Chile: ¿En Qué Consiste La Nueva Obligación De Reportar Vulneraciones A Medidas De Seguridad En El Tratamiento De Datos Personales?

Last Updated: 6 July 2018
Article by Carlo Benussi

No es un misterio que la cuarta revolución industrial conlleva el tratamiento masivo de datos personales, los cuales, asociados a las vulnerabilidades propias de los sistemas informáticos y la falta de políticas de seguridad, generan un riesgo constante de accesos no autorizados y filtraciones de datos. La explotación de esas vulnerabilidades por agentes malintencionados puede desencadenar un daño relevante tanto para los titulares de datos afectados, como para las instituciones o empresas involucradas.

Bajo este panorama, la seguridad de los datos personales que las empresas recolectan es de extrema relevancia, y así lo han entendido los reguladores alrededor del mundo, quienes han elaborado diversas iniciativas para promover y –en algunos casos- obligar a los responsables a adoptar medidas de seguridad y de reporte de vulneraciones a autoridades y a personas afectadas.

Los autores Stefan Laube y Rainer Böhme han señalado que las vulneraciones de seguridad no sólo generan un costo a las instituciones directamente afectadas, sino que, en virtud de la interdependencia de los sistemas de información, estas pueden también llegar a afectar a otras entidades. Para ellos, este factor constituiría una externalidad negativa en la economía que justificaría la intervención del Estado (costo social) y, en consecuencia, las obligaciones de reporte de vulneraciones.

Para estos autores, las normas sobre notificación de vulneraciones a medidas de seguridad tienen dos objetivos principales: (i) otorgar información que permita a los individuos y empresas protegerse y así mitigar los efectos; y (ii) incentivar la inversión en seguridad de la información, en vista que esta clase de notificaciones pueden dañar la reputación de la empresa afectada y su valorización. Estos mismos propósitos son señalados por otros autores como Richard J. Sullivan y Jesse Leigh.

¿CÓMO SE HA REGULADO FUERA DE CHILE?

A nivel comparado, las obligaciones de reporte de este tipo no son novedad y constituyen un elemento común a la hora de establecer requisitos mínimos de seguridad involucrados en el tratamiento de datos personales.

En la Unión Europea, la obligación de notificación de vulneraciones fue establecida por primera vez en la ePrivacy Directive para el área de telecomunicaciones, específicamente respecto de proveedores de servicios de comunicaciones electrónicas. En el Reglamento General de Protección de Datos de la Unión Europea (el "RGPD") que entró recientemente en vigor, la obligación de notificar vulneraciones de seguridad es ahora general para todos los responsables y mandatarios, independientes del sector de la industria al que pertenezcan. Según señala el RGPD, el objetivo de esta obligación es que se tomen a tiempo medidas que permitan evitar que las vulneraciones ocasionen daños a los titulares de los datos (considerandos 85 a 87 del RGPD).

Estados Unidos, por su parte, fue pionero en esta clase de obligaciones con la California S.B. 1386 que data del año 2003. A la fecha, ya se han publicado leyes de este tipo en 50 estados, incluyendo el Distrito de Columbia. Estas leyes norteamericanas sobre notificación de brechas de seguridad difieren en varios aspectos, como el plazo de notificación, la forma de la notificación y el contenido de las mismas. Sin embargo, también coinciden en otros, como que la notificación sea por regla general a los sujetos afectados y, sólo bajo ciertos parámetros, a las autoridades. En Estados Unidos también existen leyes federales que contienen obligaciones sobre reporte de vulneraciones, como por ejemplo, la Ley de Transferencia y Responsabilidad de Seguro Médico ("HIPPA") y la Ley Gramm-Leach-Bliley o Ley de Modernización de Servicios Financieros ("GLBA").

En este contexto, desde hace algún tiempo los reguladores en la Unión Europea y en Estados Unidos han entendido que la obligación de implementación de medidas de seguridad en el tratamiento de datos personales no es suficiente como mecanismo de seguridad y que, aparentemente, habría una relación entre la obligación de notificación de una vulneración de seguridad con una disminución de los perjuicios asociados.

