Acuerdo de Procesamiento de Datos
Este Acuerdo de Procesamiento de Datos se aplica a usted si se inscribió en los Servicios de MessageBird (incluidos a través de cualquiera de sus Afiliadas) el 28 de febrero de 2022 o después y antes del 1 de enero de 2024. Vigente a partir del 15 de abril de 2022, este Acuerdo de Procesamiento de Datos también se aplicará a los clientes que se inscribieron en los Servicios de MessageBird antes del 28 de febrero de 2022. Nuestro Acuerdo de Procesamiento de Datos archivado está disponible aquí.
Documentos
Contenidos
Este acuerdo de procesamiento de datos, incluidos los anexos (el "DPA"), es parte del Acuerdo entre el Cliente y la entidad contratante enumerada en la Sección 15 (Entidad Contratante) de los Términos y Condiciones Generales, a menos que se indique lo contrario en su Formulario de Pedido. En este DPA, los términos “ustedes”, “su”, o “Cliente” se refieren a ustedes (sujeto a la Sección 1.2 a continuación), y los términos “nosotros”, “nos,” “nuestro” o “MessageBird” se refieren a nosotros.
1. Scope, Customer Affiliates and Term
1.1 Alcance. Este DPA rige el procesamiento de Datos Personales del Cliente por MessageBird como procesador.
1.2 Afiliados del Cliente. El Cliente entra en este DPA en su propio nombre y, en la medida requerida por la Legislación de Protección de Datos, en nombre y representación de sus Afiliados (según se define en los Términos), si y en la medida en que proporcione a dichos Afiliados acceso a los Servicios y nosotros procesemos Datos Personales del Cliente para los cuales dichos Afiliados califiquen como el controlador de datos (“Afiliados del Cliente”). Para los fines de este DPA únicamente, y excepto cuando se indique lo contrario, los términos “Cliente” y “usted” incluirán al Cliente y sus Afiliados.
1.3 Duración. Este DPA permanecerá en efecto mientras MessageBird procese Datos Personales del Cliente sujetos a este DPA, a pesar de la expiración o terminación del Acuerdo.
2. Definiciones
Los términos en mayúsculas utilizados pero no definidos en este DPA tendrán el significado que se les da en el Acuerdo. Los siguientes términos definidos se utilizan en este DPA:
2.1 “CCPA” significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier normativa promulgada en virtud de ella, en cada caso, según se enmiende de vez en cuando.
2.2 “Customer Data” significa cualquier dato y otra información o contenido enviado por usted o para usted (o por un usuario de su Aplicación del Cliente) bajo el Acuerdo y procesado o almacenado por los Servicios.
2.3 “Customer Personal Data” significa los Datos Personales contenidos en los Customer Data. Los datos de cuenta no son Datos Personales de Cliente. Los datos de cuenta son cualquier dato proporcionado por o para usted a MessageBird en relación con la celebración y administración del Acuerdo y de su cuenta, incluyendo, pero no limitado a, la información de contacto, los detalles de facturación del Cliente y la correspondencia sobre la celebración y administración del Acuerdo.
2.4 “Data Protection Legislation” significa todas las leyes y regulaciones de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o procesamiento de Datos Personales bajo el Acuerdo, incluyendo, donde sea aplicable, el GDPR, el CCPA y todas las demás leyes y regulaciones relacionadas con la privacidad, marketing directo o protección de datos.
2.5 “EEA” significa, para los propósitos de este DPA, el Área Económica Europea y Suiza.
2.6 “EU Controller-to-Processor Standard Contractual Clauses” significa los módulos “Controller to Processor” (Módulo 2) de las Cláusulas Contractuales Tipo para la transferencia de Datos Personales a terceros países de conformidad con el GDPR y la Decisión de Ejecución de la Comisión Europea (UE) 2021/914 de 4 de junio de 2021.
