Anexo de Procesamiento de Datos 2019

Este Anexo de Procesamiento de Datos (DPA) se aplica a todo el procesamiento de datos personales de los usuarios finales que usted (Cliente) proporciona a MessageBird B.V. (MessageBird) a través de los servicios de MessageBird, tal como se definen por separado en un acuerdo aparte (Servicios). Este DPA se aplica además de los Términos y Condiciones Generales de MessageBird o del Acuerdo de Servicio Maestro, según sea aplicable (Acuerdo) al Cliente y MessageBird (juntos: las Partes). En caso de conflicto o inconsistencia entre las disposiciones del Acuerdo y este DPA, prevalecerá el DPA.

Términos como “datos personales”, “procesamiento”, “responsable del tratamiento”, “encargado del tratamiento”, “violación de datos personales”, etc., tendrán el significado asignado en la legislación de protección de datos aplicable (Legislación de Protección de Datos), excepto por la definición de (sub-)procesador que excluye explícitamente a los operadores de telecomunicaciones y otros proveedores de servicios de telecomunicaciones que se consideran necesarios para el funcionamiento de los Servicios, pero que, debido a que actúan como un mero conducto o como un responsable de tratamiento independiente, no caen bajo la definición de encargado del tratamiento como se establece en la Legislación de Protección de Datos.

El Cliente y MessageBird reconocen y entienden que con respecto al procesamiento de datos personales de los usuarios finales (‘sujeto de datos’) que el Cliente proporciona a MessageBird sobre la base de los Servicios, MessageBird es el encargado del tratamiento.

1. Por la presente, el Cliente instruye a MessageBird para procesar los datos personales de los sujetos de datos en la medida en que sea necesario para la ejecución de los Servicios bajo el Acuerdo.

1. MessageBird deberá, en relación con cualquier dato personal que se procese en conexión con los Servicios:

   1. procesar datos personales solo bajo instrucciones documentadas del Cliente, a menos que las leyes de cualquier miembro de la Unión Europea o las leyes de la Unión Europea aplicables a MessageBird requieran lo contrario para procesar datos personales;

   2. proporcionar acceso a los datos personales solo al personal con una ‘necesidad de saber’ y garantizar que todo dicho personal que tenga acceso o procese datos personales esté bajo una obligación legal de mantener la confidencialidad de los datos personales;

   3. tomar las medidas técnicas y organizativas apropiadas para proteger los datos personales contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción, daño, alteración o divulgación. Estas medidas deberán ser apropiadas al nivel de riesgo presentado por el procesamiento (y teniendo en cuenta la naturaleza de los datos personales) y al daño que podría resultar de una violación de datos personales que afecte los datos personales;

   4. proporcionar al Cliente cualquier asistencia que razonablemente solicite el Cliente para permitir que el Cliente cumpla con sus obligaciones bajo la Legislación de Protección de Datos, incluyendo la notificación de violaciones de datos personales, la seguridad del procesamiento y la asistencia al Cliente con la realización de cualquier evaluación de impacto de protección de datos relevante;

   5. proporcionar al Cliente una asistencia razonable para permitir que el Cliente cumpla con sus obligaciones hacia los sujetos de datos que ejercen sus derechos bajo la Legislación de Protección de Datos. MessageBird pondrá a disposición medidas técnicas y organizativas para permitir que el Cliente cumpla con estas obligaciones a través de la cuenta del Cliente o la API dedicada. El Cliente, por la presente, reconoce y acepta que las solicitudes enviadas por el Cliente vía correo electrónico no se consideran un medio válido para ejercer sus derechos y que cualquier solicitud de este tipo no será procesada por MessageBird. Para evitar dudas, el Cliente como responsable del tratamiento es responsable de procesar cualquier solicitud o queja de los sujetos de datos con respecto a los datos personales de los sujetos de datos;

   6. a elección del Cliente, eliminar o devolver al Cliente los datos personales y sus copias al término del acuerdo del Cliente con MessageBird, a menos que las leyes obligatorias aplicables requieran lo contrario;

   7. mantener registros como lo requiere la Legislación de Protección de Datos de las actividades de procesamiento llevadas a cabo bajo el Acuerdo y este DPA;

   8. auditar al menos cada segundo año las actividades de procesamiento de datos personales y seguridad de MessageBird, y proporcionar al Cliente (de manera confidencial), a su solicitud por escrito, un resumen o una descripción de los resultados de dicha auditoría. Se considerará que un resumen de un informe de auditoría ISO 27001:2013 cumple la solicitud del Cliente. Para evitar dudas, la auditoría puede ser interna o realizada por un tercero, cuya decisión será, sin embargo, a discreción exclusiva de MessageBird;

   9. si el resumen o la descripción de los resultados de la auditoría proporcionados por MessageBird al Cliente de acuerdo con el párrafo 2(h) de este DPA le da al Cliente razones fundamentadas para creer que MessageBird está incumpliendo sus obligaciones bajo este DPA relacionadas con los datos personales proporcionados por el Cliente, permitir una auditoría de las actividades de procesamiento de datos personales aplicables de MessageBird por un tercero independiente y cualificado designado por el Cliente y aprobado por MessageBird, siempre que se cumplan los términos bajo la Cláusula 3 de este Anexo; y,

   10. notificar al Cliente tan pronto como sea razonablemente posible si MessageBird recibe un aviso o comunicación de un organismo gubernamental o regulador que se relacione directamente con el procesamiento de datos personales, tal como lo instruye y proporciona el Cliente, por MessageBird o sus (sub-)procesadores, a menos que tal aviso o comunicación esté prohibido por la ley.

