CONTRATO DE PROCESAMIENTO DE DATOS

Este Acuerdo de Procesamiento de Datos (el "DPA"), entre la entidad legal de Agilent con la que usted hace negocios ("Agilent") y el Cliente (el "Controlador o Cliente") (Agilent y el Controlador, cada uno, una "parte" y, colectivamente , las partes").

EL HISTORIAL:

(a) Agilent y el Controlador han acordado la venta de bienes, servicios y productos de Agilent al Controlador, regido por los Términos de ventas y servicios del presente contrato.

(b) El Responsable y Agilent reconocen que, en el curso de la prestación de bienes, servicios y productos, Agilent normalmente no procesa datos personales en nombre del Controlador.

(c) En caso de que el Controlador indique a Agilent que procese los Datos personales del Controlador, se aplicará este DPA, como se describe con más detalle en el Apéndice 1.

(d) Las partes buscan garantizar que Agilent processe los Datos personales del Controlador siguiendo sus instrucciones y se cumplan con las leyes de protección de datos aplicables.

1. DEFINICIONES

1.1. “Afiliada” significa, con respecto a una parte, cualquier entidad que directa o indirectamente controle, esté controlada o esté bajo control común de esa parte. Para los fines de este DPA, "control" significa un interés económico o de voto de al menos el cincuenta por ciento (50%) o, en ausencia de dicho interés económico o de voto, el poder de dirigir o provocar la dirección de la administración y fijar el políticas de dicha entidad.

1.2. “Acuerdo” significa las Condiciones de Ventas y Servicios de Agilent que rigen la entrega de productos y/o servicios proporcionados por Agilent al Controlador, que requiere que Agilent procese los Datos personales del Controlador de conformidad con el Apéndice 1;

1.3. “Leyes de protección de datos aplicables” significa cualquier ley y reglamento aplicable con respecto al procesamiento de datos personales, incluido, entre otros, (i) el Reglamento de la Unión Europea (EU) 2016/679 del Parlamento Europeo y del Consejo, de 27 ▇▇ ▇▇▇▇▇ de 2016, sobre la protección de las personas físicas con con respecto al procesamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos) (“GDPR”), (ii) el GDPR del Reino Unido (“UK”) y la Ley de Protección de Datos de 2018, (iii) el de Suiza Ley Federal de Protección de Datos del 19 ▇▇ ▇▇▇▇▇ de 1992, la Ordenanza sobre la Ley Federal de Protección de Datos, (iv) Lei Geral de Proteção de Dados (LGPD) de Brasil, (v) Ley de Protección de Información Personal de China (“PIPL”) y ( vi) la Ley de Privacidad del Consumidor de California de 2018 (CCPA); y, cuando corresponda, las directrices y códigos de práctica emitidos por las autoridades de protección de datos u otros en relación con dichas leyes, todo ello con sus modificaciones periódicas..

1.4. “Cláusulas Responsable-Procesador” significa el Módulo 2 de las Cláusulas Contractuales Tipo para la transferencia de Datos Personales a terceros países de conformidad con la Decisión de Ejecución de la Comisión del 4 ▇▇ ▇▇▇▇▇ de 2021 (2021/914);

1.5. “Sujeto de datos” significa las personas vivas que son objeto de los Datos Personales;

1.6. “Información Personal” significa cualquier información a la que se aplican las Leyes de Protección de Datos Aplicables, que están relacionadas con cualquier Sujeto de Datos identificado o identificable, en particular mediante una referencia directa o indirecta a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física;

1.7. “Proceso, Procesado o Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción;

1.8. “Regulador” significa cualquier autoridad supervisora de protección de datos que tenga jurisdicción sobre el Procesamiento de Datos Personales conforme a la DPA;

1.9. “Terceros países” significa todos los países fuera del alcance de las leyes de protección de datos del Espacio Económico Europeo (“EEE”), excluidos aquellos países que se considera cuentan con una protección adecuada.por la Comisión Europea;

1.10. “Anexo ▇▇▇ ▇▇▇▇▇ Unido” significa el Anexo de Transferencia Internacional de Datos de las Cláusulas Contractuales Estándar de la Comisión de la UE, Versión B1.0, vigente a partir del 21 ▇▇ ▇▇▇▇▇ de 2022;

1.11. “Cláusulas del Controlador-Procesador ▇▇▇ ▇▇▇▇▇ Unido” significa las Cláusulas del Controlador-Procesador, modificadas por el Anexo del Reino Unido; y

1.12. “Terceros países del Reino Unido” significa países fuera del Reino Unido o cualquier jurisdicción que el Secretario de Estado considere adecuada de conformidad con la Sección 17A de la Ley de Protección de Datos ▇▇▇ ▇▇▇▇▇ Unido de 2018.

