales
apropiadas, el Procesador debe tomar en cuenta: (i) la vanguardia, (ii) los costos de implementación relacionados con estas medidas,
(iii) la naturaleza, alcance, contexto y propósitos del procesamiento, (iv) los riesgos involucrados para los derechos y libertades de los
Interesados, en particular en el caso de destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidental
o ilícitamente de los Datos Personales transmitidos, almacenados o procesados de cualquier manera, y (v) la probabilidad de que el
procesamiento tendrá un impacto en los derechos y libertades de los Interesados.
(e) Siempre que se lo solicite uno o más de los Controladores Conjuntos, el Procesador comunicará a los Controladores Conjuntos
solicitantes toda la información requerida respecto al procesamiento de Datos Personales y transferirá cualquier solicitud de los
Interesados o preguntas relacionados con el procesamiento de los datos Personales a los Controladores Conjuntos solicitantes.
(f) El Procesador puede otorgar a sus empleados el acceso a Datos Personales en la medida que los empleados tengan la necesidad
de dicho acceso a los Datos Personales para permitirles un desempeño adecuado de las obligaciones del Procesador según el
Acuerdo o según el Acuerdo del Procesamiento de Datos. El Procesador informará por escrito a los empleados en cuestión, acerca
del carácter confidencial de los Datos Personales, junto con el marco legal y contractual de la protección de Datos Personales e
impondrá una obligación de confidencialidad contractual a los empleados en cuestión.
(g) El Procesador no transferirá Datos Personales a terceros, incluyendo Subprocesadores, sin el previo consentimiento por escrito
explícito de los Controladores Conjuntos relevantes.
C. Transferencia fuera del Espacio Económico Europeo
(a) Por medio de la presente, las Partes acuerdan celebrar las Cláusulas Contractuales Tipo en el Anexo 2 respecto a cualquier
transferencia de Datos Personales por parte de uno o más Controladores Conjuntos al Procesador.
(b) El Procesador puede transferir Datos Personales a un país fuera del EEE si esa transferencia es necesaria para cumplir con las
Leyes de Protección de Datos obligatorias. En dicho caso, el Procesador informará a los Controladores Adjuntos de manera previa y
por escrito respecto a las disposiciones legales tras lo cual el Procesador está obligado a transferir los Datos Personales, a menos que
la legislación vigente prohíba esta notificación por razones importantes de interés público.
D. Obligación de Apoyar
(a) El Procesador se compromete a apoyar a los Controladores Conjuntos para garantizar el cumplimiento con sus obligaciones
legales de acuerdo con todas las leyes vigentes de privacidad respecto a la seguridad del procesamiento, la notificación de una
Violación de los Datos Personales a la autoridad supervisora y a los Interesados, la elaboración de una evaluación del impacto de la
protección de datos (si corresponde) y la consulta previa.
(b) Los Controladores Conjuntos tienen derecho de llevar a cabo una auditoría para verificar el cumplimiento del Procesador con sus
obligaciones conforme al Acuerdo de Procesamiento de Datos. Los Controladores Conjuntos pueden llevar a cabo dicha auditoría una
vez al año. La auditoría puede llevarse a cabo por los Controladores Conjuntos u otro auditor bajo el mandato de los Controladores
Conjuntos. Los Controladores Conjuntos informarán al Procesador con al menos 15 días hábiles de anticipación respecto al día hábil
en que se llevará a cabo la auditoría.
Si el Procesador, en su opinión, recibiera durante la auditoría una instrucción, por parte de los Controladores Conjuntos o de otro
auditor por mandato de los Controladores Conjuntos, que infrinja la leyes de privacidad, incluyendo el GDPR, el Procesador deberá
informar inmediatamente a los Controladores Conjuntos al respecto.
(c) El Procesador deberá notificar inmediatamente a uno de los Controladores Conjuntos de manera escrita lo siguiente:
i. Una solicitud del Interesado para acceder, rectificar, eliminar, transferir, oponerse o restringir Información Procesada conforme a
este Acuerdo de Protección de Datos
ii. Cualquier solicitud o queja recibida por parte de los clientes o empleados de los Controladores Conjuntos;
iii. Cualquier pregunta, queja, investigación u otra consulta por parte de la Autoridad de Protección de Datos; y
iv. Cualquier solicitud de divulgación de Información por parte de una entidad pública relacionada de alguna manera con el
Procesamiento de Información del Procesador de Datos de acuerdo con este Anexo.
E. Duración y Finalización
(a) El Acuerdo del Procesamiento de Datos deberá entrar en vigor en la fecha de aceptación. Si el Procesador ya ha procesado datos
Personales dentro del marco del Acuerdo antes de la firma del Acuerdo del Procesamiento de Datos, el Acuerdo de Procesamiento de
Datos se aplicará retroactivamente desde la fecha del procesamiento de Datos Personales por el Procesador en nombre y por cuenta
de los Controladores Conjuntos.
(b) El Acuerdo del Procesamiento de Datos permanecerá vigente por la duración del Acuerdo. Si el Acuerdo finaliza, el Acuerdo de
Procesamiento de Datos finalizará a su vez automáticamente.
(c) A la terminación del Acuerdo del Procesamiento de Datos o a solicitud de los Controladores Conjuntos para eliminar o regresar
Datos Personales, el Procesador eliminará o devolverá las copias existentes de los Datos Personales a menos que la ley local