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” significa los módulos “Processor to Processor” (Módulo 3) de las Cláusulas Contractuales Tipo para la transferencia de Datos Personales a terceros países de conformidad con el GDPR y la Decisión de Ejecución de la Comisión Europea (UE) 2021/914 de 4 de junio de 2021.
2.8 “GDPR” significa o bien (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al procesamiento de Datos Personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos de 2018.
2.9 “LGPD” significa la Ley General de Protección de Datos de 2018 y cualquier normativa promulgada en virtud de ella, en cada caso, según se enmiende de vez en cuando.
2.10 “Personal Data” significa cualquier información relacionada con una persona natural identificada o identificable, ya sea directa o indirectamente.
2.11 “PDPA” significa la Ley de Protección de Datos Personales de 2012 y cualquier normativa promulgada en virtud de ella, en cada caso, según se enmiende de vez en cuando.
2.12 “Privacy Statement” significa la Declaración de Privacidad vigente para los Servicios disponible en https://bird.com/legal/privacy.
2.13 “Personal Data Breach” significa cualquier destrucción, pérdida, alteración, divulgación no autorizada o ilegal, acceso accidental, a Datos Personales de Cliente.
2.14 “Services” significa todos los productos y servicios proporcionados por nosotros o nuestros Afiliados que son (a) ordenados por usted bajo cualquier Formulario de Pedido; o (b) utilizados por usted.
2.15 “Standard Contractual Clauses” significa o bien (i) las EU Controller-to-Processor Standard Contractual Clauses; o (ii) las EU Processor-to-Subprocessor Standard Contractual Clauses, ya sea individualmente o colectivamente, como aplique.
2.16 “Subprocessor” significa la entidad que procesa los Datos Personales de Cliente en nombre de una entidad que actúa como un procesador de datos o un Subprocessor.
2.17 “UK Controller-to-Processor Standard Contractual Clauses” significa las cláusulas contractuales tipo para la transferencia de Datos Personales a procesadores establecidos en países terceros en la forma establecida por la Decisión 2010/87/EU de la Comisión Europea, que puede ser enmendada, modificada o reemplazada por la Comisión Europea.
Términos tales como “processing”, “data controller”, “data processor”, “data subject”, etc. tendrán el significado asignado a ellos bajo el GDPR. La definición de “data controller” incluye “business”, “controller”, y “organization”; "data processor" incluye “service provider”, “processor”, y “data intermediary”; “data subject” incluye “consumer”, y “individual”; y “Personal Data” incluye “personal information”, en cada caso como se define bajo el CCPA, LGPD, o PDPA.
3. Procesamiento de Datos Personales del Cliente
3.1 Propósitos. Procesaremos los Datos Personales del Cliente solo en la medida necesaria (i) para proporcionar los Servicios, incluida la transmisión de comunicación, asegurando la seguridad de los servicios, proporcionando informes técnicos y de entrega, proporcionando soporte y desarrollando e implementando mejoras y actualizaciones de acuerdo con sus instrucciones documentadas hacia nosotros como procesador de datos tal como se especifica en la Sección 3.2 de este DPA, y (ii) para nuestros propósitos comerciales legítimos tal como se especifica en la Sección 3.4 de este DPA como controlador de datos. No vendemos ningún Dato Personal, incluidos los Datos Personales del Cliente, y no compartimos Datos Personales con terceros para compensación o para los intereses comerciales propios de esos terceros.
3.2 Instrucciones. El Acuerdo y este DPA constituyen sus instrucciones completas hacia nosotros como procesador de datos en el momento de la firma de este DPA. Cumpliremos con otras instrucciones documentadas razonablemente siempre que estas instrucciones sean consistentes con los términos del Acuerdo.
3.3 Detalles del procesamiento. Anexo I, Parte B. (Descripción de la transferencia) de este DPA especifica además la naturaleza y propósito del procesamiento, las actividades de procesamiento, la duración del procesamiento, los tipos de Datos Personales y categorías de sujetos de datos por nosotros como procesador de datos o Subprocesador.
