Este acuerdo de procesamiento de datos, incluidos los anexos (el "DPA"), es parte del Acuerdo entre el Cliente y la entidad contratante enumerada en la Sección 15 (Entidad Contratante) de los Términos y Condiciones Generales, a menos que se indique lo contrario en su Formulario de Pedido. En este DPA, los términos “ustedes”, “su”, o “Cliente” se refieren a ustedes (sujeto a la Sección 1.2 a continuación), y los términos “nosotros”, “nos,” “nuestro” o “MessageBird” se refieren a nosotros.
1. Scope, Customer Affiliates and Term
1.1 Alcance. Este DPA rige el procesamiento de Datos Personales del Cliente por MessageBird como procesador.
1.2 Afiliados del Cliente. El Cliente entra en este DPA en su propio nombre y, en la medida requerida por la Legislación de Protección de Datos, en nombre y representación de sus Afiliados (según se define en los Términos), si y en la medida en que proporcione a dichos Afiliados acceso a los Servicios y nosotros procesemos Datos Personales del Cliente para los cuales dichos Afiliados califiquen como el controlador de datos (“Afiliados del Cliente”). Para los fines de este DPA únicamente, y excepto cuando se indique lo contrario, los términos “Cliente” y “usted” incluirán al Cliente y sus Afiliados.
1.3 Duración. Este DPA permanecerá en efecto mientras MessageBird procese Datos Personales del Cliente sujetos a este DPA, a pesar de la expiración o terminación del Acuerdo.
2. Definiciones
Términos en mayúscula utilizados pero no definidos en este DPA tendrán el significado que se les otorga en el Acuerdo. Los siguientes términos definidos se utilizan en este DPA:
2.1 “CCPA” significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier regulación promulgada bajo ella, en cada caso, según se enmiende de tiempo en tiempo.
2.2 “Customer Data” significa cualquier dato y otra información o contenido enviado por usted o para usted (o por un usuario de su Aplicación del Cliente) bajo el Acuerdo y procesado o almacenado por los Servicios.
2.3 “Customer Personal Data” significa Datos Personales contenidos en los Datos del Cliente. Los datos de cuenta no son Datos Personales del Cliente. Los datos de cuenta son cualquier dato proporcionado por o para usted a MessageBird en relación con la celebración y administración del Acuerdo y de su cuenta, incluyendo entre otros, información de contacto, detalles de facturación del Cliente y correspondencia sobre la celebración y administración del Acuerdo.
2.4 “Data Protection Legislation” significa todas las leyes y regulaciones de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o el procesamiento de Datos Personales bajo el Acuerdo, incluyendo, donde aplique, el GDPR, el CCPA y todas las demás leyes y regulaciones relacionadas con la privacidad, el marketing directo o la protección de datos.
2.5 “EEA” significa, para los propósitos de este DPA, el Área Económica Europea y Suiza.
2.6 “EU Controller-to-Processor Standard Contractual Clauses” significa los módulos “Controller to Processor” (Módulo 2) de las Cláusulas Contractuales Estándar para la transferencia de Datos Personales a terceros países de acuerdo con el GDPR y la Decisión de Implementación de la Comisión Europea (EU) 2021/914 de 4 de junio de 2021.
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” significa los módulos “Processor to Processor” (Módulo 3) de las Cláusulas Contractuales Estándar para la transferencia de Datos Personales a terceros países de acuerdo con el GDPR y la Decisión de Implementación de la Comisión Europea (EU) 2021/914 de 4 de junio de 2021.
2.8 “GDPR” significa ya sea (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al tratamiento de Datos Personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos 2018.
2.9 “LGPD” significa la Lei Geral de Proteção de Dados de 2018 y cualquier regulación promulgada bajo ella, en cada caso, según se enmiende de tiempo en tiempo.
2.10 “Personal Data” significa cualquier información relacionada con una persona natural identificada o identificable, directa o indirectamente.
2.11 “PDPA” significa la Ley de Protección de Datos Personales de 2012 y cualquier regulación promulgada bajo ella, en cada caso, según se enmiende de tiempo en tiempo.
2.12 “Privacy Statement” significa la Declaración de Privacidad vigente para los Servicios, como se establece en la Declaración de Privacidad de Bird.
2.13 “Personal Data Breach” significa cualquier destrucción, pérdida, alteración, divulgación o acceso no autorizado o ilegal a Datos Personales del Cliente.
2.14 “Services” significa todos los productos y servicios proporcionados por nosotros o nuestros Afiliados que son (a) ordenados por usted bajo cualquier Formulario de Pedido; o (b) utilizados por usted.
2.15 “Standard Contractual Clauses” significa ya sea (i) las Cláusulas Contractuales Estándar de la UE de Controlador a Procesador; o (ii) las Cláusulas Contractuales Estándar de la UE de Procesador a Subprocesador, ya sea individual o colectivamente, según aplique.
2.16 “Subprocessor” significa la entidad que procesa Datos Personales del Cliente en nombre de una entidad que actúa como procesador de datos o Subprocesador.
2.17 “UK Controller-to-Processor Standard Contractual Clauses” significa las cláusulas contractuales estándar para la transferencia de Datos Personales a procesadores establecidos en países terceros en la forma establecida por la Decisión de la Comisión Europea 2010/87/EU, enmendada, modificada o sustituida por la Comisión Europea.
Términos como “processing”, “data controller”, “data processor”, “data subject”, etc. tendrán el significado asignado bajo el GDPR. La definición de “data controller” incluye “business”, “controller” y “organization”; "data processor" incluye “service provider”, “processor” y “data intermediary”; “data subject” incluye “consumer”, y “individual”; y “Personal Data” incluye “personal information”, en cada caso según se define en el CCPA, LGPD o PDPA.