requiera el almacenamiento de Información. En instancias donde la ley local requiera que el Procesador almacene los Datos
Personales, el Procesador protegerá la confidencialidad, integridad y accesibilidad de los Datos Personales; ya no Procesará
activamente los Datos Personales; y continuará cumpliendo con este Acuerdo de Protección de Datos
F. Misceláneos
(a) El Acuerdo de Procesamiento de Datos es independiente. Si una o más disposiciones que no afectan la esencia del Acuerdo de
Procesamiento de Datos son declaradas total o parcialmente inválidas, nulas o inaplicables, éste no afectará la validez y
obligatoriedad de las disposiciones restantes. El Acuerdo de Procesamiento de Datos permanecerá vigente entre las Partes, como si
las disposiciones inválidas, nulas o inaplicables no hubieran existido.
(b) En el caso anteriormente mencionado, las Partes se comprometen a renegociar en buena fe el Acuerdo de Procesamiento de
Datos para modificar o reemplazar (total o parcialmente) las disposiciones nulas, inválidas o inaplicables por una disposición que se
ajuste mayormente al propósito de la disposición inválida, nula o inaplicable.
(c) El cumplimiento por cada una de las Partes con sus obligaciones conforme al Acuerdo del Procesamiento de Datos está libre de
cobros y no puede depender del pago de una cuota, a menos que de otra forma se haya acordado expresamente.
G. Indemnización
El Procesador indemnizará y eximirá a los Controladores Conjuntos y sus compañías filiales y a cada uno y a cualquiera de los
Controladores Conjuntos o sus compañías filiales, accionistas, funcionarios, directores y empleados de cualquier y contra cualquier
reclamo, demanda, responsabilidad, pérdida, proceso legal, causa de acción, costos o gastos, incluyendo pero no limitado a, los
honorarios razonables de abogados, que resulten o surjan, directa o indirectamente, de cualquier acto u omisión por SU PARTE en la
conducción de Su negocio como distribuidor independiente, incluyendo sin limitar, la violación de las representaciones y garantías, la
violación material del Acuerdo del Procesamiento de Datos y otros acuerdos celebrados entre las Partes o cualquier otra demanda o
causas de acción.
H. Responsabilidad
La responsabilidad de los Controladores Conjuntos está restringida de conformidad con las disposiciones del Acuerdo de Patrocinio
Internacional y del Acuerdo de Distribuidor.
I. Arbitraje Obligatorio y Vinculante
1. ESTE ACUERDO DE PROCESAMIENTO DE DATOS ESTÁ SUJETO A ARBITRAJE. UTAH SERÁ LA SEDE EXCLUSIVA PARA
EL ARBITRAJE O CUALQUIER OTRA RESOLUCIÓN DE CUALQUIER LITIGIO QUE SURJA POR O EN RELACIÓN CON ESTE
ACUERDO DE PROCESAMIENTO DE DATOS. El lugar de origen de este Contrato es el Estado de Utah en los Estados Unidos de
Norteamérica y será regido e interpretado de acuerdo con las leyes de Utah, sin dar efecto a sus reglas respecto a la legislación
elegida. La sede exclusiva para cualquier y todos los Litigios y la jurisdicción será en el condado de Salt Lake, Utah en los Estados
Unidos de Norteamérica. El Procesador consiente a la jurisdicción personal de cualquier corte dentro del Estado de Utah y renuncia a
cualquier objeción para una sede inadecuada.
2. El Procesador acuerda que cualquier Litigio será resuelto y convenido de conformidad y en virtud de los términos y condiciones de
este Acuerdo de Procesamiento de Datos y por las reglas y procedimientos establecidos en el Capítulo 7 (Arbitraje) de las Políticas y
Procedimientos o pueden revisarse en línea en la sección Office (Oficina) del sitio de internet de la compañía. Los procedimientos de
arbitraje se llevarán a cabo en Salt Lake City, Utah, Estados Unidos de Norteamérica. El arbitraje se llevará a cabo en el idioma inglés,
pero a solicitud y con cargo de una de las partes, los documentos y testimonios serán traducidos a otro idioma. Se asignará un
mediador para conocer y resolver los litigios, el cual será seleccionado por el consentimiento de ambas partes. Cada una de las partes
asumirá los costos y gastos y una proporción equivalente del (i) costo del mediador y (ii) de las cuotas administrativas del arbitraje. Ni
las partes, ni el mediador podrán divulgar la existencia, contenido o resultados de ningún arbitraje sin el consentimiento previo por
escrito de ambas partes. La sentencia sobre cualquier laudo dictado por el mediador podrá ser emitida en cualquier corte con la
jurisdicción competente.
3. Un “Litigio” se define como cualquier y todas las demandas, litigios, causas de acción o denuncias pasadas, presentes o futuras, ya
sea por contrato, perjuicio, ley, responsabilidad de producto, patrimonio o cualquier otra causa de acción, (i) que surja o se relacione
con este Acuerdo de Procesamiento de Datos, (ii) entre otros Distribuidores y yo surgido o relacionado con una Cuenta de Distribuidor,
o nuestras relaciones comerciales como contratistas independientes de NSI, (iii) entre NSI y yo, (iv) relacionado con NSA o sus
entidades filiales pasadas o presentes, sus dueños, directores, funcionarios, empleados, inversionistas o proveedores, (v) relacionado
con los Productos, (vi) respecto a la resolución de NSI de cualquier otro asunto que impacte mi Cuenta de Distribuidor o que surja o se
relacione con el negocio de NSI, incluyendo mi desacuerdo con las acciones disciplinarias de NSI o con la interpretación del Acuerdo
o del Acuerdo de Procesamiento de Datos.
4. EL PROCESADOR ACUERDA ACEPTAR Y QUEDA OBLIGADO A ESTE ACUERDO DE ARBITRAJE UNA VEZ QUE EL
PROCESADOR INGRESA A CUALQUIER SITIO DE INTERNET DE NU SKIN Y USA LA INFORMACIÓN ALLÍ CONTENIDA.

