Acuerdo de Procesamiento de Datos

Descargar como PDF

Este Acuerdo de Procesamiento de Datos se aplica a usted si se registró para nuestros Servicios (incluido a través de cualquiera de nuestros Afiliados) antes, el o después del 1 de febrero de 2024 a la 1 PM CET. Nuestro Acuerdo de Procesamiento de Datos archivado está disponible aquí.

Este Acuerdo de Procesamiento de Datos, incluidos los apéndices, (“DPA”) forma parte del Acuerdo entre nosotros y el Cliente para la compra de servicios de comunicación (en línea) de nuestra parte para reflejar el acuerdo de las Partes con respecto al procesamiento de los Datos Personales del Cliente. En este DPA, los términos “tú”, “tu” o “Cliente” se refieren a ti como nuestro Cliente (sujeto a la Sección 1.2 a continuación), y los términos “nosotros”, “nos” o “nuestro” se refieren a nosotros como el Proveedor (como se define a continuación). Los términos en mayúscula utilizados en este DPA pero no definidos a continuación se definen en nuestros Términos y Condiciones Generales u otro Acuerdo con nosotros que rige tu uso de los Servicios.

1.1 Alcance

Este DPA rige el procesamiento de los Datos Personales del Cliente por nuestra parte como procesador.

1.2 Afiliados de Clientes

El cliente celebra este DPA en nombre de sí mismo y, en la medida en que sea requerido bajo las Leyes de Protección de Datos, en nombre y representación de sus Afiliados (como se define en los Términos), si y en la medida en que usted proporcione dicho acceso a los Afiliados a los Servicios y nosotros procesemos Datos Personales del Cliente para los cuales dichos Afiliados califiquen como el controlador de datos (“Afiliados del Cliente”). A efectos de este DPA solamente, y excepto donde se indique lo contrario, los términos “Cliente” y “usted” incluirán al Cliente y a los Afiliados del Cliente.

1.3 Términos

Este DPA seguirá en vigor mientras procesemos los Datos Personales del Cliente sujetos a este DPA, a pesar de la expiración o finalización del Acuerdo.

2. Definiciones

Datos de la cuenta

Los "Datos de la Cuenta" son cualquier Dato Personal proporcionado por usted o para usted a nosotros en relación con la celebración y administración del Acuerdo y de su cuenta, incluidos, entre otros, la información de contacto, los detalles de facturación y la correspondencia sobre la celebración y administración del Acuerdo y los Servicios relacionados.

CCPA

"CCPA" significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier regulación promulgada en virtud de la misma, en cada caso, según se modifique de vez en cuando.

Datos del cliente

"Datos del Cliente" significa cualquier dato y otra información o contenido enviado por usted o para usted (o por un usuario de su Aplicación de Cliente) bajo el Acuerdo y procesado o almacenado por los Servicios.

Datos personales del cliente

"Datos Personales del Cliente" se refiere a los Datos Personales contenidos en los Datos del Cliente procesados por nosotros como procesador, a menos que se especifique lo contrario en este DPA.

Leyes de Protección de Datos

"Las "Leyes de Protección de Datos" significan todas las leyes y regulaciones de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o procesamiento de Datos Personales bajo el Acuerdo, incluyendo, por ejemplo y donde sea aplicable, el RGPD o la CCPA."

EEE

“EEA” significa, a los efectos de este DPA, el Espacio Económico Europeo y Suiza.

RGPD

“GDPR” significa ya sea (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en relación con el tratamiento de datos personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos de 2018.

Datos personales

"Datos Personales" se refiere a cualquier información relacionada con una persona física identificada o identificable, ya sea por sí misma o en combinación con otra información.

Incumplimiento de datos personales

“Violación de Datos Personales” significa cualquier destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilegal a los Datos Personales del Cliente y cualquier otro término similar bajo las Leyes de Protección de Datos aplicables, como “Violación de Seguridad.”

Servicios

"Servicios" significa todos los productos y servicios proporcionados por nosotros o nuestros Afiliados que son (a) solicitados por usted bajo cualquier Formulario de Pedido; o (b) utilizados por usted.

Proveedor

"Proveedor" significa nuestra entidad contratante que es parte de este DPA, siendo la entidad contratante enumerada en la Sección 15 de los Términos y Condiciones Generales (Entidad Contratante), a menos que se indique lo contrario en su Formulario de Pedido. Usted o el Proveedor también pueden ser referidos individualmente como una "Parte" y juntos como "Partes" en este DPA.

Cláusulas Contractuales Estándar

"Cláusulas Contractuales Estándar" significa Controlador a Procesador (Módulo Dos) o Procesador a Procesador (Módulo Tres), según sea aplicable, de las Cláusulas Contractuales Estándar para la transferencia de Datos Personales a terceros países según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo aprobado por la Decisión de Ejecución de la Comisión Europea (UE) 2021/914 de 4 de junio de 2021, según lo establecido actualmente en https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Subprocesador

"Sub-procesador" significa una entidad externa que procesa Datos Personales del Cliente en nombre del Proveedor, donde el Proveedor actúa como procesador de datos o sub-procesador.