3. Procesamiento de Datos Personales del Cliente
3.1 Propósitos. Procesaremos los Datos Personales del Cliente solo en la medida necesaria (i) para proporcionar los Servicios, incluida la transmisión de comunicación, asegurando la seguridad de los servicios, proporcionando informes técnicos y de entrega, proporcionando soporte y desarrollando e implementando mejoras y actualizaciones de acuerdo con sus instrucciones documentadas hacia nosotros como procesador de datos tal como se especifica en la Sección 3.2 de este DPA, y (ii) para nuestros propósitos comerciales legítimos tal como se especifica en la Sección 3.4 de este DPA como controlador de datos. No vendemos ningún Dato Personal, incluidos los Datos Personales del Cliente, y no compartimos Datos Personales con terceros para compensación o para los intereses comerciales propios de esos terceros.
3.2 Instrucciones. El Acuerdo y este DPA constituyen sus instrucciones completas hacia nosotros como procesador de datos en el momento de la firma de este DPA. Cumpliremos con otras instrucciones documentadas razonablemente siempre que estas instrucciones sean consistentes con los términos del Acuerdo.
3.3 Detalles del procesamiento. Anexo I, Parte B. (Descripción de la transferencia) de este DPA especifica además la naturaleza y propósito del procesamiento, las actividades de procesamiento, la duración del procesamiento, los tipos de Datos Personales y categorías de sujetos de datos por nosotros como procesador de datos o Subprocesador.
3.4 Propósitos comerciales legítimos. Usted reconoce que procesamos Datos Personales del Cliente como un controlador de datos independiente en la medida necesaria para los siguientes propósitos comerciales legítimos: facturación, gestión de cuentas, informes financieros e internos, combatir y prevenir amenazas a la seguridad, ciberataques y delitos cibernéticos que puedan afectarnos a nosotros o a nuestros servicios, modelado de negocios (por ejemplo, previsión, planificación de capacidad e ingresos, estrategia de producto), prevención y detección de fraude, spam y abuso, mejora de productos, y para cumplir con nuestras obligaciones legales.
4. Customer Obligations
4.1 Legalidad. Cuando actúes como un controlador de datos de Datos Personales de Clientes, garantizas que todas las actividades de procesamiento son legales, tienen un propósito específico, y cualquier aviso y consentimiento requerido u otro fundamento legal apropiado están en su lugar para permitir la transferencia legal de los Datos Personales de Clientes. Si eres un procesador de datos (en cuyo caso actuaremos como un Subprocesador), asegurarás que el controlador de datos relevante garantiza que se cumplan las condiciones enumeradas en esta Sección 4.1.
4.2 Cumplimiento. Eres el único responsable de (a) asegurarte de que cumples con la Legislación de Protección de Datos aplicable a tu uso de los Servicios y a tu propio procesamiento de Datos Personales de Clientes, (b) hacer una evaluación independiente de si las medidas técnicas y organizativas de los Servicios cumplen con tus requisitos, y (c) implementar y mantener medidas de privacidad y seguridad para los componentes que proporcionas o controlas (incluyendo, entre otros, contraseñas, dispositivos utilizados con los Servicios y Aplicaciones del Cliente).
5. Seguridad
5.1 Medidas de seguridad. Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, implementaremos y mantendremos medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente de violaciones de datos personales y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos del Cliente que nuestros sistemas utilizan para procesar Datos del Cliente. Las medidas de seguridad aplicadas por nosotros se describen en el Apéndice II.
5.2 Actualizaciones de medidas de seguridad. Usted es responsable de revisar la información que ponemos a su disposición relacionada con la seguridad de los Datos Personales del Cliente y de hacer una determinación independiente sobre si dicha información cumple con sus requisitos y obligaciones legales bajo la Legislación de Protección de Datos. Usted reconoce que las medidas de seguridad están sujetas a progreso técnico y desarrollo, y que podemos actualizar o modificar nuestras medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Datos Personales del Cliente.
5.3 Controles de acceso. Aplicamos los principios de "necesidad de saber" y menor privilegio.
5.4 Confidencialidad del procesamiento. Nos aseguraremos de que cualquier persona o parte que esté autorizada por nosotros para procesar Datos Personales del Cliente (incluyendo nuestro personal, agentes y Subprocesadores) esté informada de la naturaleza confidencial de dichos Datos Personales del Cliente y esté sujeta a una obligación de confidencialidad adecuada (ya sea un deber contractual o legal) que sobreviva a la terminación de su compromiso.
5.5 Respuesta y notificación de violación de datos personales. Al tomar conocimiento de una violación de datos personales, nosotros sin demora indebida (i) le notificaremos, (ii) investigaremos la violación de datos personales, (iii) proporcionaremos información oportuna relacionada con la violación de datos personales a medida que se conozca o según lo solicite razonablemente usted, y (iv) tomaremos medidas comercialmente razonables para mitigar los efectos y prevenir la recurrencia de la violación de datos personales.
6. Asistencia
6.1 Asistencia para la protección de datos. Le proporcionaremos la asistencia razonablemente solicitada para permitirle cumplir con sus obligaciones bajo la Legislación de Protección de Datos, incluida la notificación de una Violación de Datos Personales, evaluar el nivel de seguridad adecuado para el procesamiento y ayudarlo con la realización de una evaluación de impacto de protección de datos relevante.