Anexo 1: Resumen del Acuerdo de Procesamiento de Datos y las operaciones de procesamiento

A. Asunto del Acuerdo de Procesamiento de Datos

• Comercialización de productos de los Controladores Conjuntos en el País de Residencia del Procesador (tal y como se define en el
Acuerdo) a través de persona a persona principalmente en el hogar
• Patrocinio de nuevos Distribuidores en países donde los Controladores Conjuntos están abiertos para negocios
B. Duración del procesamiento
• Limitado a la duración del Acuerdo de Procesamiento de Datos
C. Naturaleza y propósitos del procesamiento
• El Procesador está autorizado a ingresar y consultar los Datos Personales con el fin de administrar Clientes y Distribuidores
(incluyendo la administración de la cuenta de distribuidor y de la organización de línea ascendente/descendente.
D. Tipo de Datos Personales que son procesados
• Los Datos Personales procesados se refieren a las siguientes categorías: nombre, domicilio, dirección de correo electrónico,
número telefónico, fecha de nacimiento, género, historial de compras, reconocimiento, información de cuenta
E. Categorías de los Interesados
• Los Datos Personales procesados se refieren a las siguientes categorías de los Interesados: Clientes y Distribuidores

Anexo 2: Acuerdo de la Transferencia de Datos con base en las Cláusulas Contractuales Tipo de la Comisión Europea para
Controladores y Procesadores

A efectos del Artículo 26(2) de la Directiva 95/46/CE para la transferencia de datos personales a los procesadores establecidos en
terceros países que no garanticen un nivel adecuado de protección de los datos

Nombre de la organización que exporta los datos:

NSE Products Europe BVBA, a nombre y por cuenta propio, así como a nombre y por cuenta del resto de los Controladores
Conjuntos

Domicilio:
Da Vincilaan 9, The Corporate Village, Building Elsinore, 1930 Zaventem, Belgium
 Teléfono:
+32 2 722 70 00

fax:
[n/a]

e-mail:
privacy@nuskin.com

Otra información necesaria para identificar a la organización

[n/a]

(el exportador de datos)

Nombre de la organización importadora de los datos:

El Distribuidor, identificado en el Acuerdo de Procesamiento de Datos al que se adjuntan estas Cláusulas Contractuales Tipo

Domicilio:
JUAN COSTA 85, POBLACIÓN VIPLA, LIRQUÉN
CONCEPCIÓN, BI 4150000

Teléfono:
966538513

Fax:

e-mail:
salazarvegadevora@gmail.com

Otra información necesaria para identificar a la organización

[n/a]

(el importador de datos)

SE HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de ofrecer las salvaguardas adecuadas con
respecto a la protección de la privacidad y derechos y libertades fundamentales de las personas para la transferencia de datos
personales especificados en el Anexo A por parte del exportador al importador de datos.