Cláusulas contractuales estándar del Reino Unido

"Las "Cláusulas Contractuales Estándar del Reino Unido" significan cualquiera o todas las siguientes: (i) acuerdo de transferencia internacional de datos emitido por el Comisionado de Información del Reino Unido bajo la sección 119A de la DPA 2018; (ii) el apéndice de transferencia internacional de datos a las cláusulas contractuales estándar de la Comisión Europea para transferencias internacionales de datos emitido por el Comisionado de Información del Reino Unido bajo la sección 119A de la DPA 2018; o (iii) tales disposiciones contractuales estándar emitidas por el Comisionado de Información del Reino Unido o la Comisión Europea que puedan reemplazarse de vez en cuando. Términos como "procesamiento", "controlador de datos", "procesador de datos", "sujeto de datos", etc. tendrán el significado asignado a ellos bajo el GDPR. La definición de "controlador de datos" incluye "empresa", "consumidor", "controlador" y "organización"; "procesador de datos" incluye "proveedor de servicios", "procesador" y "intermediario de datos"; "sujeto de datos" incluye "consumidor" e "individuo"; y "Datos Personales" incluye "información personal", en cada caso según lo definido bajo la CCPA y otras leyes de Protección de Datos aplicables. Los términos "propósito comercial", "propósito empresarial", "vender" y "compartir" tendrán el mismo significado que en las leyes de Protección de Datos aplicables y, en cada caso, sus términos relacionados se interpretarán en consecuencia.

3. Procesamiento de Datos Personales del Cliente

3.1 Propósitos

Procesaremos los Datos Personales del Cliente únicamente en la medida necesaria (i) para proporcionar los Servicios, incluida la transmisión de comunicaciones, garantizando la seguridad de los servicios, proporcionando informes técnicos y de entrega, brindando soporte y desarrollando e implementando mejoras y actualizaciones de acuerdo con sus instrucciones documentadas a nosotros como procesador de datos, según lo especificado en la Sección 3.2 de este DPA, (ii) para nuestros fines comerciales legítimos según lo especificado en la Sección 3.4 de este DPA como controlador de datos, y (iii) según lo requiera de otro modo la legislación aplicable.

Instrucciones del cliente 3.2

El Acuerdo y este DPA constituyen sus instrucciones completas para nosotros como procesador de datos en el momento de la firma de este DPA. Nos comprometeremos a cumplir con otras instrucciones razonablemente documentadas siempre que esas instrucciones sean coherentes con los términos del Acuerdo.

3.3 Detalles del Procesamiento

El Anexo I, Parte B (Descripción de la transferencia) del Apéndice I de este DPA especifica la naturaleza y el propósito del procesamiento por nosotros como responsables del tratamiento o subencargados, las actividades de procesamiento, la duración del procesamiento, los tipos de Datos Personales y las categorías de interesados.

3.4 Propósitos comerciales legítimos

Usted reconoce que procesamos los Datos Personales del Cliente como un controlador de datos independiente en la medida necesaria para los siguientes fines comerciales legítimos: facturación, gestión de cuentas, informes financieros e internos, combate y prevención de amenazas a la seguridad, ataques cibernéticos y delitos informáticos que puedan afectarle a usted, a nosotros o a nuestros servicios, modelado de negocios (por ejemplo, previsiones, planificación de capacidad y de ingresos, y estrategia de productos), prevención y detección de fraudes, spam y abuso, mejora de nuestra gama de productos y servicios, y para cumplir con nuestras obligaciones legales.

4. Obligaciones del cliente

4.1 Legalidad

Donde actúas como controlador de datos de Clientes, garantizas que todas las actividades de procesamiento son legales, tienen un propósito específico y que se han establecido los avisos y consentimientos requeridos o cualquier otra base legal apropiada para permitir la transferencia legal de los Datos Personales del Cliente. Si eres un procesador de datos (en cuyo caso actuaremos como Sub-procesador), garantizarás que el controlador de datos relevante garantice que se cumplan las condiciones enumeradas en esta Sección 4.1.

4.2 Cumplimiento

Usted es el único responsable de (a) garantizar que cumple con las leyes de protección de datos aplicables a su uso de los Servicios y a su propio tratamiento de Datos Personales de Clientes, (b) realizar una evaluación independiente sobre si las medidas técnicas y organizativas de los Servicios cumplen con sus requisitos, y (c) implementar y mantener medidas de privacidad y seguridad para los componentes que usted proporcione o controle (incluyendo, entre otros, contraseñas, dispositivos utilizados con los Servicios y Aplicaciones de Clientes).

5. Seguridad

5.1 Medidas de Seguridad

Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del tratamiento, así como el riesgo de variabilidad en la probabilidad y gravedad para los derechos y libertades de las personas físicas, implementaremos y mantendremos medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente de Brechas de Datos Personales y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos del Cliente que nuestros sistemas utilizan para el tratamiento de Datos Personales del Cliente. Las medidas de seguridad aplicadas por nosotros se describen en el Apéndice II.

Actualizaciones 5.2 a las medidas de seguridad

Usted es responsable de revisar la información que ponemos a su disposición relacionada con la seguridad de los Datos Personales del Cliente y de hacer una evaluación independiente respecto a si dicha información satisface sus requisitos y obligaciones legales bajo las Leyes de Protección de Datos. Usted reconoce que las medidas de seguridad están sujetas a avances y desarrollos técnicos, y que podemos actualizar o modificar nuestras medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Datos Personales del Cliente.

5.3 Controles de Acceso

Aplicamos los principios de "necesidad de saber" y "mínimo privilegio", asegurando que el acceso a los Datos Personales del Cliente se limite al personal necesario para la provisión de los Servicios y de acuerdo con el Acuerdo, incluyendo este DPA.

5.4 Confidencialidad del Procesamiento

Nos aseguraremos de que cualquier persona o parte que esté autorizada por nosotros para procesar los Datos Personales del Cliente (incluido nuestro personal, agentes y Sub-procesadores) sea informada de la naturaleza confidencial de dichos Datos Personales del Cliente y estará sujeta a una obligación de confidencialidad adecuada (ya sea un deber contractual o estatutario) que sobreviva a la finalización de su compromiso.

5.5 Respuesta y Notificación de Violaciones de Datos Personales

Al tomar conocimiento de una violación de datos personales, sin demora indebida, (i) le notificaremos, (ii) investigaremos la violación de datos personales, (iii) proporcionaremos información oportuna relacionada con la violación de datos personales a medida que se conozca o se solicite razonablemente por usted, y (iv) tomaremos medidas comercialmente razonables para mitigar los efectos y prevenir la recurrencia de la violación de datos personales.