6.2 Asistencia con solicitudes de sujetos de datos. Le proporcionaremos asistencia razonable para permitirle cumplir con sus obligaciones hacia los sujetos de datos que ejercen sus derechos bajo la Legislación de Protección de Datos poniendo a disposición medidas técnicas y organizativas a través de su cuenta. Para evitar dudas, usted como controlador de datos es responsable de procesar cualquier solicitud o queja de los sujetos de datos con respecto a los Datos Personales del Cliente de un sujeto de datos.
7. Divulgación y Solicitudes de Divulgación
7.1 Limitaciones en la divulgación y el acceso. No proporcionaremos acceso ni divulgaremos Datos Personales del Cliente, excepto (i) según lo indicado por usted, (ii) según se establece en el Acuerdo y este DPA, o (iii) según lo exija la ley.
7.2 Solicitudes de divulgación. Le notificaremos lo antes posible si recibimos una solicitud de un organismo gubernamental o regulatorio para divulgar Datos Personales del Cliente, a menos que dicha notificación esté prohibida por la ley. Manejaremos las solicitudes de divulgación de acuerdo con nuestra Política de Solicitudes de Divulgación.
8. Subprocessors
8.1 Subprocesadores actuales. Usted acepta la participación de los subprocesadores enumerados bajo el encabezado "Datos Personales del Usuario Final" en la Lista de Subprocesadores de Bird, que también contiene un procedimiento para suscribirse a las notificaciones de cambios en nuestro uso de subprocesadores. Si se suscribe a tales notificaciones, y teniendo en cuenta la Sección 8.3 de este DPA, compartiremos detalles de cualquier cambio en los subprocesadores tan pronto como sea razonablemente posible.
8.2 Uso de Subprocesadores. A través de este DPA, usted proporciona una autorización general por escrito para que nosotros contratemos subprocesadores para el procesamiento de Datos Personales del Cliente, sujeto a la Sección 8.3 de este DPA y los siguientes requisitos:
a. Restringiremos el acceso a los Datos Personales del Cliente por parte de los subprocesadores a lo estrictamente necesario para proporcionar los servicios especificados en el acuerdo de subprocesador;
b. Acordaremos obligaciones de protección de datos con el subprocesador que sean sustancialmente las mismas que las obligaciones bajo este DPA; y
c. Seguimos siendo responsables ante usted bajo este DPA por el cumplimiento de las obligaciones de protección de datos del subprocesador.
8.3 Notificación de cambios a los subprocesadores y derecho a objetar. Antes de reemplazar o contratar nuevos subprocesadores (“Cambio de Subprocesador”), le daremos la opción de objetar el Cambio de Subprocesador.
Usted puede objetar un Cambio de Subprocesador siempre que (i) la objeción se haga por escrito dentro de los diez (10) días hábiles desde nuestra notificación del Cambio de Subprocesador y (ii) la objeción se base en y explique claramente las razones razonables relacionadas con la protección de los Datos Personales del Cliente. Cuando usted objete a un Cambio de Subprocesador propuesto, trabajaremos de buena fe con usted para realizar un cambio comercialmente razonable en la prestación de los Servicios que evite el uso del subprocesador relevante. Si dicho cambio no puede realizarse razonablemente dentro de los treinta (30) días hábiles desde la recepción de su notificación de objeción, o si el cambio es comercialmente irrazonable para nosotros, cualquiera de las partes puede terminar las funciones aplicables de los Servicios que no puedan proporcionarse sin el uso del subprocesador relevante. Este derecho de terminación es su único y exclusivo remedio si objeta a un Cambio de Subprocesador.
9. Transferencias Transfronterizas de Datos Personales de Clientes
9.1 Transferencias de Datos Personales del Cliente. Podemos transferir Datos Personales del Cliente con la condición de que se implementen todas las salvaguardas apropiadas requeridas por la Legislación de Protección de Datos. Esto puede incluir una evaluación previa del impacto de la transferencia de datos, la adopción, monitoreo y evaluación de medidas técnicas, organizativas y legales suplementarias, derechos exigibles para el interesado, y que estén disponibles remedios legales efectivos para los interesados.
9.2 Cláusulas Contractuales Estándar de Subprocesadores. A menos que aplique una decisión de adecuación o otro mecanismo de transferencia alternativo, hemos firmado y mantendremos Cláusulas Contractuales Estándar con Subprocesadores (incluyendo nuestras Afiliadas) ubicados fuera del EEE, sujeto a los términos establecidos en la Sección 9.1 de este DPA.
9.3 Mecanismos de Transferencia para Transferencias de Datos Personales del Cliente. En la medida en que su uso de los Servicios requiera un mecanismo de transferencia de datos transfronterizo para exportar legalmente Datos Personales del Cliente desde una jurisdicción (por ejemplo, el EEE, California, Singapur, Suiza o el Reino Unido) hacia nosotros ubicados fuera de esa jurisdicción, esta sección aplicará. Si, en la ejecución de los Servicios, los Datos Personales del Cliente que están sujetos al GDPR o cualquier otra ley relacionada con la protección o privacidad de individuos que se aplica a este DPA son transferidos a MessageBird ubicado en países que no aseguran un nivel adecuado de protección de datos dentro del significado de la Legislación de Protección de Datos, los mecanismos de transferencia listados a continuación se aplicarán a tales transferencias y pueden ser directamente exigibles por las partes en la medida en que dichas transferencias estén sujetas a la Legislación de Protección de Datos:
9.3.1 Las partes acuerdan que las Cláusulas Contractuales Estándar se aplicarán a los Datos Personales del Cliente que se transfieren a través de los Servicios desde el EEE o Suiza, ya sea directamente o mediante transferencia posterior, a una entidad MessageBird ubicada en un país fuera del EEE o Suiza que no sea reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente para Suiza) como que proporciona un nivel adecuado de protección para datos personales.
