Acuerdo de procesamiento de datos
Última actualización: 21 de noviembre de 2024
Este Acuerdo de Procesamiento de Datos se aplica a usted para cualquier Servicio al que se registre (incluidos a través de cualquiera de nuestras Afiliadas):
Desde el día en que se registre en nuestros Servicios, si es el 21 de noviembre de 2024 o después.
Desde el 22 de diciembre de 2024, si se registró en nuestros Servicios antes del 21 de noviembre de 2024.
Nuestro Acuerdo de Procesamiento de Datos archivado está disponible aquí.
Este Acuerdo de Procesamiento de Datos, incluyendo los apéndices, (“DPA”) forma parte del Acuerdo entre nosotros y el Cliente para la compra de servicios de comunicación (en línea) de nosotros para reflejar el acuerdo de las Partes con respecto al procesamiento de los Datos Personales del Cliente. En este DPA, los términos “usted”, “su”, o “Cliente” se refieren a usted como nuestro Cliente (sujeto a la Sección 1.2 a continuación), y los términos “nosotros”, “nuestro,” o “nuestros” se refieren a nosotros como el Proveedor (según se define a continuación). Los términos capitalizados utilizados en este DPA pero no definidos a continuación se definen en nuestros Términos y Condiciones Generales u otro Acuerdo con nosotros que rige su uso de los Servicios.
Las partes acuerdan que este DPA reemplazará cualquier adición de protección de datos existente o acuerdo similar que las partes puedan haber celebrado previamente en relación con los Servicios.
1. Ámbito, Afiliados del Cliente y Duración
1.1 Alcance. Este DPA regula el procesamiento de Datos Personales del Cliente por nosotros como procesador.
1.2 Afiliados del Cliente. El Cliente celebra este DPA en su propio nombre y, en la medida requerida bajo las Leyes de Protección de Datos, en nombre y representación de sus Afiliados (según se define en los Términos), si y en la medida en que usted proporcione a dichos Afiliados acceso a los Servicios y procesemos Datos Personales del Cliente para los cuales dichos Afiliados califiquen como el controlador de datos (“Afiliados del Cliente”). A los efectos de este DPA únicamente, y salvo que se indique lo contrario, los términos “Cliente” y “usted” incluirán al Cliente y a los Afiliados del Cliente.
1.3 Duración. Este DPA permanecerá en efecto mientras procesemos Datos Personales del Cliente sujetos a este DPA, sin perjuicio de la expiración o terminación del Acuerdo.
2. Definiciones
“Account Data” es cualquier Dato Personal proporcionado por usted o para usted a nosotros en relación con la celebración y administración del Acuerdo y de su cuenta, incluyendo, pero no limitado a, información de contacto, detalles de facturación y correspondencia sobre la celebración y administración del Acuerdo y los Servicios relacionados.
“CCPA” significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier regulación promulgada en virtud de ella, en cada caso, según sea enmendada de vez en cuando.
“Customer Data” significa cualquier dato y otra información o contenido enviado por usted o para usted (o por un usuario de su Aplicación del Cliente) bajo el Acuerdo y procesado o almacenado por los Servicios.
“Customer Personal Data” significa Datos Personales contenidos en Datos del Cliente procesados por nosotros como procesador, a menos que se especifique lo contrario en este DPA.
“Data Protection Laws” significa todas las leyes y regulaciones de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o procesamiento de Datos Personales bajo el Acuerdo, incluyendo, por ejemplo y cuando sea aplicable, el GDPR o el CCPA.
“EEA” significa, a efectos de este DPA, el Área Económica Europea y Suiza.
“GDPR” significa ya sea (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al procesamiento de Datos Personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos de 2018.
“Personal Data” significa cualquier información relacionada con una persona natural identificada o identificable, ya sea por sí misma o en combinación con otra información.
“Personal Data Breach” significa cualquier destrucción accidental, no autorizada o ilegal, pérdida, alteración, divulgación o acceso a Datos Personales del Cliente y cualquier otro término similar bajo las Leyes de Protección de Datos aplicables, como “Violación de Seguridad”.
“Services” significa todos los productos y servicios proporcionados por nosotros o nuestras Afiliadas que son (a) ordenados por usted bajo cualquier Formulario de Pedido; o (b) utilizados por usted.
“Provider” significa nuestra entidad contratante que es parte de este DPA, siendo la entidad contratante listada en la Sección 15 de los Términos y Condiciones Generales (Entidad Contratante), a menos que se indique lo contrario en su Formulario de Pedido. Usted o el Proveedor también pueden ser referidos individualmente como una “Parte” y juntos como “Partes” en este DPA.
“Standard Contractual Clauses” significa Controlador a Procesador (Módulo Dos) o Procesador a Procesador (Módulo Tres), según corresponda, de las Cláusulas Contractuales Estándar para la transferencia de Datos Personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo aprobado por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea del 4 de junio de 2021, tal como se establece actualmente en https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
“Sub-processor” significa una entidad de terceros que procesa Datos Personales del Cliente en nombre del Proveedor donde el Proveedor actúa como procesador de datos o subprocesador.
“UK Standard Contractual Clauses” significa cualquiera o todas las siguientes: (i) acuerdo de transferencia internacional de datos emitido por el Comisionado de Información del Reino Unido bajo la sección 119A del DPA 2018; (ii) el anexo de transferencia internacional de datos a las cláusulas contractuales estándar de la Comisión Europea para transferencias internacionales de datos emitido por el Comisionado de Información del Reino Unido bajo la sección 119A del DPA 2018; o (iii) tales disposiciones contractuales estándar emitidas por el Comisionado de Información del Reino Unido o la Comisión Europea que puedan reemplazarlas de tiempo en tiempo.