6. Asistencia

6.1 Asistencia en Protección de Datos

Le proporcionaremos la asistencia razonablemente solicitada para permitirle cumplir con sus obligaciones bajo las Leyes de Protección de Datos, incluida la notificación de una violación de Datos Personales, evaluando el nivel adecuado de seguridad del tratamiento y ayudándole en la realización de una evaluación de impacto sobre la protección de datos correspondiente.

6.2 Asistencia con los Derechos de los Sujetos de Datos

Le proporcionaremos asistencia razonable para permitirle cumplir con sus obligaciones hacia los interesados que ejercen sus derechos bajo las Leyes de Protección de Datos, poniendo a su disposición medidas técnicas y organizativas a través de su cuenta. Para evitar dudas, usted, como el controlador de datos, es responsable de procesar cualquier solicitud o queja de los interesados con respecto a los Datos Personales del Cliente de un interesado.

7. Divulgación y Solicitudes de Divulgación

7.1 Limitaciones sobre la divulgación y el acceso

No proporcionaremos acceso ni revelaremos los Datos Personales del Cliente excepto (i) según lo indicado por usted, (ii) como se establece en el Acuerdo y este DPA, o (iii) según lo exija la ley.

7.2 Solicitudes de divulgación

Le notificaremos tan pronto como sea razonablemente posible si recibimos una solicitud de un organismo gubernamental o regulador para divulgar Datos Personales del Cliente, a menos que tal aviso esté prohibido por la ley. Manejaríamos las solicitudes de divulgación de acuerdo con la política de solicitudes de divulgación, disponible en nuestro sitio web aquí.

8. Subprocesadores

8.1 Lista de Subprocesadores Actuales

Usted acepta la contratación de los Subprocesadores en relación con los Servicios, que se enumeran en nuestra visión general de Subprocesadores, que también contiene un procedimiento para que usted se suscriba a las notificaciones de cambios en nuestro uso de Subprocesadores. Si se suscribe a dichas notificaciones, y teniendo en cuenta la Sección 8.3 de este DPA, compartiremos los detalles de cualquier cambio en los Subprocesadores tan pronto como sea razonablemente posible.

8.2 Nombramiento de Subcontratistas

Mediante este DPA, usted nos proporciona una autorización escrita general para que contratemos Sub-encargados del tratamiento para el procesamiento de Datos Personales del Cliente, sujeto a la Sección 8.3 de este DPA y a los siguientes requisitos:

Restringiremos el acceso a los Datos Personales del Cliente por parte de los Sub-encargados del tratamiento a lo que sea estrictamente necesario para proporcionar los servicios especificados en el acuerdo del sub-encargado;
Conveniremos obligaciones de protección de datos con el Sub-encargado que sean sustancialmente las mismas que las obligaciones bajo este DPA; y
Seguimos siendo responsables ante usted bajo este DPA por el cumplimiento de las obligaciones de protección de datos del Sub-encargado.

8.3 Notificación de cambios en subcontratistas y derecho a oponerse

Antes de reemplazar o involucrar a nuevos Subprocesadores (“Cambio de Subprocesador”), te daremos la opción de oponerte al Cambio de Subprocesador. Puedes oponerte a un Cambio de Subprocesador siempre que (i) la objeción se realice por escrito dentro de los diez (10) días hábiles siguientes a nuestra notificación del Cambio de Subprocesador y (ii) la objeción se base en y explique claramente los motivos razonables relacionados con la protección de los Datos Personales del Cliente. Cuando te opongas a un Cambio de Subprocesador propuesto, trabajaremos contigo de buena fe para hacer un cambio comercialmente razonable en la prestación de los Servicios que evite el uso del Subprocesador relevante. Si tal cambio no puede realizarse de manera razonable dentro de los treinta (30) días hábiles desde nuestra recepción de tu aviso de objeción, o si el cambio es comercialmente irrazonable para nosotros, cualquiera de las partes puede terminar las características aplicables de los Servicios que no pueden ser proporcionadas sin el uso del Subprocesador relevante. Este derecho de terminación es tu único y exclusivo recurso si te opones a un Cambio de Subprocesador.

9. Transferencias transfronterizas de datos personales de clientes

9.1 Transferencias de Datos Personales del Cliente

Podemos transferir los Datos Personales de los Clientes con la condición de que se hayan establecido todas las salvaguardias apropiadas requeridas por las Leyes de Protección de Datos. Esto puede incluir una evaluación previa del impacto de la transferencia de datos, la adopción, monitorización y evaluación de medidas técnicas, organizativas y legales suplementarias, derechos de los interesados exigibles y que existan recursos legales efectivos para los interesados.

9.2 Cláusulas contractuales estándar para subprocesadores

A menos que se aplique una decisión de adecuación o un mecanismo de transferencia alternativo, como el Marco de Privacidad de Datos UE-EE.UU., hemos celebrado y mantendremos Cláusulas Contractuales Estándar con Subprocesadores (incluidas nuestras Afiliadas) ubicadas fuera del EEE, sujeto a los términos establecidos en la Sección 9.1 de este DPA.

9.3 Mecanismos de Transferencia para la Transferencia de Datos Personales de Clientes

En la medida en que su uso de los Servicios requiera un mecanismo de transferencia de datos transfronterizo para exportar legalmente los Datos Personales del Cliente desde una jurisdicción (por ejemplo, el EEE, California, Singapur, Suiza o el Reino Unido) a nosotros ubicados fuera de esa jurisdicción, se aplicará esta sección. Si, en la ejecución de los Servicios, se transfieren Dato Personales del Cliente que están sujetos al GDPR o cualquier otra ley relacionada con la protección o privacidad de las personas que se aplica a este DPA a una entidad Proveedor ubicada en países que no garantizan un nivel adecuado de protección de datos en el sentido de las Leyes de Protección de Datos, los mecanismos de transferencia que se enumeran a continuación se aplicarán a dichas transferencias y pueden ser directamente ejecutados por las partes en la medida en que tales transferencias estén sujetas a las Leyes de Protección de Datos.