2. CONDICIONES DE PROCESAMIENTO

2.1 Este DPA, que forma parte del Acuerdo, rige los términos bajo los cuales Agilent procesa datos personales en nombre del Controlador.

3. OBLIGACIONES DE AGILENT

3.1 A Agilent solo procesará Datos personales en nombre del Controlador y de acuerdo con (a) los términos de este DPA, incluido el Apéndice 1, (b) el Aviso de privacidad de Agilent ubicado en ▇▇▇▇▇://▇▇▇.▇▇▇▇▇▇▇.▇▇▇/▇▇▇▇/▇▇▇▇▇▇▇- política, y (c) las instrucciones documentadas recibidas del Controlador de vez en cuando y (d) las leyes aplicables. Sin perjuicio de lo anterior, si se requiere que Agilent procese los Datos personales más allá de los términos establecidos en (a)-(c) de conformidad con la ley aplicable, ▇▇▇▇▇▇▇ acepta informar al Controlador acerca de dicha ley aplicable antes de Procesar los Datos personales, a menos que la misma lo prohíba.

3.1.1 No obstante lo dispuesto en el apartado 3.1 anterior, si ▇▇▇▇▇▇▇ se viera obligado a tratar los Datos personales más allá de los términos establecidos en (a)-(c) en virtud de la legislación aplicable, Agilent acepta informar al Controlador de dicha legislación aplicable antes de tratar los Datos personales, a menos que dicha legislación aplicable prohíba lo contrario.

3.2 Agilent implementará las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este DPA antes de procesar los Datos personales del Controlador y, continuará cumpliéndolas durante la vigencia de este DPA.

3.3 Agilent notificará al Controlador sobre una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales del Controlador sin retraso indebido. En tal caso, Agilent deberá tomar medidas comercialmente razonables para mitigar los efectos dañinos conocidos por Agilent de un uso o divulgación de los Datos personales que viole este DPA.

3.4 Agilent brindará asistencia razonable en respuesta a las consultas del Controlador o su Regulador relacionadas con el procesamiento de los Datos personales del Controlador por parte de Agilent.

3.5 Agilent, previa solicitud por escrito del Responsable, pondrá a su disposición toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA.

3.6 Considerando que:

3.6.1 un sujeto de datos ejerce sus derechos según las Leyes de Protección de Datos Aplicables con respecto a los Datos personales procesados por Agilent en nombre del Controlador;

3.6.2 el Controlador está obligado a gestionar o cumplir con cualquier evaluación, consulta, notificación o investigación realizada por el Regulador.

; o

3.6.3 Las leyes de protección de datos aplicables exigen que el Controlador lleve a cabo una evaluación obligatoria de impacto de la protección de datos o consultar con el Regulador antes de Procesar Datos personales confiados a Agilent en virtud de este DPA;

entonces Agilent proporcionará asistencia razonable al Controlador para permitirle cumplir con las obligaciones que surjan como resultado de ello, siempre que el Controlador asuma los costos razonables de dicha asistencia.

3.7 En la medida requerida por las Leyes de Protección de Datos Aplicables, Agilent llevará a cabo una solicitud del Controlador para modificar, transferir o eliminar cualquiera de los Datos Personales en la medida necesaria, para permitir que el Controlador cumpla con sus responsabilidades de conformidad con las Leyes de Protección de Datos Aplicables.

3.8 En la medida en que la CCPA se aplique a las partes, (a) Agilent es un "proveedor de servicios" (como se define en la CCPA) del Controlador; y (b) Agilent no “venderá” (según se define en la CCPA) los Datos personales de los residentes de California recibidos del Controlador u obtenidos en relación con la prestación de los servicios descritos en el Apéndice 1.

4. TRANSFERENCIAS DE DATOS PERSONALES

4.1 El Controlador reconoce y acepta que ▇▇▇▇▇▇▇ puede nombrar una Afiliada o un tercero subcontratista (subcontratista (también conocido como subencargado de tratamiento) para procesar los Datos personales del Controlador fuera del país de origen de los Datos personales, siempre que garantice que dicho Procesamiento se lleve a cabo de acuerdo con los requisitos de las Leyes de Protección de Datos Aplicables.