9.3.1.1 Cuando actúe como un controlador de datos y MessageBird sea un procesador de datos, las Cláusulas Contractuales Estándar de Controlador a Procesador de la UE se aplicarán a cualquier transferencia de Datos Personales del Cliente desde el EEE. Cuando actúe como un procesador de datos y MessageBird sea un subprocesador, las Cláusulas Contractuales Estándar de Procesador a Subprocesador se aplicarán a cualquier transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.2 MessageBird será considerado el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Estándar. La firma de cada parte de este DPA se tratará como la firma de las Cláusulas Contractuales Estándar aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Estándar están disponibles en el Apéndice I y el Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar, las Cláusulas Contractuales Estándar prevalecerán únicamente con respecto a una transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.3 Cuando las Cláusulas Contractuales Estándar requieran que las partes elijan entre cláusulas opcionales e ingresen información, las partes lo han hecho como se establece a continuación:
La Cláusula Opcional 7 “cláusula de acoplamiento” no será adoptada.
Para la Cláusula 9 “Uso de subprocesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización general por escrito: el importador de datos tiene la autorización general del controlador para el compromiso de subprocesador(es) de una lista acordada. El importador de datos informará específicamente al controlador por escrito sobre cualquier cambio previsto en esa lista mediante la adición o reemplazo de subprocesadores al menos 10 días hábiles de antelación, proporcionando así al controlador suficiente tiempo para oponerse a tales cambios antes del compromiso del subprocesador. El importador de datos proporcionará al exportador de datos la información necesaria para permitir al exportador de datos ejercer su derecho a objetar. El importador de datos informará al exportador de datos del compromiso del subprocesador.”
Para la Cláusula 11 (a) “Reparación”, las partes no adoptan la Opción.
Para la Cláusula 17 “Ley aplicable”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas se regirán por la ley de uno de los Estados Miembros de la UE, siempre que dicha ley permita derechos de beneficiarios terceros. Las Partes acuerdan que esta será la ley de los Países Bajos.”
Para la Cláusula 18 (b) “Elección de Foro y Jurisdicción”: “Las Partes acuerdan que serán los tribunales de los Países Bajos.”
9.3.2 Las partes acuerdan que las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido se aplicarán a los Datos Personales del Cliente que se transfieren a través de los Servicios desde el Reino Unido, ya sea directamente o mediante transferencia posterior, a una entidad de MessageBird ubicada en un país fuera del Reino Unido que no sea reconocido por la autoridad reguladora competente del Reino Unido o el organismo gubernamental del Reino Unido como que proporciona un nivel adecuado de protección para datos personales.
9.3.2.1 MessageBird será considerado el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido. La firma de cada parte de este DPA se tratará como la firma de las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido están disponibles en el Apéndice I y el Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido, las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido prevalecerán únicamente con respecto a la transferencia de Datos Personales del Cliente desde el Reino Unido.
10. Auditoría
10.1 Informe de Auditoría. Nuestra plataforma de comunicación será auditada regularmente conforme al estándar ISO 27001:2013 (o equivalente). La auditoría, a nuestra sola discreción, puede ser una auditoría interna o realizada por un tercero. A solicitud por escrito, le proporcionaremos un resumen del informe de auditoría (“Informe de Auditoría”), para que pueda verificar nuestro cumplimiento de los estándares de auditoría y este DPA. Dichos Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son nuestra Información Confidencial.
10.2 Solicitudes de información del Cliente. Pondremos a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA. Proporcionaremos respuestas por escrito a solicitudes razonables de información hechas por usted, incluidas respuestas a cuestionarios de seguridad de la información y auditoría que sean razonables en alcance y necesarios para confirmar el cumplimiento de este DPA, siempre que usted (i) haya hecho un esfuerzo razonable por obtener la información solicitada de la Documentación, Informes de Auditoría y otra información proporcionada o hecha pública por nosotros, y (ii) no ejerza este derecho más de una vez al año, a menos que una Brecha de Datos Personales o un cambio significativo en nuestras actividades de procesamiento en relación con los Servicios requiera que se ejecute un cuestionario adicional. Todas las respuestas proporcionadas son nuestra Información Confidencial.
10.3 Auditoría del Cliente. Si un Informe de Auditoría proporcionado por nosotros a usted le da razones fundamentadas para creer que estamos incumpliendo nuestras obligaciones bajo este DPA, relacionadas con los Datos Personales del Cliente proporcionados por usted, permitiremos que un auditor tercero independiente y calificado designado por usted y aprobado por nosotros, audite las actividades de procesamiento de Datos Personales relevantes aplicables, siempre que se cumplan los siguientes requisitos:
a. Usted deberá notificarnos con al menos sesenta (60) días de anticipación razonable antes de ejercer el derecho de auditoría;
b. El auditor acepta obligaciones de confidencialidad estándar del mercado con nosotros;
c. Usted y el auditor toman medidas para minimizar la interrupción de nuestras operaciones comerciales;
d. La auditoría se llevará a cabo durante el horario comercial habitual;
e. No estaremos obligados a proporcionar acceso a los datos de clientes de otros clientes o sistemas no involucrados en la prestación de los Servicios; y
f. Usted deberá pagar todos los costos de la auditoría.