Los términos como “procesamiento”, “controlador de datos”, “procesador de datos”, “sujeto de datos”, etc., tendrán el significado asignado a ellos bajo el GDPR. La definición de “controlador de datos” incluye “empresa”, “consumidor”, “controlador” y “organización”; "procesador de datos" incluye “proveedor de servicios”, “procesador” y “intermediario de datos”; “sujeto de datos” incluye “consumidor” e “individuo”; y “Datos Personales” incluye “información personal”, en cada caso tal como se define bajo el CCPA, y otras Leyes de Protección de Datos aplicables. Los términos “propósito empresarial”, “propósito comercial”, “venta” y “compartir” tendrán el mismo significado que en las Leyes de Protección de Datos aplicables y, en cada caso, sus términos cognados se interpretarán en consecuencia.
3. Procesamiento de Datos Personales del Cliente
3.1 Propósitos. Procesaremos los Datos Personales del Cliente solo en la medida necesaria (i) para proporcionar los Servicios, incluyendo la transmisión de comunicación, garantizar la seguridad de los servicios, proporcionar informes técnicos y de entrega, proporcionar soporte y desarrollar e implementar mejoras y actualizaciones de acuerdo con tus instrucciones documentadas hacia nosotros como procesador de datos según se especifica en la Sección 3.2 de este DPA, (ii) para nuestros legítimos propósitos comerciales según se especifica en la Sección 3.4 de este DPA como controlador de datos, y (iii) según lo requiera la ley aplicable.
3.2 Instrucciones del Cliente. El Acuerdo y este DPA constituyen tus instrucciones completas para nosotros como procesador de datos en el momento de la firma de este DPA. Cumpliremos con otras instrucciones razonablemente documentadas siempre que esas instrucciones sean consistentes con los términos del Acuerdo.
3.3 Detalles del Procesamiento. El Anexo I, Parte B (Descripción de la Transferencia) del Apéndice I de este DPA especifica la naturaleza y el propósito del procesamiento por nosotros como procesador de datos o Sub-procesador, las actividades de procesamiento, la duración del procesamiento, los tipos de Datos Personales y las categorías de sujetos de datos.
3.4 Propósitos Comerciales Legítimos. Reconoces que procesamos los Datos Personales del Cliente como un controlador de datos independiente en la medida necesaria para los siguientes propósitos comerciales legítimos: facturación, gestión de cuentas, informes financieros e internos, combatir y prevenir amenazas de seguridad, ciberataques y ciberdelincuencia que puedan afectarte a ti, a nosotros o a nuestros servicios, modelado de negocios (por ejemplo, previsión, planificación de capacidad y de ingresos, y estrategia de productos), prevención y detección de fraude, spam y abuso, mejora continua de los productos y servicios que utilizas, y para cumplir con nuestras obligaciones legales.
4. Obligaciones del Cliente
4.1 Licitud. Cuando actúas como controlador de datos de Datos Personales del Cliente, garantizas que todas las actividades de procesamiento son lícitas, tienen un propósito específico, y que los avisos y consentimientos requeridos u otra base legal apropiada están en su lugar para permitir la transferencia lícita de los Datos Personales del Cliente. Si eres un procesador de datos (en cuyo caso actuaremos como Sub-procesador), asegurarás que el controlador de datos relevante garantice que se cumplan las condiciones enumeradas en esta Sección 4.1.
4.2 Cumplimiento. Eres el único responsable de (a) asegurarte de que cumples con las Leyes de Protección de Datos aplicables a tu uso de los Servicios y a tu propio procesamiento de Datos Personales del Cliente, (b) realizar una evaluación independiente de si las medidas técnicas y organizativas de los Servicios satisfacen tus requisitos, y (c) implementar y mantener medidas de protección y seguridad de datos para los componentes que proporcionas o controlas (incluyendo, entre otros, contraseñas, dispositivos utilizados con los Servicios y Aplicaciones del Cliente).
5. Seguridad
5.1 Medidas de Seguridad. Teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, implementaremos y mantendremos medidas de seguridad técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente de Brechas de Datos Personales y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos del Cliente que nuestros sistemas utilizan para procesar Datos Personales del Cliente. Las medidas de seguridad aplicadas por nosotros se describen en Apéndice II.
5.2 Actualizaciones a las Medidas de Seguridad. Usted es responsable de revisar la información que ponemos a disposición relacionada con la seguridad de los Datos Personales del Cliente y de hacer una evaluación independiente de si dicha información cumple con sus requisitos y obligaciones legales bajo las Leyes de Protección de Datos. Usted reconoce que las medidas de seguridad están sujetas a avances y desarrollos técnicos, y que podemos actualizar o modificar nuestras medidas de seguridad ocasionalmente, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Datos Personales del Cliente.
5.3 Controles de Acceso. Aplicamos los principios de "necesidad de saber" y "menor privilegio" asegurando que el acceso a los Datos Personales del Cliente esté limitado al personal necesario para la provisión de los Servicios y en línea con el Acuerdo, incluyendo este DPA.
5.4 Confidencialidad del Procesamiento. Garantizaremos que cualquier persona o parte que esté autorizada por nosotros para procesar Datos Personales del Cliente (incluyendo nuestro personal, agentes y Sub-procesadores) esté informada de la naturaleza confidencial de dichos Datos Personales del Cliente y esté bajo una obligación adecuada de confidencialidad (ya sea un deber contractual o legal) que subsista tras la finalización de su relación.