4.2 Cuando Agilent procesa datos personales del Espacio Económico Europeo o Suiza en terceros países, el Controlador (como "exportador de datos") y Agilent (como "importador de datos") por el presente acuerdan las Cláusulas Responsable-Procesador, que se incorporan mediante esta referencia y, constituyen parte integral de este DPA. Se considera que las partes han aceptado y ejecutado las Cláusulas Responsable-Encargado en su totalidad, incluidos los anexos. En la medida en que las Cláusulas Controlador-Procesador entren en conflicto con los términos restantes de este DPA, prevalecerán las Cláusulas Controlador-Procesador. Para efectos de completar las Cláusulas Responsable-Encargado, las partes acuerdan lo siguiente:

4.2.1 Los Anexos 1 al 3 de las Cláusulas Responsable-Procesador se considerarán completadas con los Apéndices 1 al 3 adjuntos al presente;

4.2.2 Se aplicará la Cláusula 7 (Cláusula de atraque);

4.2.3 La Cláusula 9(a) se considerará completada con la Opción 2 en un plazo de treinta (30) días;

4.2.4 No se aplicará el lenguaje opcional de la Cláusula 11; y

4.2.5 A los efectos de las Cláusulas 17 y 18 de las Cláusulas Controlador-Procesador, la ley y el fuero vigentes serán la ley aplicable y el fuero aplicable al exportador de datos.

4.3 Cuando Agilent procesa datos personales provenientes del Reino Unido en terceros países del Reino Unido, el Controlador (como “exportador de datos”) y Agilent (como “importador de datos”), por el presente celebran las Cláusulas Controlador-Procesador del Reino Unido, que se incorporan mediante esta referencia y constituyen una parte integral de este DPA. Se considera que las partes han aceptado y ejecutado las Cláusulas Responsable- Procesador del Reino Unido en su totalidad, incluidos los anexos. En la medida en que las Cláusulas de Controlador- Procesador ▇▇▇ ▇▇▇▇▇ Unido entren en conflicto con los términos restantes de este DPA, prevalecerán las Cláusulas de Controlador-Procesador del Reino Unido. Las Cláusulas de Controlador-Procesador ▇▇▇ ▇▇▇▇▇ Unido se completarán como se establece en la Sección 4.2 de este DPA, siempre que la Parte 1 del Anexo ▇▇▇ ▇▇▇▇▇ Unido se considere completa con el Apéndice 4, Tablas del Anexo ▇▇▇ ▇▇▇▇▇ Unido, adjunto al presente.

4.4 En la medida en que PIPL se aplique al procesamiento de datos personales en virtud de este DPA, el Controlador declara y garantiza que ha obtenido todos los consentimientos requeridos y, que tiene una base legal para transferir datos personales a Agilent, incluida la transferencia de Datos personales fuera de China continental.

5. OBLIGACIONES DEL CONTROLADOR

5.1 El Controlador declara y garantiza que: (a) la ley aplicable al Controlador no impide que Agilent cumpla con las instrucciones recibidas del Controlador y cumpla con sus obligaciones bajo este DPA, (b) el Controlador ha cumplido y continúa cumpliendo con las Leyes de Protección de Datos Aplicables, y (c) El Controlador ha obtenido los consentimientos necesarios de los Interesados, ha dado los avisos necesarios a los Interesados y, de otro modo, tiene un motivo legítimo para revelar los datos a Agilent y permitir el Procesamiento de los Datos personales por parte de Agilent según lo establecido en este DPA.

5.2 El Controlador indemnizará, defenderá y eximirá de toda responsabilidad a Agilent de todos los reclamos, responsabilidades, costos, gastos, pérdidas y daños (incluidas las pérdidas emergentes, la pérdida de ganancias, la pérdida de reputación y todos los intereses, sanciones y obligaciones legales y de otro tipo). costos y gastos profesionales) incurridos por Agilent que surjan directa o indirectamente de un incumplimiento de la Cláusula 5.1.

6. CAMBIOS EN LAS LEYES DE PROTECCIÓN DE DATOS APLICABLES

6.1 Las partes acuerdan negociar de buena fe modificaciones a este DPA si se requieren cambios para que Agilent continúe procesando los Datos personales del Controlador de conformidad con las leyes de protección de datos aplicables.

7. SUBCONTRATACIÓN

7.1 Por el presente, el Controlador consiente el uso de los subcontratistas establecidos en el Apéndice 3 para los fines que se describen con más detalle en el Apéndice 3. Si Agilent designa un subcontratista nuevo o de reemplazo, ▇▇▇▇▇▇▇ deberá hacer llegar una notificación previa por escrito al Controlador, comunicandosobre dicho nuevo subcontratista. El Controlador podrá oponerse al nombramiento o sustitución dentro de los treinta (30) días siguientes a la recepción de la notificación por escrito de ▇▇▇▇▇▇▇. Si el Controlador no se opone dentro de dicho plazo, Agilent podrá proceder con el nombramiento o reemplazo.