11. Eliminación y Devolución de los Datos Personales del Cliente
Tras la terminación o expiración del Acuerdo, nosotros (a su elección) eliminaremos o le devolveremos todos los Datos Personales del Cliente (incluidas copias) que estén en nuestra posesión o control, salvo que este requisito no se aplicará en la medida en que la ley nos obligue a retener algunos o todos los Datos Personales del Cliente. Si nos instruye que eliminemos los Datos Personales del Cliente, los Datos Personales del Cliente archivados en nuestros sistemas de respaldo estarán protegidos de un procesamiento posterior, y se eliminarán cuando haya pasado el período de retención requerido.
12. Comunicación y Derechos del Cliente Afiliado
La celebración de este DPA en nombre y en representación de una Afiliada del Cliente, según lo establecido en la Sección 1.2, constituye un DPA separado entre nosotros y esa Afiliada del Cliente, sujeto a lo siguiente:
12.1. Comunicación. El Cliente que es la parte contratante del Acuerdo seguirá siendo responsable de coordinar toda la comunicación con nosotros en virtud de este DPA y tendrá derecho a hacer y recibir cualquier comunicación relacionada con este DPA en nombre de sus Afiliadas del Cliente.
12.2 Derechos de las Afiliadas del Cliente. Cuando una Afiliada del Cliente se convierta en parte del DPA con nosotros, tendrá, en la medida requerida por la Legislación de Protección de Datos, derecho a ejercer los derechos y buscar remedios bajo este DPA, sujeto a lo siguiente:
(i) A menos que la Legislación de Protección de Datos requiera que la Afiliada del Cliente ejerza un derecho o busque un remedio bajo este DPA contra MessageBird directamente por sí misma, las partes acuerdan que (i) únicamente el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscará cualquier remedio en nombre de la Afiliada del Cliente, y (ii) el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho bajo este DPA no de forma separada para cada Afiliada del Cliente individualmente, sino de manera combinada para sí mismo y todas sus Afiliadas del Cliente en conjunto.
(ii) Las partes acuerdan que el Cliente que es la parte contratante del Acuerdo tomará todas las medidas razonables para limitar cualquier impacto en nosotros cuando se lleve a cabo, en su nombre, una auditoría in situ de los procedimientos relevantes para la protección de los Datos Personales del Cliente, según lo establecido en la Sección 10.3 de este DPA, al combinar, en la medida razonablemente posible, varias solicitudes de auditoría llevadas a cabo en nombre de sí mismo y todas sus Afiliadas del Cliente en una sola auditoría.
Para mayor claridad, una Afiliada del Cliente no se convierte en una parte contratante del Acuerdo.
13. Ley de Privacidad del Consumidor de California
Hacemos los siguientes compromisos adicionales con usted con respecto al procesamiento de Datos Personales de Clientes dentro del alcance de la CCPA.
13.1 Nuestras Obligaciones. Cumpliremos con la CCPA y trataremos todos los Datos Personales de Clientes sujetos a la CCPA (“CCPA Personal Data”) de acuerdo con las disposiciones de la CCPA. Con respecto a CCPA Personal Data, somos un proveedor de servicios bajo la CCPA. No (a) venderemos CCPA Personal Data; (b) retendremos, usaremos o divulgaremos cualquier CCPA Personal Data para cualquier propósito que no sea el propósito específico de proporcionar los Servicios, incluyendo retener, usar o divulgar CCPA Personal Data para un propósito comercial que no sea proporcionar los Servicios; o (c) retendremos, usaremos o divulgaremos CCPA Personal Data fuera de nuestra relación comercial directa con usted. El Procesamiento de CCPA Personal Data autorizado por sus instrucciones en los Términos y este DPA es integral para nuestra prestación de los Servicios. Usted reconoce y acepta que nuestro acceso a los Datos de Cliente no constituye parte de la contraprestación intercambiada bajo el Acuerdo. En la medida en que cualquier dato de uso sea considerado CCPA Personal Data, somos el negocio con respecto a tales datos y procesaremos esos datos de acuerdo con nuestra Declaración de Privacidad. Los términos “negocio”, “propósito comercial”, “proveedor de servicios” y “vender” tal como se utilizan en esta Sección 13.1 tienen los significados que se les da en la CCPA. Ambas partes certifican que entienden y cumplirán con las obligaciones y restricciones establecidas en este DPA y el Acuerdo como se requiere bajo la CCPA.
13.2 Obligaciones del Cliente. Usted declara y garantiza que ha notificado al Usuario Final que los Datos Personales están siendo utilizados o compartidos de acuerdo con los términos y condiciones previstos en la Sección 1798.140(t)(2)(C)(i) de la CCPA. Usted es responsable del cumplimiento de los requisitos de la CCPA aplicables a usted como controlador de datos.
14. Ley Aplicable y Resolución de Disputas
La Sección 13 de los Términos se aplicará a cualquier Disputa que surja de o esté relacionada con este DPA, a menos que la Legislación de Protección de Datos disponga lo contrario.
APÉNDICE I - DETALLES DEL PROCESAMIENTO
Cuando sea aplicable, este Anexo 1 servirá como Anexo I de las Cláusulas Contractuales Tipo del EEE.
Anexo I, Parte A. Lista de Partes
Exportador de datos: Cliente
Datos de contacto del exportador de datos: La dirección listada en la cuenta del Cliente, o el correo electrónico del dueño de la cuenta, o a la dirección de correo(s) para la que el Cliente elija recibir notificaciones bajo el Acuerdo.