9.3.1

Las partes acuerdan que las Cláusulas Contractuales Estándar se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el EEE o Suiza, ya sea directamente o a través de una transferencia posterior, a una entidad Proveedora ubicada en un país fuera del EEE o Suiza que no sea reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, por la autoridad competente de Suiza) como que proporciona un nivel adecuado de protección para los datos personales.

9.3.1.1

Cuando actúas como controlador de datos y nosotros somos un procesador de datos, se aplicarán las Cláusulas Contractuales Estándar del Módulo Dos del Regulador al Procesador para cualquier transferencia de Datos Personales del Cliente desde el EEE. Cuando actúas como procesador de datos y nosotros somos un subprocesador, se aplicarán las Cláusulas Contractuales Estándar del Módulo Tres del Procesador al Procesador para cualquier transferencia de Datos Personales del Cliente desde el EEE.

9.3.1.2

Se nos considerará el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Estándar. La firma de este DPA por cada parte se tratará como la firma de las Cláusulas Contractuales Estándar aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Estándar están disponibles en el Apéndice I y el Apéndice II de este DPA. En caso de conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar, las Cláusulas Contractuales Estándar prevalecerán únicamente con respecto a una transferencia de Datos Personales del Cliente desde el EEE.

9.3.1.3

Donde las Cláusulas Contractuales Estándar requieren que las partes elijan entre cláusulas opcionales y proporcionen información, las partes lo han hecho como se indica a continuación:

i. La Cláusula Opcional 7 “Cláusula de Acoplamiento” no se adoptará.

ii. Para la Cláusula 9 “Uso de subprocesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización escrita general: el importador de datos tiene la autorización general del controlador para la contratación de subprocesadores de una lista acordada. El importador de datos informará específicamente al controlador por escrito sobre cualquier cambio previsto en esa lista a través de la adición o reemplazo de subprocesadores con al menos 10 días hábiles de anticipación, proporcionando así al controlador tiempo suficiente para poder objetar sobre tales cambios antes de la contratación de los subprocesadores. El importador de datos proporcionará al exportador de datos la información necesaria para permitir que el exportador de datos ejerza su derecho a objetar. El importador de datos informará al exportador de datos sobre la contratación de los subprocesadores.”

iii. Para la Cláusula 11 (a) “Reparación”, las partes no adoptan la Opción.

iv. Para la Cláusula 17 “Ley aplicable”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas estarán regidas por la ley de uno de los Estados Miembros de la UE, siempre que dicha ley permita derechos de beneficiario de terceros. Las Partes acuerdan que esta será la ley de los Países Bajos.”

v. Para la Cláusula 18 (b) “Elección de Foro y Jurisdicción”: “Las Partes acuerdan que esos serán los tribunales de los Países Bajos.”

9.3.2

Las partes acuerdan que las Cláusulas Contractuales Tipo del Reino Unido se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el Reino Unido, ya sea directamente o mediante transferencia posterior, a una entidad Proveedor ubicada en un país fuera del Reino Unido que no sea reconocido por la autoridad reguladora competente del Reino Unido o el organismo gubernamental del Reino Unido como que proporciona un nivel adecuado de protección para los datos personales.

9.3.2.1

Se nos considerará el importador de datos y usted será considerado el exportador de datos según las Cláusulas Contractuales Estándar del Reino Unido. La firma de este DPA por cada parte se tratará como la firma de las Cláusulas Contractuales Estándar del Reino Unido, que se considerarán incorporadas a este DPA. Los detalles requeridos según las Cláusulas Contractuales Estándar del Reino Unido están disponibles en el Apéndice I y el Apéndice II de este DPA. En caso de conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar del Reino Unido, estas últimas prevalecerán únicamente respecto a la transferencia de Datos Personales del Cliente desde el Reino Unido.

10. Auditoría

10.1 Informe de Auditoría

Nuestra plataforma de comunicación será auditada periódicamente conforme a la norma ISO 27001 (o equivalente). La auditoría podrá, a nuestra entera discreción, ser una auditoría interna o una auditoría realizada por un tercero. A solicitud por escrito, le proporcionaremos un resumen del/los informe(s) de auditoría (“Informe de Auditoría”), para que pueda verificar nuestro cumplimiento con los estándares de auditoría y este DPA. Dichos Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son nuestra Información Confidencial.

10.2 Solicitudes de Información del Cliente

Pondremos a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA. Proporcionaremos respuestas por escrito a solicitudes razonables de información que usted realice, incluidas las respuestas a cuestionarios de seguridad de la información y auditoría que sean razonables en alcance y necesarias para confirmar el cumplimiento de este DPA, siempre que usted (i) haya hecho primero un esfuerzo razonable para obtener la información solicitada de la Documentación, Informes de Auditoría y otra información proporcionada o publicada por nosotros, y (ii) no ejerza este derecho más de una vez al año, a menos que una Brecha de Datos Personales o un cambio significativo en nuestras actividades de procesamiento en relación con los Servicios requieran que se ejecute un cuestionario adicional. Todas las respuestas proporcionadas son nuestra Información Confidencial.