1. El Cliente deberá:

   1. notificar a MessageBird al menos dos (2) meses antes de ejercer el derecho de auditoría del Cliente bajo el párrafo 2(i) de este DPA;

   2. asegurarse de que cualquier auditoría no interrumpa indebidamente las operaciones comerciales de MessageBird; y,

   3. asumir y pagar todos los costos de dicha auditoría.

1. Si el Cliente actúa como responsable del tratamiento, garantiza que todas las actividades de procesamiento son lícitas, tienen un propósito específico y cualquier notificación y consentimiento requeridos o de lo contrario una base legal apropiada están en su lugar para permitir la transferencia lícita de datos personales. Si el Cliente es un encargado del tratamiento (en cuyo caso MessageBird será un sub-procesador), el Cliente asegura que el responsable del tratamiento relevante garantiza que se cumplen las condiciones enumeradas en esta cláusula.

1. Debido a la naturaleza de los Servicios, el uso de los Servicios por parte del Cliente y los usuarios finales del Cliente pueden requerir la transferencia de datos personales fuera del EEE; cuando la prestación de los Servicios implique una transferencia de datos personales a (sub-)procesadores fuera del EEE, el Cliente por la presente otorga a MessageBird un mandato por la duración de todos los acuerdos en vigor entre el Cliente y MessageBird para firmar Cláusulas Contractuales Tipo de la UE con (sub-)procesadores fuera del EEE en nombre del Cliente, si no se aplican otros mecanismos de transferencia apropiados bajo la Legislación de Protección de Datos.

1. Mediante esta Cláusula, el Cliente otorga a MessageBird una autorización escrita general para la contratación de cualquier otra tercera parte como nuevos (sub-)procesadores para el procesamiento de datos personales, sujeto a los términos de este Anexo. MessageBird no contratará a ningún (sub-)procesador en el procesamiento de datos personales bajo este Acuerdo sin informar previamente al Cliente sobre cualquier cambio previsto con respecto a la adición o sustitución de otros procesadores, dándole así al Cliente la oportunidad de oponerse a tales cambios. 

1. El Cliente puede objetar a cualquier nuevo (sub-)procesador únicamente sobre la base de razones razonables relacionadas con la protección de datos al terminar el Acuerdo y este Anexo. Este derecho de terminación es el único y exclusivo recurso del Cliente si se opone a cualquier nuevo (sub-)procesador.

1. El Cliente acepta específicamente el compromiso de las entidades listadas en https://www.messagebird.com/en-gb/legal/privacy#processorList como (sub-)procesadores de MessageBird para el procesamiento de datos personales. MessageBird actualizará la lista de (sub-)procesadores cuando un nuevo (sub-)procesador para el procesamiento de datos personales sea contratado.

1. MessageBird tomará todas las medidas contractuales disponibles y apropiadas para garantizar que cuando un (sub-)procesador sea contratado:

   1. el (sub-)procesador solo procesará datos personales si dicho procesamiento es necesario para la ejecución de los Servicios o una parte de ellos;

   2. las obligaciones de protección de datos que proporcionen una protección similar a las de este DPA se impondrán al (sub-)procesador mediante un contrato u otro acto legal bajo la legislación de la UE o de los Estados miembros, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas adecuadas de tal manera que el procesamiento cumplirá con los requisitos de la Legislación de Protección de Datos; y,

   3. MessageBird seguirá siendo responsable frente al Cliente bajo este DPA por el cumplimiento de las obligaciones de su (sub-)procesador.

1. Detalles del procesamiento:

   1. Asunto y propósito del procesamiento: provisión de los Servicios de MessageBird al Cliente.

   2. Categorías de datos personales: información sobre los usuarios finales que el Cliente proporciona a MessageBird a través de los Servicios.

   3. Categorías de sujetos de datos: los sujetos de datos incluyen a los clientes del Cliente, empleados, proveedores y cualquier otra persona natural que sea el usuario final de los servicios de comunicación, de quienes el Cliente proporciona datos personales a través de los Servicios.

   4. Duración del procesamiento: los datos personales serán procesados durante el tiempo necesario para la ejecución de los Servicios, o según lo requerido por la ley aplicable.

1. Este Anexo de Procesamiento de Datos se rige por las leyes de los Países Bajos, y las Partes se someten a la jurisdicción exclusiva de los tribunales de Ámsterdam para todos los fines relacionados con este DPA, incluyendo la ejecución de cualquier laudo o sentencia dictados bajo o en conexión con él.