3.4 Propósitos comerciales legítimos. Usted reconoce que procesamos Datos Personales del Cliente como un controlador de datos independiente en la medida necesaria para los siguientes propósitos comerciales legítimos: facturación, gestión de cuentas, informes financieros e internos, combatir y prevenir amenazas a la seguridad, ciberataques y delitos cibernéticos que puedan afectarnos a nosotros o a nuestros servicios, modelado de negocios (por ejemplo, previsión, planificación de capacidad e ingresos, estrategia de producto), prevención y detección de fraude, spam y abuso, mejora de productos, y para cumplir con nuestras obligaciones legales.
4. Customer Obligations
4.1 Legalidad. Cuando actúes como un controlador de datos de Datos Personales de Clientes, garantizas que todas las actividades de procesamiento son legales, tienen un propósito específico, y cualquier aviso y consentimiento requerido u otro fundamento legal apropiado están en su lugar para permitir la transferencia legal de los Datos Personales de Clientes. Si eres un procesador de datos (en cuyo caso actuaremos como un Subprocesador), asegurarás que el controlador de datos relevante garantiza que se cumplan las condiciones enumeradas en esta Sección 4.1.
4.2 Cumplimiento. Eres el único responsable de (a) asegurarte de que cumples con la Legislación de Protección de Datos aplicable a tu uso de los Servicios y a tu propio procesamiento de Datos Personales de Clientes, (b) hacer una evaluación independiente de si las medidas técnicas y organizativas de los Servicios cumplen con tus requisitos, y (c) implementar y mantener medidas de privacidad y seguridad para los componentes que proporcionas o controlas (incluyendo, entre otros, contraseñas, dispositivos utilizados con los Servicios y Aplicaciones del Cliente).
5. Seguridad
5.1 Medidas de seguridad. Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, implementaremos y mantendremos medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente de violaciones de datos personales y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos del Cliente que nuestros sistemas utilizan para procesar Datos del Cliente. Las medidas de seguridad aplicadas por nosotros se describen en el Apéndice II.
5.2 Actualizaciones de medidas de seguridad. Usted es responsable de revisar la información que ponemos a su disposición relacionada con la seguridad de los Datos Personales del Cliente y de hacer una determinación independiente sobre si dicha información cumple con sus requisitos y obligaciones legales bajo la Legislación de Protección de Datos. Usted reconoce que las medidas de seguridad están sujetas a progreso técnico y desarrollo, y que podemos actualizar o modificar nuestras medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Datos Personales del Cliente.
5.3 Controles de acceso. Aplicamos los principios de "necesidad de saber" y menor privilegio.
5.4 Confidencialidad del procesamiento. Nos aseguraremos de que cualquier persona o parte que esté autorizada por nosotros para procesar Datos Personales del Cliente (incluyendo nuestro personal, agentes y Subprocesadores) esté informada de la naturaleza confidencial de dichos Datos Personales del Cliente y esté sujeta a una obligación de confidencialidad adecuada (ya sea un deber contractual o legal) que sobreviva a la terminación de su compromiso.
5.5 Respuesta y notificación de violación de datos personales. Al tomar conocimiento de una violación de datos personales, nosotros sin demora indebida (i) le notificaremos, (ii) investigaremos la violación de datos personales, (iii) proporcionaremos información oportuna relacionada con la violación de datos personales a medida que se conozca o según lo solicite razonablemente usted, y (iv) tomaremos medidas comercialmente razonables para mitigar los efectos y prevenir la recurrencia de la violación de datos personales.
6. Asistencia
6.1 Asistencia para la protección de datos. Le proporcionaremos la asistencia razonablemente solicitada para permitirle cumplir con sus obligaciones bajo la Legislación de Protección de Datos, incluida la notificación de una Violación de Datos Personales, evaluar el nivel de seguridad adecuado para el procesamiento y ayudarlo con la realización de una evaluación de impacto de protección de datos relevante.