10.3 Auditoría del Cliente

Si un Informe de Auditoría que le proporcionamos le da razones fundamentadas para creer que estamos en incumplimiento de nuestras obligaciones bajo este DPA, relacionadas con los Datos Personales del Cliente que nos haya proporcionado, le permitiremos un auditor independiente y calificado designado por usted y aprobado por nosotros, que audite las actividades de procesamiento de Datos Personales aplicables relevantes, siempre que, en la mayor medida permitida por la ley aplicable, se cumplan los siguientes requisitos:

Nos deberá dar al menos sesenta (60) días de aviso razonable antes de ejercer el derecho a auditar;
El auditor acepta obligaciones de confidencialidad estándar de mercado con nosotros;
Usted y el auditor tomarán medidas para minimizar la interrupción de nuestras operaciones comerciales;
La auditoría se llevará a cabo durante el horario comercial habitual;
No estaremos obligados a proporcionar acceso a los datos de clientes de otros clientes o sistemas no involucrados en la provisión de los Servicios; y
Usted pagará todos los costos de la auditoría.

11. Eliminación y Devolución de Datos Personales del Cliente

Al finalizar o expirar el Acuerdo, eliminaremos o devolveremos a usted todos los Datos Personales del Cliente (incluidas las copias) en nuestra posesión o control, a su elección, salvo que este requisito no se aplicará en la medida en que estemos obligados por ley a retener algunos o todos los Datos Personales del Cliente. Si nos instruye a eliminar los Datos Personales del Cliente, los Datos Personales del Cliente archivados en nuestros sistemas de respaldo estarán protegidos de un procesamiento adicional y se eliminarán cuando haya pasado el período de retención requerido.

12. Comunicación y Derechos de Afiliados del Cliente

La entrada en este DPA en nombre y en representación de un Afiliado del Cliente, tal como se establece en la Sección 1.2, constituye un DPA separado entre nosotros y ese Afiliado del Cliente, sujeto a lo siguiente:

12.1. Comunicación

El Cliente que es la parte contratante del Acuerdo seguirá siendo responsable de coordinar toda comunicación con nosotros bajo este DPA y tendrá derecho a realizar y recibir cualquier comunicación relacionada con este DPA en nombre de sus Afiliados Clientes.

12.2 Derechos de los Afiliados del Cliente

Donde un Afiliado del Cliente se convierte en parte del DPA con nosotros, tendrá, en la medida en que sea requerido bajo las Leyes de Protección de Datos, el derecho de ejercer los derechos y buscar remedios bajo este DPA, sujeto a lo siguiente:

(i) A menos que las Leyes de Protección de Datos requieran que el Afiliado del Cliente ejerza un derecho o busque un remedio bajo este DPA contra nosotros directamente por sí mismo, las partes acuerdan que (i) únicamente el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscará cualquier remedio en nombre del Afiliado del Cliente, y (ii) el Cliente que es la parte contratante del Acuerdo exercerá cualquier derecho bajo este DPA no de forma separada para cada Afiliado del Cliente individualmente, sino de manera combinada para sí mismo y todos sus Afiliados del Cliente juntos.

(ii) Las partes acuerdan que el Cliente que es la parte contratante del Acuerdo deberá, cuando se lleve a cabo una auditoría en el sitio de los procedimientos relevantes para la protección de los Datos Personales del Cliente en su nombre como se establece en la Sección 10.3 de este DPA, tomar todas las medidas razonables para limitar cualquier impacto sobre nosotros al combinar, en la medida razonablemente posible, varias solicitudes de auditoría realizadas en nombre de sí mismo y de todos sus Afiliados del Cliente en una sola auditoría.

Para mayor claridad, un Afiliado del Cliente no se convierte en parte contratante del Acuerdo.

13. Ley de Privacidad del Consumidor de California

En la medida en que sea aplicable, hacemos los siguientes compromisos adicionales con respecto al procesamiento de los Datos Personales del Cliente en el marco de la CCPA.

13.1 Nuestras obligaciones bajo las leyes de protección de datos de EE. UU.

Los términos “propósito comercial”, “propósito empresarial”, “consumidor”, “vender” y “compartir”, tal como se utilizan en esta Sección 13.1, tienen los significados que se les otorgan en la CCPA. En la medida en que sea aplicable, cumpliremos con la CCPA y trataremos todos los Datos Personales de Clientes sujetos a la CCPA y otras Leyes de Protección de Datos de EE. UU. (“Datos Personales de EE. UU.”) de acuerdo con las disposiciones de la CCPA y otras Leyes de Protección de Datos de EE. UU. Con respecto a los Datos Personales de EE. UU., somos un proveedor de servicios bajo la CCPA y un procesador de datos bajo otras Leyes de Protección de Datos de EE. UU. No venderemos Datos Personales de EE. UU. No retendremos, usaremos ni divulgaremos ningún Dato Personal de EE. UU. (i) para ningún propósito distinto de los propósitos comerciales especificados en el Acuerdo (incluyendo retener, usar o divulgar Datos Personales de EE. UU. para un propósito comercial distinto del propósito comercial especificado en el Acuerdo o según lo permitido por la CCPA o leyes aplicables); o (ii) fuera de la relación comercial directa entre tú y nosotros.

13.2 Obligaciones del Cliente

Usted declara y garantiza que ha notificado al Usuario Final que los Datos Personales están siendo utilizados o compartidos de acuerdo con las leyes de protección de datos aplicables. Usted es responsable de cumplir con los requisitos de las leyes de protección de datos en la medida en que le sean aplicables como controlador de datos.

14. Ley aplicable y resolución de disputas

Cualquier disputa, reclamación o controversia (“Disputas”) que surja o esté relacionada con este DPA se regirá por y se interpretará de acuerdo con las leyes de los Países Bajos. Cada Parte acepta que los tribunales competentes de Ámsterdam tendrán jurisdicción exclusiva para resolver cualquier Disputa que surja o esté relacionada con este DPA.

13.1 Nuestras obligaciones bajo las leyes de protección de datos de EE. UU.

APÉNDICE I - DETALLES DEL PROCESAMIENTO

Cuando sea aplicable, este Apéndice I servirá como Anexo I de las Cláusulas Contractuales Estándar del EEE.