LA OBLIGACIÓN DE REPORTAR VIOLACIONES A LAS MEDIDAS DE SEGURIDAD EN EL PROYECTO DE LEY

El proyecto de reforma a la ley de protección de datos chilena incorpora una nueva obligación asociada a la seguridad de datos personales para los responsables y mandatarios: La obligación de reportar vulneraciones a medidas de seguridad. Esta obligación hasta el día de hoy es desconocida en nuestro ordenamiento jurídico. En este artículo analizamos en qué consiste, cómo ha sido aplicada en otras legislaciones y cuáles podrían ser los puntos donde el actual texto del proyecto podría mejorar.

El texto propuesto por el proyecto es el siguiente:

"Artículo 14 quinquies.- Deber de reportar las vulneraciones a las medidas de seguridad. El responsable de datos deberá reportar a la Agencia de Protección de Datos Personales, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizados a dichos datos, cuando exista un riesgo razonable que con ocasión de estos incidentes se genere un perjuicio o afectación para los titulares.

El responsable de datos deberá registrar estas comunicaciones, describiendo la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros.

Cuando dichas vulneraciones se refieran a datos personales sensibles o datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, el responsable deberá también efectuar esta comunicación a los titulares de estos datos. Esta comunicación deberá realizarse en un lenguaje claro y sencillo, singularizando los datos afectados, las posibles consecuencias de las vulneraciones de seguridad y las medidas de solución o resguardo adoptadas. La notificación se deberá realizar a cada titular afectado y si ello no fuere posible, se realizará mediante la difusión o publicación de un aviso en un medio de comunicación social masivo y de alcance nacional."

La incorporación de una obligación de notificación de vulneraciones a medidas de seguridad constituye un hito en la legislación nacional por ser la primera norma de este tipo de aplicación transversal. El tratamiento de grandes volúmenes de datos y la creciente amenaza en ciberseguridad hacen que la entrada en vigor de esta obligación sea una prioridad para nuestro país. No sólo los derechos de las personas dependen de ello, sino que incluso la confianza en la economía digital.

El enfoque adoptado por los autores del proyecto de ley toma ciertos elementos del RGPD para construir la obligación de reporte, y agrega otros nuevos.

Entre los elementos comunes con la RGPD, encontramos el hecho que la vulneración deba ser calificada previamente: Sólo las que constituyan un "riesgo de perjuicio" para titulares deba ser notificada; que la notificación por regla general se haga a la autoridad administrativa (Agencia); y que la notificación deba realizarse "sin dilaciones indebidas".

Algunos elementos novedosos son la causal de notificación a los titulares de datos cuando la afectación se presente respecto de datos sensibles o comerciales; y la ausencia de normas que configuren "puertos seguros", entre otros.

El panorama de seguridad de datos personales en el proyecto de ley no se agota con la obligación de reporte, sino que se ve complementado con disposiciones adicionales: (i) la incorporación del principio de seguridad con un contenido definido; (ii) una nueva obligación de adoptar medidas de seguridad; y (iii) cláusulas relativas al cumplimiento de las obligaciones y sanciones asociadas específicamente a las medidas de seguridad.

De la revisión de la redacción propuesta en el proyecto y de algunos antecedentes comparados, estimamos que el actual texto del artículo 14 quinquies tiene algunos aspectos que podrían ser mejorados.

COMENTARIOS Y CRÍTICAS AL TEXTO PROPUESTO EN EL PROYECTO

  1. Si tanto responsables de datos como mandatarios están obligados a la misma notificación, se pueden generar dificultades en la coordinación de respuestas frente a incidentes.

    La regulación de datos personales estructura su régimen de obligaciones según la calidad de los involucrados: Como responsables de datos o terceros mandatarios. El responsable es el principal obligado y es quien decide acerca de "los fines y medios del tratamiento de datos personales". Por su parte, el tercero mandatario es a quien se le ha encargado hacer un tratamiento de datos en nombre de un responsable (por ejemplo, el tratamiento de datos que hace la empresa encargada de la gestión del payroll de una empresa).

    El artículo 15 bis del proyecto extiende al mandatario la obligación de reportar vulneraciones, en idénticas condiciones que el responsable de datos; debiendo notificar las vulneraciones que sufran sus sistemas directamente a la Agencia o a los titulares según sea el caso.