5.5 Respuesta y Notificación de Brechas de Datos Personales. Tras tomar conocimiento de una Brecha de Datos Personales, sin demora injustificada (i) le notificaremos, (ii) investigaremos la Brecha de Datos Personales, (iii) proporcionaremos información oportuna relacionada con la Brecha de Datos Personales a medida que se conozca o según razonablemente lo solicite, y (iv) tomaremos medidas comercialmente razonables para mitigar los efectos y prevenir la recurrencia de la Brecha de Datos Personales.
6. Asistencia
6.1 Asistencia en Protección de Datos. Le proporcionaremos la asistencia razonablemente solicitada para permitirle cumplir con sus obligaciones bajo las Leyes de Protección de Datos, incluida la notificación de una Violación de Datos Personales, evaluando el nivel de seguridad adecuado del procesamiento, y asistiendo en la realización de una evaluación de impacto de protección de datos relevante.
6.2 Asistencia con los Derechos de los Sujetos de Datos. Le proporcionaremos asistencia razonable para permitirle cumplir con sus obligaciones hacia los sujetos de datos que ejercen sus derechos bajo las Leyes de Protección de Datos, poniendo a disposición medidas técnicas y organizativas a través de su cuenta. Para evitar dudas, usted como controlador de datos es responsable de procesar cualquier solicitud o queja de los sujetos de datos respecto a los Datos Personales del Cliente de un sujeto de datos.
7. Divulgación y Solicitudes de Divulgación
7.1 Limitaciones sobre la Divulgación y el Acceso. No proporcionaremos acceso ni divulgaremos Datos Personales del Cliente excepto (i) según lo indique usted, (ii) como se establece en el Acuerdo y este DPA, o (iii) según lo exija la ley.
7.2 Solicitudes de Divulgación. Le notificaremos tan pronto como sea razonablemente posible si recibimos una solicitud de un organismo gubernamental o regulador para divulgar Datos Personales del Cliente, a menos que dicha notificación esté prohibida por la ley. Manejeremos las solicitudes de divulgación de acuerdo con la política de solicitudes de divulgación, disponible en nuestro sitio web aquí.
8. Subprocesadores
8.1 Lista de Sub-procesadores Actuales. Usted acepta la participación de los Sub-procesadores en relación con los Servicios, enumerados en nuestro resumen de Sub-procesadores, que también contiene un procedimiento para que se suscriba a las notificaciones de cambios en nuestro uso de Sub-procesadores. Si se suscribe a dichas notificaciones, y teniendo en cuenta la Sección 8.3 de este DPA, compartiremos detalles de cualquier cambio en los Sub-procesadores tan pronto como sea razonablemente posible.
8.2 Designación de Sub-procesadores. Por medio de este DPA, usted nos proporciona una autorización escrita general para involucrar Sub-procesadores para el procesamiento de Datos Personales del Cliente, sujeto a la Sección 8.3 de este DPA y a los siguientes requisitos:
Restringiremos el acceso a los Datos Personales del Cliente por parte de Sub-procesadores a lo que sea estrictamente necesario para proporcionar los servicios especificados en el acuerdo de sub-procesamiento;
Acordaremos obligaciones de protección de datos con el Sub-procesador que sean sustancialmente las mismas que las obligaciones bajo este DPA; y
Seguiremos siendo responsables ante usted bajo este DPA por el cumplimiento de las obligaciones de protección de datos del Sub-procesador.
8.3 Notificación de Cambios en los Sub-procesadores y Derecho a Oponerse. Antes de reemplazar o involucrar nuevos Sub-procesadores (“Cambio de Sub-procesador”), le daremos la opción de oponerse al Cambio de Sub-procesador. Usted puede oponerse a un Cambio de Sub-procesador siempre que (i) la objeción se realice por escrito dentro de los diez (10) días hábiles siguientes a nuestra notificación del Cambio de Sub-procesador y (ii) la objeción se base y explique claramente las razones razonables relacionadas con la protección de los Datos Personales del Cliente. Cuando se oponga a un Cambio de Sub-procesador propuesto, trabajaremos con usted de buena fe para realizar un cambio comercialmente razonable en la provisión de los Servicios que evite el uso del Sub-procesador relevante. Si dicho cambio no puede realizarse razonablemente en un plazo de treinta (30) días desde nuestra recepción de su notificación de objeción, o si el cambio es comercialmente irrazonable para nosotros, cualquiera de las partes puede terminar las funciones aplicables de los Servicios que no puedan proporcionarse sin el uso del Sub-procesador relevante. Este derecho de terminación es su único y exclusivo recurso si se opone a un Cambio de Sub-procesador.
9. Transferencias Transfronterizas de Datos Personales de Clientes
9.1 Transferencias de Datos Personales del Cliente. Podemos transferir Datos Personales del Cliente con la condición de que se implementen todas las salvaguardas apropiadas requeridas por las Leyes de Protección de Datos. Esto puede incluir una evaluación previa del impacto de la transferencia de datos, la adopción, supervisión y evaluación de medidas técnicas, organizacionales y legales suplementarias, derechos del sujeto de datos exigibles, y que los remedios legales efectivos para los sujetos de datos estén disponibles.
9.2 Cláusulas Contractuales Estándar del Subprocesador. A menos que se aplique una decisión de adecuación u otro mecanismo de transferencia alternativa, como el Marco de Privacidad de Datos UE-EE.UU., hemos suscrito y mantendremos Cláusulas Contractuales Estándar con los Subprocesadores (incluidas nuestras Afiliadas) ubicados fuera del EEE, sujeto a los términos establecidos en la Sección 9.1 de este DPA.