Rol del exportador de datos: El rol del exportador de datos está descrito en la Sección 4 del DPA.
Firma y fecha: Si y cuando sea aplicable, el exportador de datos se considera que ha firmado las Cláusulas Contractuales Tipo incorporadas aquí desde la Fecha Efectiva del DPA.
Importador de datos: MessageBird B.V.
Datos de contacto del importador de datos: Trompenburgstraat 2-C, 1079TX, Ámsterdam, Países Bajos, Oficial de Protección de Datos - privacy@bird.com
Rol del importador de datos: El importador de datos actúa como procesador de datos.
Firma y fecha: Si y cuando sea aplicable, el importador de datos se considera que ha firmado las Cláusulas Contractuales Tipo incorporadas aquí desde la Fecha Efectiva del DPA.
Anexo I, Parte B. Descripción de la Transferencia
1. Categorías de sujetos de datos cuyos Datos Personales son transferidos: Usuarios. Contactos del Cliente (personas naturales) o empleados, contratistas o trabajadores temporales (actuales, prospectivos, anteriores) que utilizan los Servicios a través de la cuenta del Cliente (“Usuarios”);Usuarios Finales. Cualquier individuo (i) cuyos datos de contacto están incluidos en la lista(s) de contactos del Cliente; (ii) cuya información se almacena o recoge a través de los Servicios, o (ii) a quien el Cliente envía comunicaciones o de otro modo se involucra o comunica a través de los Servicios (colectivamente, “Usuarios Finales”). Usted como Cliente determina únicamente las categorías de sujetos de datos incluidas en la comunicación enviada a través de nuestra plataforma de comunicación.
2. Categorías de Datos Personales transferidos: Datos Personales del Cliente contenidos en, contenido de comunicación, datos de tráfico, datos de Usuarios Finales, y datos de uso del cliente. Contenido de comunicación, que puede incluir Datos Personales u otras características personalizadas, dependiendo del contenido de la comunicación determinado por usted como Cliente. Datos de tráfico, que pueden incluir Datos Personales del Cliente sobre la ruta, duración o tiempo de una comunicación como llamada de voz, SMS o correo electrónico, ya sea que se relacione con un individuo o una empresa. Datos de Usuarios Finales, como número de teléfono, dirección de correo electrónico, nombre, apellido, nombre de perfil, país, identificador de canal. Datos de uso del cliente, pueden contener datos que se pueden vincular a usted como individuo incluidos en datos estadísticos e información relacionada con sus actividades de cuenta y servicio, datos de servicio relacionados y reportes analíticos sobre la comunicación enviada y soporte al cliente.
3. Datos sensibles transferidos (si aplica) y restricciones o salvaguardas aplicadas que consideren plenamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo una estricta limitación de propósito, restricciones de acceso (incluyendo acceso sólo para personal con capacitación especializada), mantener un registro del acceso a los datos, restricciones para transferencias adicionales u otras medidas de seguridad.
(a) Contenido de comunicación. Los datos sensibles pueden, de vez en cuando, ser procesados a través de los Servicios donde usted o sus Usuarios Finales elijan incluir datos sensibles dentro de las comunicaciones que se transmiten utilizando los Servicios. Usted es responsable de asegurarse de que estén en su lugar las salvaguardias adecuadas antes de transmitir o procesar, o antes de permitir que sus Usuarios Finales transmitan o procesen datos sensibles a través de los Servicios, de acuerdo con la Sección 3.2 del Acuerdo.
(b) Datos de tráfico, datos de Usuarios Finales y datos de uso del cliente. No hay datos sensibles contenidos en los datos de tráfico, datos de Usuarios Finales o datos de uso del cliente.
4. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua): Los Datos Personales del Cliente se transfieren de manera continua durante la vigencia del Acuerdo.
5. Naturaleza del procesamiento: Procesaremos los Datos Personales del Cliente en la medida necesaria para proporcionar los Servicios bajo el Acuerdo. No vendemos ningún Dato Personal, incluidos los Datos Personales del Cliente, y no compartimos Datos Personales con terceros para compensación o para los intereses comerciales propios de esos terceros.
6. Propósito(s) de la transferencia de datos y procesamiento adicional: Procesaremos los Datos Personales del Cliente como procesador de datos de acuerdo con las instrucciones del Cliente establecidas en este DPA, a menos que el procesamiento sea necesario para el cumplimiento con una obligación legal a la que estemos sujetos, en cuyo caso nos clasificaremos como controlador de datos.
Contenido de comunicación, datos de tráfico, datos de Usuarios Finales y datos de uso del cliente. Los Datos Personales contenidos en contenido de comunicación, datos de tráfico, datos de Usuarios Finales y datos de uso del cliente estarán sujetos a las siguientes actividades básicas de procesamiento:
(a) Contenido de comunicación. La provisión de productos y servicios de comunicación programable, ofrecidos en forma de interfaces de programación de aplicaciones (APIs) o a través del Dashboard, al Cliente, incluyendo la transmisión desde o hacia la aplicación de software del Cliente desde o hacia nuestra plataforma de comunicación y otras redes de comunicación.
(b) Datos de tráfico. Los datos de tráfico se procesan para el propósito de transmitir comunicación en una red de comunicaciones electrónicas o para la facturación respecto a esa comunicación. Esto puede incluir Datos Personales del Cliente sobre la ruta, duración o tiempo de una comunicación como llamada de voz, SMS o correo electrónico, ya sea que se relacione con un individuo o una empresa.