6.2 Asistencia con solicitudes de sujetos de datos. Le proporcionaremos asistencia razonable para permitirle cumplir con sus obligaciones hacia los sujetos de datos que ejercen sus derechos bajo la Legislación de Protección de Datos poniendo a disposición medidas técnicas y organizativas a través de su cuenta. Para evitar dudas, usted como controlador de datos es responsable de procesar cualquier solicitud o queja de los sujetos de datos con respecto a los Datos Personales del Cliente de un sujeto de datos.
7. Divulgación y Solicitudes de Divulgación
7.1 Limitaciones sobre la divulgación y el acceso. No proporcionaremos acceso ni divulgaremos Datos Personales del Cliente excepto (i) según lo indique usted, (ii) como se establece en el Acuerdo y este DPA, o (iii) según lo requiera la ley.
7.2 Solicitudes de divulgación. Le notificaremos tan pronto como sea razonablemente posible si recibimos una solicitud de un organismo gubernamental o regulatorio para divulgar Datos Personales del Cliente, a menos que dicha notificación esté prohibida por la ley. Manejarémos las solicitudes de divulgación de acuerdo con la política de solicitudes de divulgación disponible en https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Subprocesadores Actuales. Usted acepta la participación de los subprocesadores enumerados en https://www.bird.com/en/legal/privacy#processorList bajo el encabezado “Datos Personales del Usuario Final”, que contiene un procedimiento para que se suscriba a notificaciones de cambios en nuestro uso de subprocesadores. Si se suscribe a dichas notificaciones, y teniendo en cuenta la Sección 8.3 de este DPA, compartiremos detalles de cualquier cambio en subprocesadores tan pronto como sea razonablemente posible.
8.2 Uso de Subprocesadores. A través de este DPA, usted otorga una autorización general por escrito para que nos comprometamos con subprocesadores para el procesamiento de Datos Personales del Cliente, sujeto a la Sección 8.3 de este DPA y los siguientes requisitos:
a. Restringiremos el acceso a los Datos Personales del Cliente por parte de los subprocesadores a lo estrictamente necesario para proporcionar los servicios especificados en el acuerdo del subprocesador;
b. Acordaremos con el subprocesador obligaciones de protección de datos que sean sustancialmente las mismas que las obligaciones bajo este DPA; y
c. Seguimos siendo responsables ante usted bajo este DPA por el desempeño de las obligaciones de protección de datos del subprocesador.
8.3 Notificación de cambios en subprocesadores y derecho a objetar. Antes de reemplazar o contratar nuevos subprocesadores (“Cambio de Subprocesador”), le daremos la opción de objetar el Cambio de Subprocesador.
Usted puede objetar un Cambio de Subprocesador, siempre que (i) la objeción se haga por escrito dentro de los diez (10) días hábiles de nuestro aviso del Cambio de Subprocesador y (ii) la objeción se base en y explique claramente los motivos razonables relacionados con la protección de Datos Personales del Cliente. Cuando usted objete un Cambio de Subprocesador propuesto, trabajaremos con usted de buena fe para realizar un cambio comercialmente razonable en la provisión de los Servicios que evite el uso del subprocesador relevante. Si dicho cambio no puede realizarse razonablemente dentro de los treinta (30) días hábiles desde que recibimos su aviso de objeción, o si el cambio es comercialmente irrazonable para nosotros, cualquiera de las partes puede terminar las funciones aplicables de los Servicios que no se puedan proporcionar sin el uso del subprocesador relevante. Este derecho de terminación es su único y exclusivo remedio si objeta un Cambio de Subprocesador.
9. Transferencias Transfronterizas de Datos Personales de Clientes
9.1 Transferencias de Datos Personales del Cliente. Podemos transferir Datos Personales del Cliente con la condición de que se implementen todas las salvaguardas apropiadas requeridas por la Legislación de Protección de Datos. Esto puede incluir una evaluación previa del impacto de la transferencia de datos, la adopción, monitoreo y evaluación de medidas técnicas, organizativas y legales suplementarias, derechos exigibles para el interesado, y que estén disponibles remedios legales efectivos para los interesados.