Anexo I, Parte A. Lista de Partes

Exportador de datos

Cliente

Detalles de contacto del exportador de datos

La dirección que figura en la cuenta del Cliente, o la dirección de correo electrónico del propietario de la cuenta del Cliente, o a la(s) dirección(es) de correo electrónico para las que el Cliente elige recibir notificaciones bajo el Acuerdo.

Rol de exportador de datos

El papel del exportador de datos se detalla en la Sección 4 del DPA.

Firma y fecha

Si procede, se considera que el exportador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas en el presente documento a partir de la Fecha de Entrada en Vigencia del DPA.

Importador de datos

Proveedor

Detalles de contacto del importador de datos

Delegado de Protección de Datos - privacy@bird.com

Rol de importador de datos

El importador de datos actúa como procesador de datos.

Firma y fecha

Si corresponde, se considerará que el importador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas en el presente desde la Fecha de Vigencia del DPA.

Anexo I, Parte B. Descripción de la Transferencia

1. Categorías de sujetos de datos cuyos Datos Personales se transfieren.

Usuarios. Personas de contacto (personas físicas) o empleados, contratistas o trabajadores temporales (actuales, potenciales, antiguos) del Cliente que utilizan los Servicios (“Usuarios”);

Usuarios finales. Cualquier individuo (i) cujos datos de contacto están incluidos en la(s) lista(s) de contactos del Cliente; (ii) cuya información se almacena o se recoge a través de los Servicios, o (iii) a quien el Cliente envía comunicaciones o de otro modo interactúa o se comunica a través de los Servicios (colectivamente, “Usuarios finales”). Usted como Cliente determina exclusivamente las categorías de sujetos de datos incluidos en la comunicación enviada a través de nuestra plataforma de comunicación.

2. Categorías de datos personales transferidos

Datos Personales del Cliente contenidos en, contenido de comunicación, datos de tráfico, datos de Usuario Final y datos de uso del cliente.

Contenido de comunicación, que puede incluir Datos Personales u otras características personalizadas, dependiendo del contenido de la comunicación según lo determine usted como Cliente.
Datos de tráfico, que pueden incluir Datos Personales del Cliente sobre la ruta, duración o momento de una comunicación como llamada de voz, SMS o correo electrónico, ya sea que se relacione con un individuo o una empresa.
Datos del Usuario Final, como número de teléfono, dirección de correo electrónico, nombre de pila, apellido, nombre de perfil, país, identificador de canal.
Datos de uso del cliente, pueden contener datos que se pueden vincular a usted como individuo incluidos en datos estadísticos e información relacionada con su cuenta y actividades de servicio, información relacionada con el servicio y reportes analíticos sobre la comunicación enviada y el soporte al cliente.

3. Datos sensibles transferidos

Datos sensibles transferidos (si corresponde) y restricciones o medidas de salvaguarda aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, tales como, por ejemplo, limitación estricta del propósito, restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Contenido de la comunicación. Los datos sensibles pueden, de vez en cuando, ser procesados a través de los Servicios donde usted o sus Usuarios Finales elijan incluir datos sensibles en las comunicaciones que se transmiten utilizando los Servicios. Usted es responsable de asegurarse de que se implementen salvaguardias adecuadas antes de transmitir o procesar, o antes de permitir que sus Usuarios Finales transmitan o procesen cualquier dato sensible a través de los Servicios, de acuerdo con la Sección 3.2 del Acuerdo.
Datos de tráfico, datos del Usuario Final y datos de uso del cliente. No se contienen datos sensibles en los datos de tráfico, datos del Usuario Final ni en los datos de uso del cliente.

4. La frecuencia de la transferencia

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua): Los datos personales del cliente se transfieren de forma continua durante la duración del Acuerdo.

5. Naturaleza del procesamiento

Procesaremos los Datos Personales del Cliente en la medida en que sea necesario para proporcionar los Servicios según el Acuerdo. No vendemos ningún Dato Personal, incluidos los Datos Personales del Cliente, y no compartimos Datos Personales con terceros a cambio de compensación ni para los propios intereses comerciales de esos terceros.

6. Propósito(s) de la transferencia de datos y procesamiento posterior

Procesaremos los Datos Personales del Cliente como un procesador de datos de acuerdo con las instrucciones del Cliente establecidas en este DPA, a menos que el procesamiento sea necesario para cumplir con una obligación legal a la que estamos sujetos, en cuyo caso nos clasificaremos como un controlador de datos.

Contenido de comunicación, datos de tráfico, Datos del Usuario Final y datos de uso del cliente. Los Datos Personales contenidos en el contenido de comunicación, datos de tráfico, Datos del Usuario Final y datos de uso del cliente estarán sujetos a las siguientes actividades básicas de procesamiento:

Contenido de comunicación. La provisión de productos y servicios de comunicación programables, ofrecidos en forma de interfaces de programación de aplicaciones (APIs) o a través del Panel de Control, al Cliente, incluyendo la transmisión hacia o desde la aplicación de software del Cliente desde o hacia nuestra plataforma de comunicación, y otras redes de comunicación.
Datos de tráfico. Los datos de tráfico se procesan con el propósito de transmitir comunicación en una red de comunicaciones electrónicas o para la facturación en relación con esa comunicación. Esto puede incluir Datos Personales del Cliente sobre la ruta, duración o tiempo de una comunicación, como una llamada de voz, SMS o correo electrónico, ya sea que se relacione con un individuo o una empresa.
Datos del Usuario Final. Se requieren Datos Personales de los Usuarios Finales para realizar los Servicios y solo se procesarán para los fines de transmisión de comunicación, soporte al cliente y aseguramiento del cumplimiento de nuestras obligaciones legales.
Datos de uso del Cliente. Los Datos Personales contenidos en los datos de uso del cliente estarán sujetos a las actividades de procesamiento de provisión de los Servicios bajo el Acuerdo, con el objetivo de proporcionar al Cliente información relacionadas con los Servicios y reportes analíticos sobre la comunicación enviada, soporte al cliente y mejora continua de los Servicios.