    Sin perjuicio que es deseable que exista mayor transparencia a la hora de existir vulneraciones (sobre todo frente a responsables de datos que no quieran cumplir su obligación de reporte), una obligación de reporte idéntica para responsable y mandatario muy probablemente generará conflictos en su aplicación.El reporte de una vulneración requiere dos calificaciones: Una calificación técnica (destrucción, filtración o alteración de datos) y una calificación jurídica (riesgo razonable de perjuicios al titular). La calificación de la existencia de un riesgo razonable de prejuicios al titular debe lógicamente hacerse en consideración al tipo y calidad de datos que han sido objeto de la brecha. El encargado, en ciertas ocasiones no tiene acceso efectivo al contenido procesado. Imponerle una obligación de notificación directa de la brecha implicaría en estos casos a obligarlo a examinar el contenido de la información que procesa, lo cual puede ser impracticable técnicamente. La existencia de dos obligados a realizar estas calificaciones sobre un mismo evento puede generar graves inconvenientes y descoordinaciones en la Agencia y en los titulares de datos, quienes pueden verse enfrentados, por ejemplo, a notificaciones contradictorias o incoherentes entre sí respecto de un mismo hecho. A nuestro juicio, el único obligado a realizar estas notificaciones es quien está en mejor posición de calificar el impacto de una vulneración, y el único que siempre tiene acceso efectivo a los datos, o sea, el responsable de datos.

    Es más, la notificación de la brecha puede involucrar (como analizamos en detalle en el punto 5) la descripción de "la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros". ¿Cómo puede un mandatario que, por ejemplo, provee servicios de hosting, cumplir con esa obligación sin tener acceso directo a los datos, circunstancia que muy probablemente tiene prohibida contractualmente?

    Una aproximación razonable para este caso es la solución del RGPD, que en su artículo 33 N°2 obliga al mandatario a notificar sin dilación indebida al responsable de datos las vulneraciones de seguridad de las que tiene conocimiento. El mandatario no notifica a la autoridad ni a los titulares de datos; el responsable es quien tiene la obligación última de notificarles a ellos.

  2. El destinatario de la notificación: La notificación a la Agencia y la notificación al titular de datos

    A nivel comparado, las notificaciones de brechas de seguridad tienen como destinatario a los titulares de los datos y a ciertas autoridades administrativas. La predilección por sobre uno u otro destinatario se puede ver reflejada en las diferencias que existen entre la Unión Europea y Estados Unidos. En Europa se prefiere a la autoridad de control como la entidad encargada de recibir las notificaciones, dejando las notificaciones al titular para los casos en que la vulneración implica un riesgo mayor. Por su parte, en Estados Unidos la regla general es la contraria, se prefiere la notificación al afectado que, en ciertos casos, se complementa con una notificación a alguna autoridad.

    El proyecto sigue el modelo europeo adaptado con ciertos matices, donde se establece como regla general la notificación a la Agencia de Protección de Datos Personales para cualquier vulneración. Sólo cuando las vulneraciones involucren datos sensibles o datos de carácter económico, la notificación además debe efectuarse a los titulares afectados.

    Esta aproximación asume que las más graves afectaciones a los titulares pueden derivar de una vulneración que involucra sólo esas dos categorías de datos. Esto podría parecer a priori correcto; sin embargo, excluye casos de una vulneración que afecta datos personales no sensibles y no económicos pero que, por otros elementos ajenos al tipo de dato, igualmente suponen un grave riesgo de afectación a los derechos de los titulares.Un ejemplo de esta filtración podría ser el caso del sitio web Ashley Madison, uno de los ciberataques más notorios en último tiempo. En este caso, por una brecha de seguridad se expusieron una cantidad importante de datos personales, incluyendo correos electrónicos, nombres, nombres de usuarios, direcciones y contraseñas que identificaban a usuarios de un sitio web para concertar citas extramaritales. Estos datos no caen en la calificación del proyecto de ley, sin embargo, sería difícil decir que su vulneración no implica un grave riesgo de afectación a los titulares y que no era relevante notificarles directamente. Con el proyecto de ley, un caso similar con ese tipo de datos no desembocaría en una notificación a los titulares.En el caso del RGPD, la notificación a los titulares no distingue entre el tipo de dato afectado, sino que se aplica para cualquier categoría de dato personal. El hecho detonante, sin embargo, es que la vulneración entrañe un "alto riesgo" para los derechos y libertades de los titulares. A nuestro juicio, esta regulación podría servir para complementar la actual obligación de notificación a los titulares que se contiene en el proyecto de ley y que, finalmente, se traduciría en mayor protección a los afectados.