1. Definiciones
Para propósitos de las Cláusulas:
(a) “datos personales”, “categorías especiales de datos”, “procesar/procesamiento, controlador”, “procesador”, “interesado” y
“autoridad supervisora” tendrán el mismo significado tal cual la Directiva 95/46/EC del Parlamento Europeo y del Consejo del 24 de
octubre de 1995 respecto a la protección de las personas en relación con el procesamiento de datos personales y de la libre
circulación de dichos datos;
(b) el “exportador de datos” es el controlador que transfiere los datos personales;
(c) el “importador de datos” es el procesador que acuerda recibir los datos personales por parte del exportador destinados a procesar
a su nombre después de la transferencia conforme a sus instrucciones y los términos de las Cláusulas y que no está sujeto a un
sistema de un país externo asegurando la protección adecuada dentro del significado del Artículo 25(1) de la Directiva 95/46/EC;
(d) el “subprocesador” es cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del
importador de datos que acuerda recibir por parte del importador de datos o de cualquier otro subprocesador del importador de datos,
los datos exclusivamente destinados a actividades de procesamiento que se llevarán a cabo a nombre del exportador de datos
después de la transferencia conforme a sus instrucciones, a los términos de las Cláusulas y a los términos del subcontrato por escrito.
(e) la “ley de protección de datos vigente” es la legislación que protege los derechos y libertades fundamentales de las personas y, en
particular, su derecho a la privacidad con respecto al procesamiento de datos personales aplicables para el controlador de datos en el
Estado Miembro en donde está establecido el exportador de datos;
(f) “medidas de seguridad técnicas y organizacionales” son aquellas medidas que apuntan a la protección de datos personales contra
la destrucción accidental o ilícita o la pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el
procesamiento involucra la transmisión de datos a través de una red y contra cualquier otra forma ilícita de procesamiento.
2. Detalles de transferencia
Los detalles de transferencia y en particular de las categorías especiales de datos personales donde así corresponda se especifican
en el Anexo A, el cual forma parte integral de estas Cláusulas.
3. Cláusula del Tercer Beneficiario
3.1 El interesado puede hacer valer al exportador de datos esta cláusula 3, cláusula 4(b) a la 4(i), cláusula 5(a) a la 5(e) y cláusula
5(g) a 5(j), clausula 6.1 y 6.2, cláusula 7, cláusula 8.2 y cláusula 9 a cláusula 12 como tercer beneficiario.
3.2 El interesado puede hacer valer al exportador de datos esta cláusula 3.2, cláusula 5(a) a la 5(e) y la cláusula 5(g), cláusula 6,
cláusula 7, cláusula 8.2 y cláusula 9 a la cláusula 12, en casos donde el exportador de datos haya desaparecido de facto o cesado de
existir legalmente a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por
contrato o por efecto de la ley, como resultado de la cual toma los derechos y obligaciones del exportador de datos, en cuyo caso el
interesado puede hacer valer contra dicha entidad.
3.3 El interesado puede hacer valer al subprocesador esta cláusula 3.3, cláusula 5(a) a 5(e) y cláusula 5(g), cláusula 6, cláusula 7,
cláusula 8.2 y cláusula 9 a cláusula 12, en casos donde tanto el exportador de datos como el importador de datos hayan desaparecido
de facto o cesado de existir legalmente o que se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido
todas las obligaciones legales del exportador de datos por contrato o por efecto de la ley, como resultado de la cual toma los derechos
y obligaciones del exportador de datos, en cuyo caso el interesado puede hacer valer contra dicha entidad. Esta responsabilidad civil
del subprocesador estará limitada a sus propias operaciones de procesamiento de acuerdo con estas Cláusulas.
3.4 Las partes no se oponen a que un interesado sea representado por una asociación u otro organismo, si el interesado expresa su
deseo y si la ley domestica lo permite.
4. Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza:
(a) que el procesamiento, incluyendo la transferencia en sí, de datos personales ha sido y continuará llevándose a cabo de acuerdo
con las disposiciones relevantes de la ley vigente de protección de datos (y, cuando sea necesario, se haya notificado a las
autoridades relevantes del Estado Miembro donde el exportador de datos está establecido) y que no viola las disposiciones relevantes
del Estado;
(b) que ha instruido y durante la duración de los servicios de procesamiento de datos personales instruirá al importador de datos que