(c) Datos de Usuarios Finales. Los Datos Personales de los Usuarios Finales son necesarios para realizar los Servicios y sólo se procesarán para los propósitos de transmisión de comunicación, soporte al cliente y asegurar el cumplimiento de las obligaciones legales de MessageBird.
(d) Datos de uso del cliente. Los Datos Personales contenidos en los datos de uso del cliente estarán sujetos a las actividades de procesamiento de proporcionar los Servicios bajo el Acuerdo, con el objetivo de proporcionar al Cliente información y reportes analíticos relacionados con los Servicios sobre la comunicación enviada, soporte al cliente y mejora continua de los Servicios.
7. El período durante el cual los Datos Personales serán retenidos, o, si eso no es posible, los criterios utilizados para determinar ese período:
(a) Contenido de comunicación y datos de tráfico. Para el contenido del cliente y los datos de tráfico contenidos en los Servicios de SMS y Voice se aplica un período de retención de seis meses;
Para los Servicios de 24sessions el contenido del cliente y los datos de tráfico se retienen por un mínimo de 30 días hasta la duración acordada con usted;
Para todos los demás servicios, el contenido del cliente y los datos de tráfico se retienen durante la duración de los Servicios, excepto si usted elimina contenido del cliente o datos de tráfico a través de las medidas técnicas y organizativas proporcionadas a usted a través de los Servicios.
(b) Datos de Usuarios Finales. Los datos de Usuarios Finales se procesarán durante el período determinado por el Cliente, cuando los datos de Usuarios Finales están incluidos en sus perfiles de contacto el período de retención predeterminado es por la duración de los Servicios, sujeto a la Sección 6(c) de este Anexo I, Parte B.
(c) Datos de uso del cliente. Tras la terminación del Acuerdo, podemos retener, usar y divulgar los Datos de Uso del Cliente para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo. Anonimizaremos o eliminaremos los datos de uso del cliente cuando ya no los necesitemos para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B.
8. Para transferencias a (sub)procesadores, también especificar tema, naturaleza y duración del procesamiento: Para transferencias a Subprocesadores, el tema y la naturaleza del procesamiento están descritos en la Lista de Subprocesadores de Bird, y la duración de tal procesamiento corresponde a la duración del Acuerdo.
Anexo I, Parte C. Autoridad Supervisora Competente
La Autoridad de Protección de Datos de Países Bajos (Autoriteit Persoonsgegevens) será la autoridad supervisora competente.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Cuando sea aplicable, este Anexo II servirá como Anexo II de las Cláusulas Contractuales Estándar. A continuación se proporciona más información sobre nuestras medidas de seguridad técnicas y organizativas establecidas a continuación.
Medidas de Seguridad Técnicas y Organizativas:
Medidas de seudonimización y protección de Datos Personales en almacenamiento y tránsito: Todos los Datos Personales están cifrados en tránsito y en reposo, y, en la medida en que sea relevante desde un punto de vista de seguridad, se tratan como si estuvieran clasificados como datos sensibles. La información siempre se transmite por TLS con metodologías de cifrado actualizadas por defecto.
Medidas para garantizar la confidencialidad, integridad y disponibilidad continuas y la resiliencia de los sistemas y servicios de procesamiento: celebramos acuerdos que contienen cláusulas de confidencialidad con nuestros empleados, contratistas, proveedores y Subprocesadores. Nuestra política de continuidad del negocio es preparar nuestro negocio y servicios en caso de cortes prolongados causados por factores fuera de nuestro control y restaurar los servicios en la mayor medida posible en un tiempo mínimo. Entendemos que los servicios que brindamos son críticos para nuestros clientes y, por lo tanto, tenemos muy poca tolerancia a las interrupciones del servicio. Nuestros plazos de recuperación están diseñados para garantizar que podamos cumplir con nuestras obligaciones para con todos nuestros clientes.
Procesos para la prueba, evaluación y valoración regular de la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento: el objetivo de la seguridad de la información y nuestro Sistema de Gestión de Seguridad de la Información (SGSI) es proteger la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios, clientes y los sistemas de información (autorizados), y minimizar el riesgo de daños al prevenir incidentes de seguridad y gestionar amenazas y vulnerabilidades de seguridad. Nuestro equipo legal, oficial de protección de datos y equipo de seguridad y cumplimiento aseguran que las normativas y estándares aplicables se consideren en nuestros marcos de seguridad.
Medidas para la identificación y autorización de usuarios: seguimos principios de “necesidad de saber” y “mínimo privilegio”. Promovemos el uso de control de acceso basado en roles. El aprovisionamiento y desaprovisionamiento son supervisados por el equipo de seguridad, con inicio de sesión único y autenticación de dos factores por defecto. Se han definido propietarios para cada activo de información que son responsables de garantizar que el acceso a sus sistemas sea apropiado y se revise regularmente. Siempre que se trate con información sensible o se realice una acción crítica, usamos el principio de doble control.
Medidas para garantizar el registro de eventos: los registros de auditoría se almacenan centralmente y se monitorizan regularmente para eventos de seguridad y se mantienen seguros para evitar el riesgo de manipulación. La Política de Gestión de Incidentes implementa el plan de respuesta a incidentes y sus procedimientos. Estas directrices se siguen si ocurre algún tipo de incidente de seguridad o técnico. En caso de que haya incidentes de seguridad, serán revisados regularmente por el Comité de Dirección de Seguridad que consta de partes interesadas de alto nivel de toda la empresa.