7. Período de retención de datos personales

El período durante el cual se conservarán los Datos Personales, o, si eso no es posible, los criterios utilizados para determinar ese período: Contenido de la comunicación y datos de tráfico. Para el contenido de la comunicación y los datos de tráfico contenidos en los Servicios de SMS y Voz, se aplica un período de retención de seis meses; Para los Servicios de Video, el contenido de la comunicación y los datos de tráfico se conservan durante un mínimo de 30 días hasta la duración acordada contigo; Para los servicios de Correo Electrónico, el contenido de la comunicación y los datos de tráfico se conservan durante 72 horas; Para todos los demás servicios, el contenido de la comunicación y los datos de tráfico se conservan durante la duración de los Servicios, excepto si eliminas el contenido de la comunicación o los datos de tráfico a través de las medidas técnicas y organizativas proporcionadas a ti a través de los Servicios. Datos del Usuario Final. Los datos del Usuario Final se procesarán durante el período determinado por el Cliente; cuando los datos del Usuario Final se incluyan en tus perfiles de contacto, el período de retención predeterminado es la duración de los Servicios, sujeto a la Sección 6(c) de este Anexo I, Parte B. Datos de uso del Cliente. Al finalizar el Acuerdo, podemos retener, usar y divulgar los Datos de Uso del Cliente para los fines establecidos en la Sección 6(d) de este Anexo I, Parte B, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo. Anonimizaremos o eliminaremos los datos de uso del cliente cuando ya no los necesitemos para los fines establecidos en la Sección 6(d) de este Anexo I, Parte B.

7. Retención de Datos Personales

El período durante el cual se retendrán los Datos Personales, o, si eso no es posible, los criterios utilizados para determinar ese período:

Contenido de la comunicación y datos de tráfico;
Para el contenido de la comunicación y los datos de tráfico contenidos en los SMS y Servicios de Voz se aplica un período de retención de seis meses;
Para los Servicios de Video, el contenido de la comunicación y los datos de tráfico se retienen durante un mínimo de 30 días, hasta la duración acordada contigo;
Para los servicios de correo electrónico, el contenido de la comunicación y los datos de tráfico se retienen durante 72 horas;
Para todos los demás servicios, el contenido de la comunicación y los datos de tráfico se retienen durante la duración de los Servicios, excepto si eliminas el contenido de la comunicación o los datos de tráfico a través de las medidas técnicas y organizativas que se te proporcionan a través de los Servicios.
Los datos del Usuario Final serán procesados durante el período determinado por el Cliente; cuando los datos del Usuario Final estén incluidos en tus perfiles de contacto, el período de retención predeterminado es la duración de los Servicios, sujeto a la Sección 6(c) de este Anexo I, Parte B.
Datos de uso del Cliente: Al finalizar el Acuerdo, podemos retener, utilizar y divulgar los Datos de Uso del Cliente para los fines establecidos en la Sección 6(d) de este Anexo I, Parte B, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo. Anonimizaremos o eliminaremos los datos de uso del cliente cuando ya no los necesitemos para los fines establecidos en la Sección 6(d) de este Anexo I, Parte B.

8. Para transferencias a (Sub-)procesadores

Para las transferencias a (Sub-)procesadores, también especifique el tema, la naturaleza y la duración del procesamiento: Para las transferencias a Sub-procesadores, el tema y la naturaleza del procesamiento se describen en nuestra visión general de Sub-procesadores y la duración es por la duración del Acuerdo.

Anexo I, Parte C. Autoridad Supervisora Competente

La Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens) será la autoridad supervisora competente.

ANEXO II - Medidas de Seguridad Técnicas y Organizativas

Donde sea aplicable, este Apéndice II servirá como Anexo II a las Cláusulas Contractuales Estándar. Lo siguiente proporciona más información sobre nuestras medidas de seguridad técnicas y organizativas establecidas a continuación.

Medidas de Seguridad Técnicas y Organizativas

Medidas de seudonimización y protección de Datos Personales en almacenamiento y tránsito:

Todos los datos personales están cifrados en tránsito y en reposo, y, en la medida en que sea relevante desde una perspectiva de seguridad, se tratan como si fueran clasificados como datos sensibles. La información siempre se transmite a través de TLS con metodologías de cifrado actualizadas por defecto.

Medidas para garantizar la confidencialidad, integridad y disponibilidad continua, así como la resiliencia de los sistemas y servicios de procesamiento:

Entramos en acuerdos que contienen disposiciones de confidencialidad con nuestros empleados, contratistas, proveedores y subprocesadores. Nuestra política de continuidad empresarial es preparar nuestras actividades y servicios en caso de interrupciones prolongadas causadas por factores fuera de nuestro control y restablecer los servicios en la mayor medida posible en un plazo mínimo. Entendemos que los servicios que ofrecemos son críticos para nuestra misión hacia nuestros clientes y, por lo tanto, tenemos muy poca tolerancia a las interrupciones del servicio. Nuestros plazos de recuperación están diseñados para garantizar que podamos cumplir con nuestras obligaciones con todos nuestros clientes.

Procesos para pruebas regulares, evaluación y valoración de la efectividad de las medidas técnicas y organizativas con el fin de garantizar la seguridad del procesamiento:

El objetivo de la seguridad de la información y nuestro Sistema de Gestión de Seguridad de la Información (SGSI) es proteger la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios, clientes y los sistemas de información (autorizados), y minimizar el riesgo de daños al prevenir incidentes de seguridad y gestionar amenazas y vulnerabilidades de seguridad. Nuestro equipo legal, el Oficial de Protección de Datos y el equipo de seguridad se aseguran de que las regulaciones y estándares aplicables se tengan en cuenta en nuestros marcos de seguridad.