procese los datos personales transferidos únicamente a nombre del exportador de datos y conforme a la ley vigente de protección de
datos y las Cláusulas.
(c) que el importador de datos brindará las garantías necesarias respecto a las medidas de seguridad técnicas y organizacionales
especificadas en el Anexo B de este contrato;
(d) que después de la evaluación de los requisitos de la ley vigente de protección de datos, las medidas de seguridad sean adecuadas
para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, alteración, divulgación o acceso no
autorizados, en particular cuando el procesamiento involucra la transmisión de datos a través de una red y contra todas las formas de
procesamiento ilícito, y que estas medidas aseguren un nivel de seguridad adecuado a los riesgos presentados por el procesamiento
y la naturaleza de los datos que se protegen en consideración de la vanguardia y del costo de su implementación;
(e) que asegurará el cumplimiento conforme a las medidas de seguridad;
(f) que, si la transferencia involucra categorías especiales de datos, el interesado haya sido informado o se informará antes o lo más
pronto posible después, que la transferencia de sus datos podrían ser transmitidos a un tercer país que no brinda la protección
adecuada dentro del sentido de la Directiva 95/46/EC;
(g) enviar cualquier notificación recibida por parte del importador de datos o de cualquier subprocesador en virtud de la cláusula 5(b) y
cláusula 8.3 de la autoridad supervisora de la protección de datos si el exportador de datos decide continuar la transferencia o levantar
la suspensión;
(h) poner a disposición de los interesados, bajo petición, una copia de las Cláusulas, con la excepción del Anexo B y una descripción
resumida de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subprocesamiento, el cual
debe hacerse conforme a las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se
puede eliminar dicha información confidencial;
(i) que, en caso de subprocesamiento, la actividad de procesamiento se lleve a cabo conforme a la cláusula 11 por un subprocesador
que brinde por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados como importador de
datos según estas Cláusulas; y
(j) que garantizará el cumplimiento de la cláusula 4(a) a la cláusula 4(i).
5. Obligaciones del importador de datos
El importador de datos acuerda y garantiza:
(a) procesar los datos personales únicamente a nombre del exportador de datos y conforme a sus instrucciones y a las Cláusulas; si
no puede brindar dicho cumplimiento sin importar la razón, acuerda informar oportunamente al exportador de datos acerca de su
incapacidad de cumplir, en cuyo caso el exportador de datos tiene el derecho de suspender la transferencia de datos y/o finalizar el
contrato;
(b) que no existe razón para creer que la legislación vigente le impide que cumpla con las instrucciones recibidas por parte del
exportador de datos y sus obligaciones conforme al contrato y que en caso de un cambio en la legislación es muy probable que tenga
un efecto adverso sustancial en las garantías y obligaciones establecidas por las Cláusulas, y que notificará de manera oportuna el
cambio al exportador de datos tan pronto como tenga conocimiento, en cuyo caso el exportador de datos tiene el derecho de
suspender la transferencia de datos y/o finalizar el contrato.
(c) que ha implementado las medidas de seguridad técnicas y organizacionales especificadas en el Anexo B antes de procesar los
datos personales transferidos;
(d) que de manera oportuna notificará al exportador de datos acerca de:
(i) cualquier solicitud vinculante para la divulgación de datos personales por una autoridad policial a menos que se prohíba de
alguna manera, tal como una prohibición según la legislación penal para preservar la confidencialidad de la investigación llevada a
cabo por las autoridades;
(ii) cualquier acceso accidental o no autorizado; y
(iii) cualquier solicitud recibida directamente por parte de los interesados, sin responder a esa solicitud, a menos que haya sido
autorizada de alguna manera para hacerlo;
(e) encargarse de manera oportuna y adecuada de todas las consultas por parte del exportador de datos con relación a su
procesamiento de datos personales sujetos a la transferencia y apegarse al asesoramiento de la autoridad supervisora con respecto al
procesamiento de datos transferidos;
(f) a solicitud del exportador de datos, poner a disposición sus instalaciones de procesamiento de datos para auditar las actividades de