Medidas para asegurar la configuración de sistemas, incluida la configuración predeterminada: seguimos un proceso de gestión de cambios consistente para todos los cambios en el entorno de producción de la plataforma de comunicación como servicio. Para elaborar más, todas las solicitudes de cambio (RFC) deben ser aprobadas por una parte designada y ejecutadas según el proceso formal de control de cambios. El proceso de control garantiza que los cambios propuestos sean revisados, autorizados, probados, implementados y liberados de manera controlada; y que se monitoriza el estado de cada cambio propuesto. Se siguen configuraciones base para configurar los sistemas de manera segura, siguiendo las mejores prácticas. Además, dentro del departamento de Ingeniería, se utiliza un radar tecnológico para definir qué tecnologías (lenguajes, herramientas de plataforma, bases de datos y herramientas de gestión de datos) se pueden adoptar o evitar durante el desarrollo.
Medida para la seguridad física: promovemos activamente una política de “Trabajar desde Cualquier Lugar” para que nuestros empleados sean libres de trabajar desde cualquier lugar que deseen. Sin embargo, todavía tenemos nuestras instalaciones de oficina. No tenemos áreas seguras/centro de datos en nuestras instalaciones ya que somos una empresa completamente basada en la nube. Los pisos de nuestra oficina están protegidos por controles de acceso físico, CCTV y seguridad con personal.
Medidas para la gobernanza y gestión interna de IT y seguridad IT: mantenemos un programa de seguridad basado en evaluaciones de riesgos, que incluye salvaguardas administrativas, organizativas, técnicas y físicas diseñadas para proteger los Servicios y la confidencialidad, integridad y disponibilidad de los Datos del Cliente. Nuestro programa de seguridad de la información está configurado de manera sistemática y bien organizada. Además, se aplican requisitos legales y regulatorios para garantizar la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios y clientes. Todo esto se traduce en nuestras políticas, procedimientos y directrices de seguridad de la información. Tenemos un Comité de Dirección de Seguridad responsable del nivel táctico de seguridad de la información. Esto implica la coordinación de actividades de seguridad de la información y la traducción de actividades estratégicas en actividades operativas para nuestra seguridad y nuestro mantenimiento continuo de cumplimiento normativo. Todos los empleados son responsables de proteger los activos de la empresa. Todos nuestros empleados son evaluados por su experiencia, conocimientos e integridad. Se informa a los empleados sobre seguridad y protección de datos en la fase de incorporación, así como mediante formación regular específica para el equipo y otras presentaciones generales de toda la empresa sobre la importancia de la protección de datos y el cumplimiento de la seguridad. MessageBird está certificada con el estándar ISO/IEC 27001:2013, los estándares de seguridad de la información reconocidos globalmente para Sistemas de Gestión de Seguridad de la Información (SGSI).
Todos nuestros proveedores de alojamiento cumplen con ISO/IEC 27001:2013.
También estamos registrados en la Autoridad Holandesa para Consumidores y Mercados. Esto significa que siempre somos responsables y completamente transparentes con nuestros clientes.
Somos Miembro Asociado de la Asociación Especial Groupe Mobile (GSMA). La GSMA representa los intereses de los operadores móviles de todo el mundo. Siempre estamos al día con todas las leyes y normativas aplicables, incluido el Reglamento General de Protección de Datos.
Medidas para certificaciones/garantías de procesos y productos: nos sometemos a rigurosas auditorías de vigilancia, así como a auditorías de certificación como parte de nuestro cumplimiento con ISO/IEC 27001:2013, y ejecutamos regularmente pruebas de vulnerabilidad de aplicaciones y pruebas de penetración. MessageBird adopta un enfoque unificado para la gestión de parches y vulnerabilidades para garantizar que se mantenga nuestro SLA estándar, ya sea que existan vulnerabilidades en nuestra infraestructura subyacente, plataformas operativas o código fuente.
Medidas para la seguridad de aplicaciones: garantizamos la seguridad de nuestras aplicaciones durante la fase de diseño y desarrollo según las Guías de Código Seguro de MessageBird.
Se implementan correcciones apropiadas antes del lanzamiento.
Los cambios de código son revisados por individuos capacitados (que están familiarizados con la revisión de código y desarrollo seguro) que no sean los desarrolladores originales.
Las aplicaciones se someterán a rigurosas pruebas de seguridad de aplicaciones para identificar nuevas amenazas y vulnerabilidades al menos una vez al año (de acuerdo con estándares e industria y mejores prácticas).
Todos los cambios de código para aplicaciones que se lanzan a entornos de producción son revisados usando procesos manuales y/o automáticos.
Se realizan pruebas de penetración anuales y caso por caso en nuevos productos/características. Se están utilizando herramientas de análisis de código fuente automatizado para detectar defectos de seguridad en el código antes de la implementación, según el lenguaje.
Medidas para la divulgación de vulnerabilidades: Apreciamos que los investigadores de seguridad que hayan encontrado vulnerabilidades en nuestra plataforma se pongan en contacto con nosotros y envíen sus hallazgos a security@bird.com. Tenemos un equipo de seguridad dedicado que realiza el seguimiento y envía invitaciones a nuestro programa de recompensas por errores para investigar y remediar donde sea necesario.
Medidas para garantizar la responsabilidad: implementamos políticas de seguridad de la información y protección de datos de acuerdo con las leyes aplicables y publicamos un resumen de nuestra información relevante del SGSI en nuestra documentación de Bird. Hemos designado a un Vicepresidente, Cumplimiento y Seguridad de la Información y un Oficial de Protección de Datos, y mantenemos documentación de nuestras actividades de procesamiento, incluyendo el registro y reporte de incidentes de seguridad relacionados con Datos Personales cuando sea aplicable.