9.3 Mecanismos de Transferencia para Transferencias de Datos Personales del Cliente. En la medida en que el uso de los Servicios requiera un mecanismo de transferencia de datos transfronterizo para exportar legalmente los Datos Personales del Cliente desde una jurisdicción (por ejemplo, el EEE, California, Singapur, Suiza o el Reino Unido) hacia nosotros ubicados fuera de esa jurisdicción, esta sección se aplicará. Si, en el desempeño de los Servicios, los Datos Personales del Cliente que están sujetos al GDPR o cualquier otra ley relacionada con la protección o privacidad de individuos que se aplica a este DPA se transfieren a una entidad del Proveedor ubicada en países que no aseguran un nivel adecuado de protección de datos en el sentido de las Leyes de Protección de Datos, los mecanismos de transferencia enumerados a continuación se aplicarán a dichas transferencias y pueden ser directamente exigidos por las partes hasta el alcance en que dichas transferencias estén sujetas a las Leyes de Protección de Datos.
9.3.1 Las partes acuerdan que las Cláusulas Contractuales Estándar se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el EEE o Suiza, ya sea directamente o mediante transferencia posterior, a una entidad del Proveedor ubicada en un país fuera del EEE o Suiza que no esté reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente para Suiza) como que proporciona un nivel adecuado de protección para los datos personales.
9.3.1.1 Cuando usted actúa como controlador de datos y nosotros somos un procesador de datos, el Módulo Dos del Controlador al Procesador de la UE de las Cláusulas Contractuales Estándar se aplicará a cualquier transferencia de Datos Personales del Cliente desde el EEE. Cuando usted actúa como procesador de datos y nosotros somos un subprocesador, el Módulo Tres del Procesador al Procesador de las Cláusulas Contractuales Estándar se aplicará a cualquier transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.2 Se considerará que nosotros somos el importador de datos y usted será el exportador de datos bajo las Cláusulas Contractuales Estándar. La firma de cada parte de este DPA, se tratará como la firma de las Cláusulas Contractuales Estándar aplicables, las cuales se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Estándar están disponibles en el Apéndice I y Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar, las Cláusulas Contractuales Estándar prevalecerán únicamente con respecto a una transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.3 Cuando las Cláusulas Contractuales Estándar requieren que las partes elijan entre cláusulas opcionales e ingresen información, las partes lo han hecho como se detalla a continuación:
i. La Cláusula Opcional 7 “Cláusula de incorporación” no será adoptada.
ii. Para la Cláusula 9 “Uso de subprocesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización general por escrito: el importador de datos tiene la autorización general del controlador para la contratación de subprocesador(es) de una lista acordada. El importador de datos informará específicamente al controlador por escrito de cualquier cambio previsto en esa lista mediante la adición o reemplazo de subprocesadores al menos 10 días hábiles de anticipación, dando así al controlador tiempo suficiente para poder oponerse a tales cambios antes de la contratación del subprocesador(es). El importador de datos proporcionará al exportador de datos la información necesaria para permitir al exportador de datos ejercer su derecho a oponerse. El importador de datos informará al exportador de datos sobre la contratación del subprocesador(es).”
iii. Para la Cláusula 11 (a) “Recurso”, las partes no adoptan la opción.
iv. Para la Cláusula 17 “Ley aplicable”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas estarán regidas por la ley de uno de los Estados Miembros de la UE, siempre que dicha ley permita derechos de terceros beneficiarios. Las partes acuerdan que será la ley de los Países Bajos.”
v. Para la Cláusula 18 (b) “Elección de Foro y Jurisdicción”: “Las partes acuerdan que serán los tribunales de los Países Bajos.”
9.3.2 Las partes acuerdan que las Cláusulas Contractuales Estándar del Reino Unido se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el Reino Unido, ya sea directamente o mediante transferencia posterior, a una entidad del Proveedor ubicada en un país fuera del Reino Unido que no está reconocido por la autoridad reguladora competente del Reino Unido o el organismo gubernamental del Reino Unido como que proporciona un nivel adecuado de protección para los datos personales.
9.3.2.1 Se considerará que nosotros somos el importador de datos y usted será el exportador de datos bajo las Cláusulas Contractuales Estándar del Reino Unido. La firma de cada parte de este DPA, se tratará como la firma de las Cláusulas Contractuales Estándar del Reino Unido, las cuales se considerarán incorporadas en este DPA. Los detalles requeridos bajo las Cláusulas Contractuales Estándar del Reino Unido están disponibles en el Apéndice I y Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar del Reino Unido, las Cláusulas Contractuales Estándar del Reino Unido prevalecerán únicamente con respecto a la transferencia de Datos Personales del Cliente desde el Reino Unido.
10. Auditoría
10.1 Informe de Auditoría. Nuestra plataforma de comunicación será auditada regularmente según el estándar ISO 27001 (o equivalente). La auditoría, a nuestra discreción exclusiva, puede ser una auditoría interna o una auditoría realizada por un tercero. Tras solicitud por escrito, le proporcionaremos un resumen del(los) informe(s) de auditoría (“Informe de Auditoría”), para que pueda verificar nuestro cumplimiento con los estándares de auditoría y este DPA. Tales Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son nuestra Información Confidencial.