procesamiento cubiertas por las Cláusulas, que deberán llevarse a cabo por el exportador de datos o un organismo de inspección
compuesto por miembros independientes y en posesión de las calificaciones profesionales requeridas en vinculación a un deber de
confidencialidad, seleccionado por el exportador de datos, y si corresponde, de conformidad con la autoridad supervisora;
(g) poner a disposición del interesado, bajo petición, una copia de las Cláusulas o de cualquier contrato para subprocesamiento
existente, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se puede eliminar dicha
información confidencial, con excepción del Anexo B, el cual será reemplazado por una descripción resumida de las medidas de
seguridad en el caso de que el interesado no pueda obtener una copia por parte del exportador de datos;
(h) que, en el caso del subprocesamiento, haya informado previamente al exportador de datos y haya obtenido su consentimiento por
escrito;
(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo conforme a la cláusula 11; y
(j) enviar de manera oportuna una copia de cualquier acuerdo de subprocesador que haya firmado conforme a las Cláusulas para el
exportador de datos.
6. RESPONSABILIDAD
6.1 Las partes acuerdan que cualquier interesado que haya sufrido daños como resultado de cualquier violación de las obligaciones
mencionadas en la cláusula 3 o en la cláusula 11 por cualquiera de las partes o del subprocesador tiene el derecho de recibir una
indemnización por parte del exportador de datos a causa del daño sufrido.
6.2 Si un interesado no puede interponer una demanda por indemnización conforme al apartado 1 contra el exportador de datos, que
haya surgido por parte del importador de datos o de su subprocesador debido al incumplimiento de cualquiera de sus obligaciones
mencionadas en la cláusula 3 o en la cláusula 11 debido a que el exportador de datos haya desaparecido de facto o haya cesado de
existir legalmente o que se haya declarado insolvente, el importador de datos acuerda que el interesado puede presentar una
demanda contra el importador de datos como si éste fuera el exportador de datos, a menos que cualquier entidad sucesora haya
asumido todas las obligaciones legales del exportador de datos por contrato o en virtud de la ley, en cuyo caso el interesado puede
hacer valer sus derechos contra dicha entidad.
El importador de datos no podrá basarse en un incumplimiento de un subprocesador del tratamiento de sus obligaciones para evitar
sus propias responsabilidades.
6.3 Si el interesado no puede interponer una demanda contra el exportador de datos o el importador de datos mencionados en los
apartados 1 y 2, que haya surgido por parte del subprocesador por incumplimiento de sus obligaciones impuestas en la cláusula 3 o
en la cláusula 11, debido a que tanto el exportador de datos, como el importador de datos hayan desaparecido de facto o hayan
cesado de existir legalmente o que se hayan declarado insolventes, el subprocesador acepta que el interesado pueda demandarle en
cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en lugar del exportador de datos o del importador
de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del
importador de datos por contrato o en virtud de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad.
La responsabilidad del subprocesador se limitará a sus propias operaciones de tratamiento de datos conforme a las Cláusulas.
7. Mediación y Jurisdicción
7.1 El importador de datos acuerda que, si el interesado invoca en su contra derechos del tercer beneficiario y/o reclama una
indemnización por daños y perjuicios según las Cláusulas, el importador de datos aceptará la decisión del interesado de:
 (a) someter el litigio a mediación por parte de una persona independiente o, si corresponde, por parte de la autoridad supervisora;
(b) someter a litigio en la corte del Estado Miembro en la cual está establecido el exportador de datos.
7.2 Las partes acuerdan que las opciones tomadas por el interesado no obstaculizarán sus derechos sustantivos o procesales para
presentar los recursos de conformidad con otras disposiciones de derecho nacional o internacional.
8. Cooperación con la autoridad supervisora
8.1 El exportador de datos acuerda depositar una copia del presente contrato con la autoridad supervisora si así lo requiere o si dicho
depósito es solicitado por la ley vigente de protección de datos.
8.2 Las partes acuerdan que la autoridad supervisora tiene el derecho de llevar a cabo una auditoría del importador de datos y de
cualquier subprocesador, el cual tiene el mismo alcance y está sujeto a las mismas condiciones que aplicarían a una auditoría del