9.2 Cláusulas Contractuales Estándar de Subprocesadores. A menos que aplique una decisión de adecuación o otro mecanismo de transferencia alternativo, hemos firmado y mantendremos Cláusulas Contractuales Estándar con Subprocesadores (incluyendo nuestras Afiliadas) ubicados fuera del EEE, sujeto a los términos establecidos en la Sección 9.1 de este DPA.
9.3 Mecanismos de Transferencia para Transferencias de Datos Personales del Cliente. En la medida en que su uso de los Servicios requiera un mecanismo de transferencia de datos transfronterizo para exportar legalmente Datos Personales del Cliente desde una jurisdicción (por ejemplo, el EEE, California, Singapur, Suiza o el Reino Unido) hacia nosotros ubicados fuera de esa jurisdicción, esta sección aplicará. Si, en la ejecución de los Servicios, los Datos Personales del Cliente que están sujetos al GDPR o cualquier otra ley relacionada con la protección o privacidad de individuos que se aplica a este DPA son transferidos a MessageBird ubicado en países que no aseguran un nivel adecuado de protección de datos dentro del significado de la Legislación de Protección de Datos, los mecanismos de transferencia listados a continuación se aplicarán a tales transferencias y pueden ser directamente exigibles por las partes en la medida en que dichas transferencias estén sujetas a la Legislación de Protección de Datos:
9.3.1 Las partes acuerdan que las Cláusulas Contractuales Estándar se aplicarán a los Datos Personales del Cliente que se transfieren a través de los Servicios desde el EEE o Suiza, ya sea directamente o mediante transferencia posterior, a una entidad MessageBird ubicada en un país fuera del EEE o Suiza que no sea reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente para Suiza) como que proporciona un nivel adecuado de protección para datos personales.
9.3.1.1 Cuando actúe como un controlador de datos y MessageBird sea un procesador de datos, las Cláusulas Contractuales Estándar de Controlador a Procesador de la UE se aplicarán a cualquier transferencia de Datos Personales del Cliente desde el EEE. Cuando actúe como un procesador de datos y MessageBird sea un subprocesador, las Cláusulas Contractuales Estándar de Procesador a Subprocesador se aplicarán a cualquier transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.2 MessageBird será considerado el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Estándar. La firma de cada parte de este DPA se tratará como la firma de las Cláusulas Contractuales Estándar aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Estándar están disponibles en el Apéndice I y el Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar, las Cláusulas Contractuales Estándar prevalecerán únicamente con respecto a una transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.3 Cuando las Cláusulas Contractuales Estándar requieran que las partes elijan entre cláusulas opcionales e ingresen información, las partes lo han hecho como se establece a continuación:
La Cláusula Opcional 7 “cláusula de acoplamiento” no será adoptada.
Para la Cláusula 9 “Uso de subprocesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización general por escrito: el importador de datos tiene la autorización general del controlador para el compromiso de subprocesador(es) de una lista acordada. El importador de datos informará específicamente al controlador por escrito sobre cualquier cambio previsto en esa lista mediante la adición o reemplazo de subprocesadores al menos 10 días hábiles de antelación, proporcionando así al controlador suficiente tiempo para oponerse a tales cambios antes del compromiso del subprocesador. El importador de datos proporcionará al exportador de datos la información necesaria para permitir al exportador de datos ejercer su derecho a objetar. El importador de datos informará al exportador de datos del compromiso del subprocesador.”
Para la Cláusula 11 (a) “Reparación”, las partes no adoptan la Opción.
Para la Cláusula 17 “Ley aplicable”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas se regirán por la ley de uno de los Estados Miembros de la UE, siempre que dicha ley permita derechos de beneficiarios terceros. Las Partes acuerdan que esta será la ley de los Países Bajos.”