Medidas para la identificación y autorización de usuarios:

Seguimos los principios de "necesidad de saber" y "mínimo privilegio". Promovemos el uso de control de acceso basado en roles. La provisión y desaprobación son supervisadas por el equipo de seguridad, con inicio de sesión único y autenticación de dos factores por defecto. Se han definido propietarios para cada activo informático que son responsables de garantizar que el acceso a sus sistemas sea apropiado y revisado regularmente. Siempre que tratamos con información sensible o llevamos a cabo acciones críticas, utilizamos el principio de cuatro ojos.

Medidas para asegurar el registro de eventos:

Los registros de auditoría se almacenan de forma centralizada y se supervisan de manera regular en busca de eventos de seguridad, y se mantienen seguros para evitar el riesgo de manipulación. La Política de Gestión de Incidentes refuerza el plan de respuesta a incidentes y sus procedimientos. Estas directrices se están siguiendo si ocurre cualquier tipo de incidente de seguridad o técnico.

Medidas para garantizar la configuración de los sistemas, incluida la configuración predeterminada:

Seguimos un proceso de gestión de cambios consistente para todos los cambios en el entorno de producción de la Plataforma de Comunicación como Servicio. Para elaborar más, todas las solicitudes de cambio (RFC) deben ser aprobadas por una parte designada y ejecutadas según el proceso de control de cambios formal. El proceso de control asegura que los cambios propuestos sean revisados, autorizados, probados, implementados y liberados de manera controlada; y que el estado de cada cambio propuesto sea monitoreado. Se siguen las líneas base de configuración para configurar los sistemas de manera segura siguiendo las mejores prácticas. Además, dentro del departamento de Ingeniería, se utiliza un radar tecnológico para definir qué tecnologías (lenguajes, herramientas de plataforma, bases de datos y herramientas de gestión de datos) se pueden adoptar o deben ser evitadas durante el desarrollo.

Medidas para la seguridad física

Promovemos activamente una política de "Trabaja desde cualquier lugar" para que nuestros empleados puedan trabajar desde cualquier lugar que deseen. Sin embargo, todavía tenemos nuestras instalaciones de oficina. No tenemos áreas seguras / centro de datos en nuestras instalaciones ya que somos una empresa completamente basada en la nube. Nuestros pisos de oficina están protegidos por controles de acceso físico, CCTV y seguridad con personal.

Medidas para la gobernanza y gestión interna de TI y seguridad informática:

Mantenemos un programa de seguridad basado en la evaluación de riesgos, que incluye salvaguardias administrativas, organizativas, técnicas y físicas diseñadas para proteger los Servicios y la confidencialidad, integridad y disponibilidad de los Datos del Cliente. Nuestro programa de seguridad de la información está diseñado de manera sistemática y bien organizada. Además, se aplican requisitos legales y regulatorios para garantizar la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios y clientes. Todo esto se traduce en nuestras políticas, procedimientos y directrices de seguridad de la información. Tenemos un Comité de Dirección de Seguridad que es responsable del nivel táctico de la seguridad de la información. Esto implica la coordinación de las actividades de seguridad de la información y la traducción de actividades estratégicas a actividades operativas para nuestra seguridad, y nuestro mantenimiento continuo de la conformidad regulatoria. Todos los empleados son responsables de salvaguardar los activos de la empresa. Todos nuestros empleados son analizados por su experiencia, pericia e integridad. Los empleados son informados sobre la seguridad y la protección de datos en la etapa de incorporación, así como a través de formaciones regulares específicas para el equipo y otras presentaciones generales sobre la importancia de la protección de datos y el cumplimiento de la seguridad. Contamos con la certificación ISO 27001, los estándares de seguridad de la información reconocidos globalmente para Sistemas de Gestión de Seguridad de la Información (ISMS).

Todos nuestros proveedores de alojamiento están certificados por ISO 27001.
También estamos registrados en la Autoridad Holandesa de Consumidores y Mercados. Esto significa que siempre somos responsables y completamente transparentes con nuestros clientes.
Somos Miembro Asociado de la Asociación Global de Móviles (GSMA). La GSMA representa los intereses de los operadores móviles en todo el mundo.
Siempre estamos al día con todas las leyes y regulaciones aplicables, incluyendo el Reglamento General de Protección de Datos y el Marco de Protección de Datos entre la UE y EE. UU.

Medidas para la certificación/garantía de procesos y productos:

Sometemos a una rigurosa vigilancia así como a auditorías de certificación como parte de nuestro cumplimiento con la ISO/IEC 27001, y ejecutamos regularmente pruebas de vulnerabilidad de aplicaciones y pruebas de penetración.

Medidas para garantizar la responsabilidad:

implementamos políticas de seguridad de la información y protección de datos de acuerdo con las leyes aplicables y publicamos una visión general de nuestra información relevante del ISMS (enlace). Hemos nombrado a un Director de Seguridad dedicado, un Oficial de Seguridad de la Información, un Oficial de Cumplimiento y un Oficial de Protección de Datos, y mantenemos documentación de nuestras actividades de procesamiento, incluyendo el registro e informe de incidentes de seguridad que involucren Datos Personales donde sea aplicable.

Medidas para garantizar la eliminación de datos:

Garantizamos la eliminación de datos a través de un proceso de eliminación automatizado dentro de nuestro entorno de comunicación e infraestructura. Este proceso de eliminación de datos asegura que todos los datos que ya no son necesarios para cumplir un propósito específico se eliminen de nuestros sistemas después del procesamiento.