10.2 Solicitudes de información del cliente. Pondremos a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA. Proporcionaremos respuestas escritas a solicitudes razonables de información hechas por usted, incluidas respuestas a cuestionarios de seguridad de la información y auditoría que sean razonables en alcance y necesarios para confirmar el cumplimiento de este DPA, siempre que usted (i) haya hecho primero un esfuerzo razonable para obtener la información solicitada de la Documentación, los Informes de Auditoría y otra información proporcionada o hecha pública por nosotros, y (ii) no ejerza este derecho más de una vez al año, a menos que una Violación de Datos Personales o un cambio significativo en nuestras actividades de procesamiento en relación con los Servicios requiera que se ejecute un cuestionario adicional. Todas las respuestas proporcionadas son nuestra Información Confidencial.
10.3 Auditoría del Cliente. Si un Informe de Auditoría proporcionado por nosotros a usted le da razones fundamentadas para creer que estamos incumpliendo nuestras obligaciones bajo este DPA, relacionadas con los Datos Personales del Cliente proporcionados por usted, permitiremos que un auditor independiente y calificado nombrado por usted y aprobado por nosotros audite las actividades de procesamiento de Datos Personales pertinentes aplicables, siempre que en la mayor medida permitida bajo la ley aplicable, se cumplan los siguientes requisitos:
Nos dará al menos sesenta (60) días de aviso razonable antes de ejercer el derecho a auditar;
El auditor acepta obligaciones de confidencialidad estándar del mercado con nosotros;
Usted y el auditor toman medidas para minimizar la interrupción de nuestras operaciones comerciales;
La auditoría se llevará a cabo durante el horario laboral regular;
No estaremos obligados a proporcionar acceso a los datos de clientes de otros clientes o sistemas no involucrados en la prestación de los Servicios; y
Usted pagará por todos los costos de la auditoría.
11. Eliminación y Devolución de los Datos Personales del Cliente
Al finalizar o expirar el Acuerdo, nosotros (a su elección) eliminaremos o le devolveremos todos los Datos Personales del Cliente (incluidas las copias) que estén en nuestra posesión o control, salvo que este requisito no se aplicará en la medida en que estemos obligados por ley a conservar algunos o todos los Datos Personales del Cliente. Si nos instruye eliminar los Datos Personales del Cliente, los Datos Personales del Cliente archivados en nuestros sistemas de respaldo estarán protegidos de un procesamiento posterior y se eliminarán cuando haya pasado el período de retención requerido.
12. Comunicación y Derechos del Cliente Afiliado
La celebración de este DPA en nombre y en representación de una Afiliada del Cliente, como se establece en la Sección 1.2, constituye un DPA separado entre nosotros y esa Afiliada del Cliente, sujeto a lo siguiente:
12.1. Comunicación. El Cliente que es la parte contratante del Acuerdo seguirá siendo responsable de coordinar toda la comunicación con nosotros bajo este DPA y tendrá derecho a realizar y recibir cualquier comunicación en relación con este DPA en nombre de sus Afiliadas de Cliente.
12.2 Derechos de las Afiliadas de Cliente. Cuando una Afiliada de Cliente se convierte en parte del DPA con nosotros, deberá, en la medida exigida bajo las Leyes de Protección de Datos, tener derecho a ejercer los derechos y buscar remedios bajo este DPA, sujeto a lo siguiente:
(i) A menos que las Leyes de Protección de Datos requieran que la Afiliada de Cliente ejerza un derecho o busque un remedio bajo este DPA contra nosotros directamente por sí misma, las partes acuerdan que (i) únicamente el Cliente que es la parte contratante del Acuerdo deberá ejercer tal derecho o buscar tal remedio en nombre de la Afiliada de Cliente, y (ii) el Cliente que es la parte contratante del Acuerdo deberá ejercer tales derechos bajo este DPA no de manera separada para cada Afiliada de Cliente individualmente, sino de una manera combinada para sí mismo y todas sus Afiliadas de Cliente en conjunto.
(ii) Las partes acuerdan que el Cliente que es la parte contratante del Acuerdo deberá, cuando se lleve a cabo una auditoría in situ de los procedimientos relevantes para la protección de los Datos Personales del Cliente en su nombre, como se establece en la Sección 10.3 de este DPA, tomar todas las medidas razonables para limitar cualquier impacto en nosotros combinando, en la medida de lo razonablemente posible, varias solicitudes de auditoría realizadas en nombre de sí mismo y todas sus Afiliadas de Cliente en una única auditoría.
Para mayor claridad, una Afiliada de Cliente no se convierte en parte contratante del Acuerdo.
13. Ley de Privacidad del Consumidor de California.
En la medida en que sea aplicable, hacemos los siguientes compromisos adicionales con usted respecto al procesamiento de Datos Personales del Cliente dentro del ámbito del CCPA.
13.1 Nuestras Obligaciones Bajo las Leyes de Protección de Datos de EE. UU.. Los términos “business purpose”, “commercial purpose”, “consumer”, “sell” y “share” tal como se utilizan en esta Sección 13.1 tienen el significado que se les da en el CCPA. En la medida en que sea aplicable, cumpliremos con el CCPA y trataremos todos los Datos Personales del Cliente sujetos al CCPA y otras Leyes de Protección de Datos de EE. UU. aplicables (“U.S. Personal Data”) de acuerdo con las disposiciones del CCPA y otras Leyes de Protección de Datos de EE. UU. Con respecto a los U.S. Personal Data, somos un proveedor de servicios bajo el CCPA y un procesador de datos bajo otras Leyes de Protección de Datos de EE. UU. No venderemos U.S. Personal Data. No retendremos, usaremos ni divulgaremos ningún U.S. Personal Data (i) para ningún propósito distinto a los business purposes especificados en el Acuerdo (incluyendo retener, usar o divulgar U.S. Personal Data para un commercial purpose distinto al business purpose especificado en el Acuerdo o según lo permitido por el CCPA o leyes aplicables); o (ii) fuera de la relación directa de negocios con usted y nosotros.