exportador de datos de acuerdo con la ley vigente de protección de datos.
8.3 El importador de datos informará al exportador de datos de manera oportuna acerca de la existencia de la legislación aplicable
para él y para cualquier subprocesador para evitar una auditoría del importador de datos, o de cualquier subprocesador, en virtud del
apartado 2. En dicho caso, el exportador de datos tendrá el derecho de tomar las medidas previstas en la cláusula 5(b).
9. LEGISLACIÓN APLICABLE
Las Cláusulas se regirán por la legislación del Estado miembro en la cual el exportador de datos está establecido.
10. Variación del contrato
Las partes se comprometen a no variar o modificar las Cláusulas. Esto no excluye que las partes agreguen cláusulas relacionadas con
sus negocios cuando sea necesario, siempre y cuando éstas no contradigan las Cláusulas.
11. Subprocesamiento de datos
11.1 El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del
exportador de datos según las Cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos
subcontrata sus obligaciones según las Cláusulas con el consentimiento del exportador de datos, lo hará exclusivamente mediante un
acuerdo por escrito con el subprocesador, en el que se le impongan a éste las mismas obligaciones impuestas al importador de datos
de acuerdo con las Cláusulas. Si el subprocesador no puede cumplir sus obligaciones de protección de los datos conforme al acuerdo
escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos por el cumplimiento de las
obligaciones del subprocesador conforme dicho acuerdo.
11.2 El contrato escrito previo entre el importador de datos y el subprocesador presentará asimismo una cláusula de tercer
beneficiario, tal como se establece en la cláusula 3 para los casos en que el interesado no pueda interponer la demanda de
indemnización referida en el apartado 1 de la cláusula 6 contra el exportador de datos o el importador debido a que hayan
desaparecido de facto o hayan cesado de existir legalmente o se hayan declarado insolventes, y ninguna entidad sucesora haya
asumido la totalidad de las obligaciones legales del exportador o del importador de datos por contrato o por efecto de la ley. Dicha
responsabilidad civil del subprocesador se limitará a sus propias operaciones conforme a las Cláusulas.
11.3 Las disposiciones relacionadas con los aspectos de la protección de datos para el subprocesamiento del contrato referido en el
apartado 1 se regirán por la legislación del Estado Miembro en donde se encuentre establecido el exportador de datos.
11.4 El exportador de datos deberá conservar una lista de los acuerdos de subprocesamiento celebrados conforme estas Cláusulas y
notificado por el importador de datos en virtud de la cláusula 5(j), la cual será actualizada una vez al año. La lista estará disponible
para la autoridad supervisora de protección de datos del exportador.
12. Obligación posterior a la finalización de los servicios de procesamiento de datos personales
12.1 Las partes acuerdan que, a la finalización de la disposición de los servicios de procesamiento de datos personales, el importador
y el subprocesador deberán, a discreción del exportador de datos, devolver todos los datos personales transferidos y sus copias, o
bien destruirlos totalmente y certificarlo al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir
total o parcialmente los datos personales transferidos. En cuyo caso, el importador de datos garantiza que mantendrá la
confidencialidad de los datos personales transferidos y que ya no se procesarán activamente.
12.2 El importador de datos y el subprocesador garantizan que a solicitud del exportador de datos y/o de la autoridad supervisora,
pondrá a disposición sus instalaciones de procesamiento de datos para la auditoría de las medidas referidas en el apartado 1.
13. Cláusula Adicional: Estructura
13.1 El importador de datos subscribe las presentes Cláusulas con cada uno de los exportadores de datos listados a continuación por
separado y cada una de las Cláusulas constituye un acuerdo separado e independiente entre el importador de datos y el exportador
de datos pertinente. Cada una de las Cláusulas entra en vigor a partir de la fecha en que se refrendaron por parte del exportador de
datos, tal y como se indica a continuación.
13.2 A fin de disipar dudas, si el exportador de datos tiene el deseo de modificar las Cláusulas vigentes entre él y el importador de
datos, dicha modificación se efectuará de conformidad con la cláusula 10 y el acuerdo o consentimiento de cualquier otro exportador
de datos no será requerido.