  3. Falta la incorporación de hipótesis de "puerto seguro" que dote de razonabilidad y eficiencia a la norma

    Tanto en Estados Unidos como en Europa existen ciertos casos donde el responsable, aun cuando ha sido afectado por una vulneración, no requiere hacer una notificación.

    En Estados Unidos, algunos estados no requieren que las empresas notifiquen vulneraciones si los datos afectados estaban encriptados, y las llaves de encriptación no fueron comprometidas. Ciertos estados no requieren notificación si la empresa está regulada por HIPPA o la GLBA, que contemplan requisitos propios de notificación. Por último, en ese mismo país la mayoría de las leyes sobre notificación de filtraciones de datos personales permiten a las empresas dilatar la notificación al titular si ello podría perjudicar una investigación criminal en curso.En el caso de la Unión Europea, el RGPD establece que la notificación al titular de datos no será requerida si: (i) el responsable ha adoptado medidas de protección apropiadas y éstas se han aplicado a los datos afectados, por ejemplo, encriptación; o (ii) si el responsable ha tomado medidas que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo para los derechos y libertades del titular.El proyecto de ley no contempla escenarios de puerto seguro como los arriba señalados. De las hipótesis comentadas, se puede advertir que existen ciertos eventos donde efectivamente una notificación puede no constituir un mecanismo necesario o apropiado para combatir una vulneración a medidas de seguridad. Por ejemplo, el caso de otras regulaciones especiales que contemplen medidas de notificación similares, o aquellos casos donde el responsable ha tomado precauciones que disminuyen o eliminan el riesgo para los titulares, como cuando los datos han sido encriptados previamente.Bajo nuestra perspectiva, la incorporación al texto del proyecto de ley de hipótesis como las señaladas podría dotar a nuestra norma de razonabilidad y eficiencia, evitando gastos innecesarios y premiando aquellos responsables que han tomado medidas de resguardo sobre los datos personales con anterioridad. Esto, considerando -sobre todo- el hecho que la aplicación de la ley de datos personales es transversal tanto para personas naturales como jurídicas, empresas de gran tamaño y pymes.

  4. ¿Bajo qué parámetros se configura la "imposibilidad de notificación al afectado" que autoriza la notificación a través de un medio de comunicación masivo?

    La imposibilidad de notificación a cada afectado puede tener varios matices según la óptica desde donde se observe. Puede ser una imposibilidad económica en el sentido que notificar a cada afectado puede implicar un costo prohibitivo para el responsable, o puede ser una imposibilidad fáctica por no tener datos de contacto suficientes donde dirigir las notificaciones. En este sentido, la actual redacción del artículo deja abierta la puerta a la interpretación sobre cuándo existe realmente esta "imposibilidad".

    Estamos de acuerdo con que la ley no puede ni debe contemplar el detalle de todas las obligaciones que establece, para ello existe el mecanismo del reglamento y la jurisprudencia. En este caso, nuestra sugerencia es optar por un criterio mixto: que la ley establezca ciertas hipótesis amplias de imposibilidad para dar mayor claridad y precisión a la norma, y que la Agencia complemente o genere nuevas hipótesis de imposibilidad derivadas del caso a caso y de los cambios tecnológicos.

    Por último, y asociado a los costos de notificar, creemos que sería adecuado establecer expresamente la posibilidad de efectuar notificaciones por medios electrónicos en la medida que fuera posible contactar a los afectados por ese medio. Esto permitirá reducir considerablemente los costos de esta gestión, pudiendo alcanzar un gran número de titulares en un plazo reducido de tiempo.