13.2 Obligaciones del Cliente. Usted declara y garantiza que ha notificado al Usuario Final que los Datos Personales están siendo utilizados o compartidos de acuerdo con las Leyes de Protección de Datos aplicables. Usted es responsable del cumplimiento de los requisitos de las Leyes de Protección de Datos en la medida en que sean aplicables a usted como controlador de datos.
14. Ley Aplicable y Resolución de Disputas
Cualquier disputa, reclamación o controversia (“Dispute”) que surja de o esté relacionada con este DPA se regirá y se interpretará de acuerdo con las leyes de los Países Bajos. Cada Parte acepta que los tribunales competentes de Ámsterdam, Países Bajos, tendrán jurisdicción exclusiva para resolver cualquier Dispute que surja de o esté relacionada con este DPA.
APÉNDICE I - DETALLES DEL PROCESAMIENTO
Cuando sea aplicable, este Anexo I servirá como Anexo I a las Cláusulas Contractuales Estándar.
Anexo I, Parte A. Lista de Partes
Exportador de datos: Cliente
Detalles de contacto del exportador de datos: La dirección que figura en la cuenta del Cliente, o el correo electrónico del propietario de la cuenta del Cliente, o a la dirección de correo electrónico(s) para la cual el Cliente elige recibir notificaciones bajo el Acuerdo.
Rol del exportador de datos: El rol del exportador de datos se describe en la Sección 4 del DPA.
Firma y fecha: Si y cuando sea aplicable, se considera que el exportador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas aquí a partir de la Fecha de Vigencia del DPA.
Importador de datos: Proveedor
Detalles de contacto del importador de datos: Oficial de Protección de Datos - privacy@bird.com
Rol del importador de datos: El importador de datos actúa como procesador de datos.
Firma y fecha: Si y cuando sea aplicable, se considera que el importador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas aquí a partir de la Fecha de Vigencia del DPA.
Anexo I, Parte B. Descripción de la Transferencia
1. Categorías de sujetos de datos cuyos Datos Personales se transfieren.
Usuarios. Personas de contacto (personas naturales) o empleados, contratistas o trabajadores temporales (actuales, prospectivos, antiguos) del Cliente que utilizan los Servicios (“Usuarios”).
Usuarios Finales. Cualquier individuo (i) cuyos datos de contacto están incluidos en las listas de contactos del Cliente; (ii) cuya información está almacenada o recolectada a través de los Servicios, o (ii) al que el Cliente envía comunicaciones o de otro modo se involucra o comunica a través de los Servicios (en conjunto, “Usuarios Finales”). Tú como Cliente determinas únicamente las categorías de sujetos de datos incluidos en la comunicación enviada por nuestra plataforma de comunicación.
2. Categorías de Datos Personales transferidos.
Datos Personales del Cliente contenidos en, contenido de comunicación, datos de tráfico, datos de Usuario Final y datos de uso del cliente.
Contenido de comunicación, que puede incluir Datos Personales u otras características personalizadas, dependiendo del contenido de la comunicación según lo determines tú como Cliente.
Datos de tráfico, que pueden incluir Datos Personales del Cliente sobre el enrutamiento, duración o tiempo de una comunicación como llamada de voz, SMS o correo electrónico, ya sea que se relacione con un individuo o una empresa.
Datos de Usuario Final, como número de teléfono, dirección de correo electrónico, nombre, apellidos, nombre de perfil, país, identificador de canal.
Datos de uso del cliente, pueden contener datos que puedan vincularse a ti como individuo incluidos en datos estadísticos e información relacionada con tus actividades de cuenta y servicio, perspicacias del servicio e informes analíticos respecto a la comunicación enviada y el soporte al cliente.
3. Datos sensibles transferidos (si aplicable) y restricciones o salvaguardas aplicadas que consideran completamente la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, limitación estricta de propósito, restricciones de acceso (incluido el acceso solo para personal que ha seguido formación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.
Contenido de comunicación. De vez en cuando, los datos sensibles pueden procesarse a través de los Servicios cuando tú o tus Usuarios Finales eligen incluir datos sensibles dentro de las comunicaciones que se transmiten usando los Servicios. Eres responsable de asegurar que existan salvaguardas adecuadas antes de transmitir o procesar, o antes de permitir que tus Usuarios Finales transmitan o procesen cualquier dato sensible a través de los Servicios, de acuerdo con la Sección 3.2 del Acuerdo.
Datos de tráfico, datos de Usuario Final y datos de uso del cliente. No se contienen datos sensibles en los datos de tráfico, datos de Usuario Final o datos de uso del cliente.
4. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de manera puntual o continua): Los Datos Personales del Cliente se transfieren de manera continua durante la vigencia del Acuerdo.
5. Naturaleza del procesamiento: Procesaremos los Datos Personales del Cliente en la medida necesaria para proporcionar los Servicios bajo el Acuerdo. No vendemos ningún Dato Personal, incluidos los Datos Personales del Cliente, ni compartimos Datos Personales con terceros para compensación o para los propios intereses comerciales de esos terceros.