Firmantes

A NOMBRE DEL EXPORTADOR DE DATOS:

NSE Products Europe BVBA
Nombre: Benoît De Pauw
Título: Director
Fecha: 30 de abril de 2021
Frima: Benoît De Pauw

A NOMBRE DEL IMPORTADOR DE DATOS

Nombre:
Título: Distribuidor Independiente
Fecha: 30 de abril de 2021
Firma:

Anexo A para las Cláusulas Contractuales Tipo

El presente Anexo forma parte de las Cláusulas y deberá ser completado y firmado por las partes. Los Estados miembros podrán
completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente
Anexo A.
Exportador de Datos
El exportador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):
NSE Products Europe BVBA es una subsidiaria de Nu Skin International Inc., distribuidor de Productos Nu Skin en países europeos
donde Nu Skin tiene mercados abiertos para su operación
Importador de Datos
El importador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):
Un Distribuidor independiente de Nu Skin que comercializa y vende productos Nu Skin. Como tal, el importador de datos puede
estar procesando datos de Interesados ubicados en el Espacio Económico Europeo
Interesados
Los datos personales transferidos se refieren a las siguientes categorías de los interesados (especifique)
Favor de consultar el “Anexo 1: Resumen de las operaciones de procesamiento” del Acuerdo de Procesamiento de Datos, el cual
se incorpora a la presente para su consulta.
Categorías de Datos
Los datos personales transferidos se refieren a las siguientes categorías de datos (especifique)
Favor de consultar el “Anexo 1: Resumen de las operaciones de procesamiento” del Acuerdo de Procesamiento de Datos, el cual
se incorpora a la presente para su consulta.

Categorías Especiales de Datos (si aplica)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifique)
N/A
Operaciones de Procesamiento
Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes (especifique)
Favor de consulta el “Anexo 1: Resumen de las operaciones de procesamiento” del Acuerdo de Procesamiento de Datos, el cual se
incorpora a la presente para su consulta.

Anexo B para las Cláusulas Contractuales Tipo

El presente Anexo B forma parte de las Cláusulas y deberá ser completado y firmado por las partes.
La descripción de medidas de seguridad técnicas y organizacionales implementadas por el importador de datos de conformidad con la
cláusula 4(d) y cláusula 5(c) (o documentos/legislación adjuntada)

Medidas organizacionales
• Política de seguridad de datos
• Notificación de procedimiento en caso de incidentes de seguridad físicos/técnicos
• Política de clasificación de la información
• Plan para evaluar regularmente la efectividad de las medidas organizacionales/técnicas

Medidas Técnicas
• Medidas en caso de incendio, robo o daños por agua o incidentes físicos/técnicos
• Control de acceso (física y lógicamente)
• Política de ID de usuario y contraseña
• Procesos para identificar y aplicar los parches de seguridad
• Antivirus instalados en todos los sistemas
• Firewalls implementados para proteger los sistemas de información
• Encriptación de datos personales confidenciales
• Sistema de respaldo