  5. Inciso segundo del artículo 14 quinquies: ¿Contenido de la notificación o contenido del registro de la notificación?

    De la lectura del artículo que dispone la obligación de reporte entendemos que el primer inciso establece la hipótesis que gatillará la notificación de la vulneración, y el segundo, la obligación de llevar un registro de las notificaciones. Si esto dispone el legislador, es válido preguntarse entonces ¿qué información tiene que contener la notificación a la Agencia?, ¿La información que el inciso segundo dice que se debe registrar?, ¿Una información diferente? En este último escenario, ¿cuál?

    Dado que no hay una mención clara al contenido, lo más lógico sería estimar que la notificación debería contemplar la información que señala el inciso segundo; sin embargo, esta norma señala "El responsable de datos deberá registrar estas comunicaciones", lo cual en estricto español nos lleva a pensar en que este registro es posterior y distinto al evento "notificación".

    El contenido de la notificación en una vulneración de seguridad es un elemento esencial que debe estar claramente definido con anterioridad. Si la intención del legislador era que la notificación comprendiere los elementos de inciso segundo y que -al mismo tiempo- el responsable mantenga un registro de ello para verificaciones posteriores, nuestra sugerencia es un texto que lo diga expresamente. Una alternativa podría ser la siguiente:El contenido de esta notificación será una descripción sobre la naturaleza de las vulneraciones sufridas, sus efectos, las categorías de datos y el número aproximado de titulares afectados y las medidas adoptadas para gestionarlas y precaver incidentes futuros. El responsable deberá llevar en un registro los antecedentes contenidos en cada notificación.Ahora bien, en cuanto al contenido propiamente tal, creemos que hay algunos elementos que podrían incorporarse para mejorar la información que reciba la Agencia. En el caso estadounidense, el contenido habitual de las notificaciones involucra información de contacto del responsable y la fecha o fechas de la vulneración. En el caso específico del Estado de California, la notificación requiere, entre otras cosas, adjuntar un modelo de notificación para los titulares de datos, la fecha en que la vulneración fue descubierta, la fecha de notificación a los titulares, señalar si la vulneración se ha comunicado a la prensa, señalar si la vulneración se ha comunicado o no a las policías, etc.

    A nuestro juicio, estos podrían ser elementos útiles a considerar a la hora de sistematizar los mecanismos de notificación de vulneraciones, una tarea que necesariamente deberá efectuar la Agencia una vez se encuentre constituida.

CONCLUSIONES

La nueva obligación de reportar vulneraciones a las medidas de seguridad adoptadas para el tratamiento de datos constituye una incorporación normativa importante y necesaria. El contexto tecnológico y de amenazas de ciberseguridad hace que la promulgación de una norma de este tipo sea sumamente apremiante.

De acuerdo a lo observado, hay varios elementos que fueron tomados por el legislador de lo que hizo su par europeo en el RGPD, y que nos parecen constituir un buen punto de partida.

Ahora bien, hay elementos que podrían ser mejorados o precisados para tener una mejor y más clara obligación. Dada la novedad que esta norma constituye en nuestro ordenamiento y la importancia que reviste para responsables, mandatarios y titulares, es necesaria una obligación clara y realista.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
Carlo Benussi
 
Some comments from our readers…
“The articles are extremely timely and highly applicable”
“I often find critical information not available elsewhere”
“As in-house counsel, Mondaq’s service is of great value”

Related Topics
 
Related Articles
 
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Register for Access and our Free Biweekly Alert for
This service is completely free. Access 250,000 archived articles from 100+ countries and get a personalised email twice a week covering developments (and yes, our lawyers like to think you’ve read our Disclaimer).
 
Email Address
Company Name
Password
Confirm Password
Position
Mondaq Topics -- Select your Interests
 Accounting
 Anti-trust
 Commercial
 Compliance
 Consumer
 Criminal
 Employment
 Energy
 Environment
 Family
 Finance
 Government
 Healthcare
 Immigration
 Insolvency
 Insurance
 International
 IP
 Law Performance
 Law Practice
 Litigation
 Media & IT
 Privacy
 Real Estate
 Strategy
 Tax
 Technology
 Transport
 Wealth Mgt
Regions
Africa
Asia
Asia Pacific
Australasia
Canada
Caribbean
Europe
European Union
Latin America
Middle East
U.K.
United States
Worldwide Updates
Registration (you must scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions