Anexo de Procesamiento de Datos 2019

Este Anexo de Procesamiento de Datos (DPA) se aplica a todo el procesamiento de datos personales de usuarios finales que usted (Customer) proporciona a MessageBird B.V. (MessageBird) a través de los servicios de MessageBird como se define por separado en un acuerdo independiente (Servicios). Este DPA se aplica además de los Términos y Condiciones Generales de MessageBird o del Acuerdo de Servicio Principal, lo que sea aplicable (Acuerdo) a Customer y MessageBird (juntos: las Partes). En caso de conflicto o inconsistencias entre las disposiciones del Acuerdo y este DPA, prevalecerá el DPA.

Los términos como “datos personales”, “procesamiento”, “controlador de datos”, “procesador de datos”, “violación de datos personales”, etc. tendrán el significado asignado bajo la legislación de protección de datos aplicable (Legislación de Protección de Datos), excepto por la definición de (sub-) procesador, que excluye explícitamente a las operadoras de telecomunicaciones y otros proveedores de servicios de telecomunicaciones, que se consideran necesarios para la operación de los Servicios, pero debido al hecho de que tales partes actúan como mero conducto o como controlador de datos independiente, no entran en la definición de procesador de datos según la Legislación de Protección de Datos.

Customer y MessageBird reconocen y entienden que, con respecto al procesamiento de datos personales de usuarios finales (‘interesado’) que Customer proporciona a MessageBird sobre la base de los Servicios, MessageBird es el procesador de datos.

1. Customer instruye a MessageBird para procesar los datos personales de los interesados en la medida que sea requerida para la ejecución de los Servicios bajo el Acuerdo.

2. MessageBird deberá, en relación con cualquier dato personal que se procese en conexión con los Servicios:

   1. procesar datos personales solo bajo instrucciones documentadas de Customer, a menos que se requiera lo contrario por las leyes de cualquier miembro de la Unión Europea o por las leyes de la Unión Europea aplicables a MessageBird para procesar datos personales;

   2. proporcionar personal con acceso a datos personales solo bajo ‘necesidad de conocer’ y asegurar que todo ese personal que tenga acceso a o procese datos personales esté bajo una obligación legal de mantener la confidencialidad de los datos personales;

   3. tomar medidas técnicas y organizacionales adecuadas para proteger los datos personales contra procesamiento no autorizado o ilegal y contra pérdida accidental, destrucción, daño, alteración o divulgación. Estas medidas deberán ser apropiadas al nivel de riesgo presentado por el procesamiento (y teniendo en cuenta la naturaleza de los datos personales) y al daño que podría resultar de una violación de datos personales que afecte a los datos personales;

   4. proporcionar a Customer cualquier asistencia según lo solicite razonablemente Customer para permitir que Customer cumpla con las obligaciones de Customer bajo la Legislación de Protección de Datos, incluida la notificación de violaciones de datos personales, seguridad del procesamiento y asistir a Customer con la realización de cualquier evaluación de impacto de protección de datos relevante;

   5. proporcionar a Customer asistencia razonable para permitir que Customer cumpla con sus obligaciones ante los interesados que ejercen sus derechos bajo la Legislación de Protección de Datos. MessageBird pondrá a disposición medidas técnicas y organizacionales para permitir que Customer cumpla estas obligaciones a través de la cuenta de Customer o la API dedicada. Customer reconoce y acepta que las solicitudes enviadas por Customer por correo electrónico no se consideran un medio válido para ejercer sus derechos y que dichas solicitudes no serán procesadas por MessageBird. Para evitar dudas, Customer como controlador de datos es responsable de procesar cualquier solicitud o queja de los interesados con respecto a los datos personales de los interesados;

   6. a elección de Customer, eliminar o devolver los datos personales y sus copias a Customer al finalizar el acuerdo de Customer con MessageBird, a menos que se requieran de otro modo por las leyes aplicables obligatorias;

   7. mantener registros según lo requerido bajo la Legislación de Protección de Datos de las actividades de procesamiento llevadas a cabo bajo el Acuerdo y este DPA;

   8. audit bienalmente la seguridad y las actividades de procesamiento de datos personales de MessageBird, y proporcionar a Customer (de forma confidencial), a solicitud escrita, un resumen o una descripción de los resultados de dicha auditoría. Un resumen de un informe de auditoría ISO 27001:2013 se considerará que cumple con la solicitud de Customer. Para evitar dudas, la auditoría puede ser interna o realizada por un tercero, decisión que será, sin embargo, a la sola discreción de MessageBird;

   9. si el resumen o la descripción de los resultados de la auditoría proporcionada por MessageBird a Customer según el párrafo 2(h) de este DPA da a Customer razones fundadas para creer que MessageBird está en incumplimiento de sus obligaciones bajo este DPA relacionadas con los datos personales proporcionados por Customer, permitir a un tercero independiente y calificado designado por Customer y aprobado por MessageBird auditar las actividades de procesamiento de datos personales aplicables de MessageBird, siempre que se cumplan los términos bajo la Cláusula 3 de este Anexo; y,

   10. notificar a Customer tan pronto como sea razonablemente posible si MessageBird recibe una notificación o comunicación de un organismo gubernamental o regulador que se relacione directamente con el procesamiento de datos personales, según lo instruido y proporcionado por Customer, por MessageBird o sus (sub-)procesadores a menos que dicha notificación o comunicación esté prohibida por la ley.

3. Customer deberá:

   1. notificar a MessageBird al menos dos (2) meses antes de ejercer el derecho de auditoría de Customer bajo el párrafo 2(i) de este DPA;

   2. asegurar que cualquier auditoría no interrumpa irrazonablemente las operaciones comerciales de MessageBird; y,

   3. soportar y pagar todos los costos de dicha auditoría.

4. Si Customer actúa como controlador de datos, Customer garantiza que todas las actividades de procesamiento son legales, tienen un propósito específico y que todos los avisos y consentimientos requeridos u otra base legal adecuada están en su lugar para permitir la transferencia legal de datos personales. Si Customer es un procesador de datos (en cuyo caso MessageBird será un subprocesador), Customer asegura que el controlador de datos relevante garantiza que se cumplan las condiciones enumeradas en esta cláusula.

5. Dada la naturaleza de los Servicios, el uso de los Servicios por parte de Customer y de los usuarios finales de Customer puede requerir la transferencia de datos personales fuera del EEE; cuando la ejecución de los Servicios implique una transferencia de datos personales a (sub-)procesadores fuera del EEE, Customer por este medio otorga a MessageBird un mandato para la duración de todos los acuerdos en vigor entre Customer y MessageBird para firmar Cláusulas Contractuales Modelo de la UE con (sub-)procesadores fuera del EEE en nombre de Customer, si no existen otros mecanismos de transferencia adecuados bajo la Legislación de Protección de Datos.

6. Mediante esta Cláusula, Customer otorga a MessageBird una autorización por escrito general para la involucración de cualquier tercero como nuevos (sub-)procesadores para el procesamiento de datos personales, sujeto a los términos de este Anexo. MessageBird no involucrará a ningún (sub-)procesador en el procesamiento de datos personales bajo este Acuerdo sin informar previamente a Customer de cualquier cambio previsto en cuanto a la adición o sustitución de otros procesadores, brindando así a Customer la oportunidad de objetar dichos cambios. 

7. Customer puede objetar a cualquier nuevo (sub-)procesador únicamente sobre la base de razones razonables relacionadas con la protección de datos mediante la terminación del Acuerdo y este Anexo. Este derecho de terminación es el único y exclusivo recurso de Customer si Customer objeta a cualquier nuevo (sub-)procesador.

8. Customer acuerda específicamente la implicación de las entidades que figuran en https://www.messagebird.com/en-gb/legal/privacy#processorList como (sub-)procesadores de MessageBird para el procesamiento de datos personales. MessageBird actualizará la lista de (sub-)procesadores cuando se involucre un nuevo (sub-)procesador para el procesamiento de datos personales.

9. MessageBird tomará todas las medidas contractuales disponibles y apropiadas para asegurar que cuando se involucre un (sub-)procesador:

   1. el (sub-)procesador solo procesará datos personales si dicho procesamiento es necesario para la ejecución de los Servicios o una parte de los mismos;

   2. las obligaciones de protección de datos que proporcionen una protección similar a las de este DPA se impondrán al (sub-)procesador por medio de un contrato u otro acto legal bajo la legislación de la UE o del Estado Miembro, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizacionales adecuadas de tal manera que el procesamiento cumplirá con los requisitos de la Legislación de Protección de Datos, y;

   3. MessageBird sigue siendo responsable ante Customer bajo este DPA por el cumplimiento de las obligaciones de su (sub-)procesador.

10. Detalles del procesamiento:

    1. Asunto y propósito del procesamiento: provisión de los Servicios de MessageBird a Customer.

    2. Categorías de datos personales: información sobre usuarios finales que Customer proporciona a MessageBird a través de los Servicios.

    3. Categorías de interesados: los interesados incluyen clientes del Customer, empleados, proveedores y cualquier otra persona natural que sea el usuario final de los servicios de comunicación, de quien Customer proporciona datos personales a través de los Servicios.

    4. Duración del procesamiento: los datos personales se procesarán por el tiempo necesario para la ejecución de los Servicios o según lo requiera la ley aplicable.

11. Este Anexo de Procesamiento de Datos se rige por las leyes de los Países Bajos, y las Partes se someten a la jurisdicción exclusiva de los tribunales de Ámsterdam para todos los fines relacionados con este DPA, incluyendo la ejecución de cualquier laudo o sentencia realizada en virtud o en relación con este.