7.2 Agilent deberá tener acuerdos escritos vigentes con todos los subcontratistas, que contengan obligaciones para el subcontratista que no sean menos onerosas para el subcontratista correspondiente, que las obligaciones para Agilent en virtud de este DPA.

8. TERMINACIÓN

8.1 Este DPA terminará tras la terminación del Acuerdo.

8.2 Tras la terminación de este DPA, Agilent deberá:

i. a elección del Controlador, eliminar o devolver todos los Datos personales del Controlador al Controlador después de finalizar la prestación de servicios relacionados con el Procesamiento, y eliminar las copias existentes de los Datos personales a menos que las Leyes de Protección de Datos Aplicables exijan el almacenamiento de dichos Datos Personales; y

ii. dejar de procesar datos personales en nombre del Responsable.

9 LIMITACIÓN DE RESPONSABILIDAD

9.1 La responsabilidad de cada parte y de todas sus Afiliadas, en conjunto, que surja de este DPA o esté relacionada con él, ya sea por contrato, agravio o según cualquier otra teoría de responsabilidad, está sujeta a la sección "Limitación de responsabilidad" del Acuerdo y el límite de responsabilidad aplicable para la parte correspondiente establecido en el Acuerdo. Cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y todas sus Afiliadas en virtud del Acuerdo, así comode todos los acuerdos de procesamiento de datos juntos.

9.2 Para evitar dudas, la responsabilidad total de Agilent y sus Afiliadas por todas las reclamaciones del Controlador y todas las Afiliadas del Controlador que surjan de o estén relacionadas con el Acuerdo y este DPA, se aplicará en conjunto para todas las reclamaciones en virtud tanto del Acuerdo como de este DPA. y, en particular, no se entenderá que se aplica individual y solidariamente al Controlador y/o a cualquiera de sus Filiales.

10 GENERALES

10.1 Este DPA se regirá e interpretará de acuerdo con la ley aplicable y las disposiciones de jurisdicción del Acuerdo, a menos que las leyes de protección de datos aplicables exijan lo contrario.

10.2 Cualquier modificación a este DPA deberá realizarse por escrito y ser firmada por las partes.

10.3 Excepto por los cambios realizados por este DPA, el Acuerdo permanece sin cambios y en pleno vigor y efecto. Si existe algún conflicto entre este DPA y el Acuerdo, este DPA prevalecerá en la medida de ese conflicto.

10.4 Las disposiciones de este Anexo son divisibles. Si cualquier frase, cláusula o disposición o Apéndice (incluidas las Cláusulas del Controlador-Procesador y el Anexo del Reino Unido) es inválida o inaplicable en su totalidad o en parte, dicha invalidez o inaplicabilidad afectará únicamente a dicha frase, cláusula o disposición, y el resto de este La DPA permanecerá en pleno vigor y efecto.

10.5 Este DPA podrá formalizarse en ejemplares, cada uno de los cuales se considerará original, pero todos juntos constituirán un solo y mismo instrumento. Las firmas electrónicas, facsímil o fotocopiadas constituirán firmas válidas.

APÉNDICE 1 - DESCRIPCIÓN DEL PROCESAMIENTO

A. LISTA DE PARTES

Exportador(es) de datos: Datos de identidad y contacto del exportador o exportadores de datos y, en su caso, de su delegado de protección de datos y/o representante en la Unión Europea.

Nombre: El nombre legal del Controlador que figura en el preámbulo del presente contrato Dirección: La dirección del Responsable que figura en el preámbulo del presente contrato

Nombre de la persona de contacto, cargo y datos de contacto: El nombre del contacto, el puesto y los detalles de contacto que se enumeran en las Condiciones de ventas y servicios de Agilent:

Actividades relevantes para los datos transferidos conforme a estas Cláusulas: Compra de bienes y servicios según lo dispuesto en los Términos de ventas y servicios del presente contrato

Rol: Controlador.

Importador(es) de datos: Identidad y datos de contacto del(los) importador(es) de datos, incluida cualquier persona de contacto responsable de la protección de datos.

Nombre: la entidad de Agilent que figura en el preámbulo del presente contrato Dirección: La dirección de la entidad de Agilent que figura en el preámbulo de la DPA

Nombre de la persona de contacto, cargo y datos de contacto: Oficial de Protección de Datos, data- ▇▇▇▇▇▇▇▇▇▇.▇▇▇▇▇▇▇@▇▇▇▇▇▇▇.▇▇▇.

Actividades relevantes para los datos transferidos bajo estas Cláusulas: Agilent es líder mundial en los mercados de ciencias biológicas, diagnóstico y química aplicada, y ofrece soluciones centradas en aplicaciones que incluyen instrumentos, software, servicios y consumibles para todo el flujo de trabajo del laboratorio.

Rol: Procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren:

☒ Empleados y agentes de los clientes comerciales del Controlador

☒ Empleados del Controlador y trabajadores contratados

☒ Empleados y agentes de proveedores, distribuidores y otros socios comerciales del Controlador

☐ Pacientes del controlador

Categorías de datos personales transferidos:

☒ Datos personales básicos (p. ej., nombre, sexo, fecha de nacimiento)

☒ Información de contacto (por ejemplo, direcciones, correo electrónico, números de teléfono);

☐ Firmas y números de identificación únicos (por ejemplo, números de Seguro Social, números de pasaporte y tarjeta de identificación, números de licencia de conducir, números de identificación de empleados, números de identificación de pacientes);

☐ Información financiera (por ejemplo, nombre y número de cuenta bancaria, nombre y número de tarjeta de crédito);

☐ Datos de ubicación (por ejemplo, direcciones IP);

☐ Fotos, vídeo y audio;

☐ actividad en Internet (p. ej., información relacionada con cookies o perfiles basados en preferencias de marketing);

☐ Datos de recursos humanos y contratación (por ejemplo, CV, datos de puestos y puestos, información sobre salarios, ciudadanía y residencia).

☐ Datos sensibles (por ejemplo, origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud, datos relativos a la vida sexual de una persona física o orientación sexual, o datos relativos a condenas o delitos penales)

Datos confidenciales transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como por ejemplo limitación estricta del propósito, restricciones de acceso (incluido el acceso solo para personal que haya seguido capacitación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales: Ninguna contemplada. Si el Importador de datos (Agilent) va a procesar datos personales confidenciales, el Exportador de datos (Cliente) lo notificará y acordará esto por adelantado con ▇▇▇▇▇▇▇.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua):

☐ Los datos solo se transfieren una vez

☒ Los datos se transfieren continuamente a Agilent

Naturaleza del procesamiento: De conformidad con los términos de las Condiciones de ventas y servicios de Agilent.

Propósito(s) de la transferencia de datos y procesamiento posterior: Con el fin de proporcionar los productos y/o servicios según los Términos de ventas y servicios del presente contrato.

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período: Durante la vigencia del Plazo de ventas y servicios del presente contrato

Para transferencias a (sub)encargados, especifique también el tema, la naturaleza y la duración del procesamiento:

consulte el Apéndice 3 de la DPA.

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE (PARA TRANSFERENCIAS DESDE EL EEE, SUIZA Y EL ▇▇▇▇▇ UNIDO ÚNICAMENTE): La autoridad de supervisión de datos en la que está establecido el exportador de datos.

APÉNDICE 2 - MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

Las medidas técnicas y organizativas implementadas por Agilent se describen en el siguiente enlace: ▇▇▇▇▇://▇▇▇.▇▇▇▇▇▇▇.▇▇▇/▇▇▇▇▇/▇▇▇▇▇▇▇▇▇/▇▇▇▇▇▇▇▇▇▇▇-▇▇▇▇▇▇▇▇/

Para transferencias a subencargados, describa también las medidas técnicas y organizativas específicas que debe tomar el subencargado para poder brindar asistencia al controlador y, para transferencias de un procesador a un subencargado, al exportador de datos.

Agilent exigirá a sus subprocesadores que cumplan materialmente con las medidas técnicas y organizativas antes mencionadas con respecto a cualquier subprocesador que procese datos personales de conformidad con la DPA.

APÉNDICE 3 - LISTA DE SUBPROCESADORES

La lista de Subprocesadores utilizados por Agilent se proporcionará al Controlador cuando lo solicite, o según se indique en las Condiciones de ventas y servicios del presente contratosegún lo acordado por el Controlador.

APÉNDICE 4 - TABLAS DE ADICIONES DEL REINO UNIDO

Tabla 1: Partes

Tabla 2: SCC, módulos y cláusulas seleccionadas

Tabla 3: Información del Apéndice

Table 4: Ending this Addendum when the Approved Addendum Changes