6. Propósito(s) de la transferencia de datos y procesamiento posterior: Procesaremos los Datos Personales del Cliente como un procesador de datos de acuerdo con las instrucciones del Cliente establecidas en este DPA, a menos que el procesamiento sea necesario para el cumplimiento de una obligación legal a la que estamos sujetos, en cuyo caso clasificaremos como un controlador de datos.
Contenido de comunicación, datos de tráfico, datos de Usuario Final y datos de uso del cliente. Los Datos Personales contenidos en el contenido de comunicación, datos de tráfico, datos de Usuario Final y datos de uso del cliente estarán sujetos a las siguientes actividades básicas de procesamiento:
Contenido de comunicación. La provisión de productos y servicios de comunicación programables, ofrecidos en forma de interfaces de programación de aplicaciones (APIs) o a través del Dashboard, al Cliente, incluida la transmisión hacia o desde la aplicación de software del Cliente desde o hacia nuestra plataforma de comunicación, y otras redes de comunicación.
Datos de tráfico. Los datos de tráfico se procesan con el objetivo de transmitir una comunicación en una red de comunicaciones electrónicas o para la facturación en relación con esa comunicación. Esto puede incluir Datos Personales del Cliente sobre el enrutamiento, duración o tiempo de una comunicación como llamada de voz, SMS o correo electrónico, ya sea que se relacione con un individuo o una empresa.
Datos de Usuario Final. Los Datos Personales de los Usuarios Finales son necesarios para realizar los Servicios y solo se procesarán con el propósito de transmisión de comunicaciones, soporte al cliente y aseguramiento del cumplimiento de nuestras obligaciones legales.
Datos de uso del cliente. Los Datos Personales contenidos en los datos de uso del cliente estarán sujetos a las actividades de procesamiento de proporcionar los Servicios bajo el Acuerdo, con el propósito de proporcionar al Cliente información y reportes analíticos relacionados con el servicio respecto a la comunicación enviada, el soporte al cliente y la mejora continua de los Servicios.
7. El período para el cual se retendrán los Datos Personales, o, si eso no es posible, los criterios utilizados para determinar ese período:
Contenido de comunicación y datos de tráfico.
Para el contenido de comunicación y datos de tráfico contenidos en los Servicios de SMS y Voice se aplica un período de retención de seis meses;
Para el contenido de comunicación y datos de tráfico de los Servicios de Video se retienen desde un mínimo de 30 días hasta la duración acordada contigo;
Para los servicios de correo electrónico, el contenido de comunicación y datos de tráfico se retienen por 72 horas;
Para todos los demás servicios, el contenido de comunicación y datos de tráfico se retienen por la duración de los Servicios, excepto si eliminas el contenido de comunicación o los datos de tráfico a través de las medidas técnicas y organizacionales que te proporcionamos a través de los Servicios.
Datos de Usuario Final. Los datos de Usuario Final se procesarán por el período determinado por el Cliente, cuando los datos de Usuario Final están incluidos en tus perfiles de contacto, el período de retención predeterminado es para la duración de los Servicios, sujeto a la Sección 6(c) de este Anexo I, Parte B.
Datos de uso del cliente. Al terminar el Acuerdo, podemos retener, usar y divulgar datos de uso del cliente para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo. Anonimizaremos o eliminaremos los datos de uso del cliente cuando ya no los necesitemos para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B.
8. Para transferencias a (Sub-)procesadores, también especificar el asunto, naturaleza y duración del procesamiento: Para las transferencias a Sub-procesadores, el asunto y naturaleza del procesamiento se describe en nuestro resumen de Sub-procesadores y la duración es por la duración del Acuerdo.
Anexo I, Parte C. Autoridad Supervisora Competente
La Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) será la autoridad supervisora competente.
APÉNDICE II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD
Cuando sea aplicable, este Anexo II servirá como Anexo II de las Cláusulas Contractuales Estándar. A continuación se proporciona más información sobre nuestras medidas de seguridad técnicas y organizativas establecidas a continuación.
Medidas de Seguridad Técnicas y Organizativas:
Medidas de seudonimización y protección de los Datos Personales en almacenamiento y tránsito: todos los Datos Personales están encriptados en tránsito y en reposo, y, en la medida relevante desde un punto de vista de seguridad, tratados como si estuvieran clasificados como datos sensibles. La información siempre se transmite por TLS con metodologías de encriptación actualizadas por defecto.
Medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia continua de los sistemas de procesamiento y servicios: celebramos acuerdos que contienen cláusulas de confidencialidad con nuestros empleados, contratistas, proveedores y Subprocesadores. Nuestra política de continuidad del negocio es preparar nuestro negocio y servicios en caso de cortes prolongados causados por factores fuera de nuestro control y restaurar los servicios la mayor medida posible en un tiempo mínimo. Entendemos que los servicios que proporcionamos son críticos para nuestros clientes y, por lo tanto, tenemos muy poca tolerancia para interrupciones de servicio. Nuestros plazos de recuperación están diseñados para asegurar que podemos cumplir nuestras obligaciones con todos nuestros clientes.
Procesos para pruebas, evaluaciones y valoración regular de la efectividad de las medidas técnicas y organizativas para asegurar la seguridad del procesamiento: el objetivo de la seguridad de la información y nuestro Sistema de Gestión de la Seguridad de la Información (ISMS) es proteger la confidencialidad, integridad y disponibilidad de la información a la organización, empleados, socios, clientes y los sistemas de información (autorizados), y minimizar el riesgo de daño al prevenir incidentes de seguridad y gestionar amenazas y vulnerabilidades de seguridad. Nuestro equipo legal, el Oficial de Protección de Datos, y el Equipo de Seguridad aseguran que las regulaciones y estándares aplicables se integren en nuestros marcos de seguridad.
Medidas para la identificación y autorización de usuarios: seguimos los principios de "necesidad de saber" y "menor privilegio". Promovemos el uso de control de acceso basado en roles. El aprovisionamiento y desaprovisionamiento son supervisados por el equipo de seguridad, con Single-Sign-On y 2FA por defecto. Se han definido propietarios para cada activo de información que son responsables de asegurar que el acceso a sus sistemas sea apropiado y revisado regularmente. Siempre que se maneja información sensible o se realiza una acción crítica, utilizamos el principio de los cuatro ojos.
Medidas para asegurar el registro de eventos: los registros de auditoría se almacenan y monitorean centralmente regularmente para detectar eventos de seguridad y se mantienen seguros para evitar el riesgo de manipulación. La Política de Gestión de Incidentes refuerza el plan de respuesta a incidentes y sus procedimientos. Estas pautas se siguen si ocurre cualquier tipo de incidente de seguridad o técnico.
Medidas para asegurar la configuración de sistemas, incluida la configuración predeterminada: seguimos un proceso consistente de gestión de cambios para todos los cambios en el entorno de producción de la Plataforma de Comunicación como Servicio. Para elaborar más, todas las solicitudes de cambio (RFC) deben ser aprobadas por una parte designada y ejecutadas de acuerdo con el proceso formal de control de cambios. El proceso de control asegura que los cambios propuestos sean revisados, autorizados, probados, implementados y liberados de manera controlada; y que se monitoree el estado de cada cambio propuesto. Se siguen líneas base de configuración para configurar los sistemas de forma segura siguiendo las mejores prácticas. Además, dentro del departamento de Ingeniería, se utiliza un radar tecnológico para definir qué tecnologías (lenguajes, herramientas de la plataforma, bases de datos y herramientas de gestión de datos) se pueden adoptar o deben evitarse durante el desarrollo.
Medidas para la seguridad física: Todos los empleados de Bird trabajan de forma remota. Debido a la política de trabajo remoto de Bird, se ha implementado y reforzado una política de teletrabajo que asegura que los empleados trabajen de forma remota de manera segura. La política refuerza medidas mínimas en torno a la seguridad física, la seguridad del acceso, la conexión y la seguridad de la comunicación.
Medidas para la gobernanza y gestión de IT e IT de seguridad internas: mantenemos un programa de seguridad basado en la evaluación de riesgos, que incluye salvaguardas administrativas, organizativas, técnicas y físicas diseñadas para proteger los Servicios y la confidencialidad, integridad y disponibilidad de los Datos de los Clientes. Nuestro programa de seguridad de la información está configurado de manera sistemática y bien organizada. Además, se aplican requisitos legales y regulatorios para asegurar la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios y clientes. Todo esto se traduce en nuestras políticas, procedimientos y pautas de seguridad de la información. Tenemos un Comité de Dirección de Seguridad que es responsable a nivel táctico de la seguridad de la información. Esto implica la coordinación de actividades de seguridad de la información y la traducción de actividades estratégicas a actividades operativas para nuestra seguridad, y nuestro mantenimiento continuo de cumplimiento regulatorio. Todos los empleados son responsables de proteger los activos de la empresa. Todos nuestros empleados son revisados por su experiencia, pericia e integridad. Se informa a los empleados sobre seguridad y protección de datos en la etapa de incorporación, así como a través de capacitación regular específica del equipo y otras presentaciones generales de toda la empresa sobre la importancia de la protección de datos y cumplimiento de seguridad. Estamos certificados por ISO 27001, los estándares de seguridad de la información reconocidos globalmente para Sistemas de Gestión de la Seguridad de la Información (ISMS).
Todos nuestros proveedores de alojamiento están certificados por ISO 27001.
También estamos registrados en la Autoridad Holandesa para Consumidores y Mercados. Esto significa que siempre somos responsables y completamente transparentes con nuestros clientes.
Somos Miembro Asociado de la Asociación Especial de Móviles GSM (GSMA). La GSMA representa los intereses de los operadores de telefonía móvil en todo el mundo.
Siempre estamos al día con todas las leyes y regulaciones aplicables, incluida la Regulación General de Protección de Datos, y el Marco de Protección de Datos UE-EEUU.
Medidas para certificaciones/garantía de procesos y productos: somos sometidos a rigurosas auditorías de vigilancia y de certificación como parte de nuestra conformidad con la ISO/IEC 27001, y realizamos regularmente pruebas de vulnerabilidad de aplicaciones y pruebas de penetración.
Medidas para garantizar la responsabilidad: implementamos políticas de seguridad de la información y protección de datos de acuerdo con las leyes aplicables y publicamos una descripción general de la información relevante de nuestro ISMS (link). Hemos nombrado a un Director de Seguridad dedicado, un Oficial de Seguridad de la Información, un Oficial de Cumplimiento y un Oficial de Protección de Datos, y mantenemos documentación de nuestras actividades de procesamiento, incluyendo el registro y reporte de incidentes de seguridad que involucren Datos Personales cuando sea aplicable.
Medidas para asegurar el borrado de datos: aseguramos el borrado de datos a través de un proceso de eliminación automatizado dentro de nuestro entorno de comunicación e infraestructura. Este proceso de eliminación de datos asegura que todos los datos que ya no sean necesarios para cumplir un propósito específico se eliminen de nuestros sistemas después del procesamiento.