Para la Cláusula 18 (b) “Elección de Foro y Jurisdicción”: “Las Partes acuerdan que serán los tribunales de los Países Bajos.”
9.3.2 Las partes acuerdan que las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido se aplicarán a los Datos Personales del Cliente que se transfieren a través de los Servicios desde el Reino Unido, ya sea directamente o mediante transferencia posterior, a una entidad de MessageBird ubicada en un país fuera del Reino Unido que no sea reconocido por la autoridad reguladora competente del Reino Unido o el organismo gubernamental del Reino Unido como que proporciona un nivel adecuado de protección para datos personales.
9.3.2.1 MessageBird será considerado el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido. La firma de cada parte de este DPA se tratará como la firma de las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido están disponibles en el Apéndice I y el Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido, las Cláusulas Contractuales Estándar de Controlador a Procesador del Reino Unido prevalecerán únicamente con respecto a la transferencia de Datos Personales del Cliente desde el Reino Unido.
10. Auditoría
10.1 Informe de Auditoría. Nuestra plataforma de comunicación será auditada regularmente conforme al estándar ISO 27001:2013 (o equivalente). La auditoría, a nuestra sola discreción, puede ser una auditoría interna o realizada por un tercero. A solicitud por escrito, le proporcionaremos un resumen del informe de auditoría (“Informe de Auditoría”), para que pueda verificar nuestro cumplimiento de los estándares de auditoría y este DPA. Dichos Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son nuestra Información Confidencial.
10.2 Solicitudes de información del Cliente. Pondremos a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA. Proporcionaremos respuestas por escrito a solicitudes razonables de información hechas por usted, incluidas respuestas a cuestionarios de seguridad de la información y auditoría que sean razonables en alcance y necesarios para confirmar el cumplimiento de este DPA, siempre que usted (i) haya hecho un esfuerzo razonable por obtener la información solicitada de la Documentación, Informes de Auditoría y otra información proporcionada o hecha pública por nosotros, y (ii) no ejerza este derecho más de una vez al año, a menos que una Brecha de Datos Personales o un cambio significativo en nuestras actividades de procesamiento en relación con los Servicios requiera que se ejecute un cuestionario adicional. Todas las respuestas proporcionadas son nuestra Información Confidencial.
10.3 Auditoría del Cliente. Si un Informe de Auditoría proporcionado por nosotros a usted le da razones fundamentadas para creer que estamos incumpliendo nuestras obligaciones bajo este DPA, relacionadas con los Datos Personales del Cliente proporcionados por usted, permitiremos que un auditor tercero independiente y calificado designado por usted y aprobado por nosotros, audite las actividades de procesamiento de Datos Personales relevantes aplicables, siempre que se cumplan los siguientes requisitos:
a. Usted deberá notificarnos con al menos sesenta (60) días de anticipación razonable antes de ejercer el derecho de auditoría;
b. El auditor acepta obligaciones de confidencialidad estándar del mercado con nosotros;
c. Usted y el auditor toman medidas para minimizar la interrupción de nuestras operaciones comerciales;
d. La auditoría se llevará a cabo durante el horario comercial habitual;
e. No estaremos obligados a proporcionar acceso a los datos de clientes de otros clientes o sistemas no involucrados en la prestación de los Servicios; y
f. Usted deberá pagar todos los costos de la auditoría.
11. Eliminación y Devolución de los Datos Personales del Cliente
Tras la terminación o expiración del Acuerdo, nosotros (a su elección) eliminaremos o le devolveremos todos los Datos Personales del Cliente (incluidas copias) que estén en nuestra posesión o control, salvo que este requisito no se aplicará en la medida en que la ley nos obligue a retener algunos o todos los Datos Personales del Cliente. Si nos instruye que eliminemos los Datos Personales del Cliente, los Datos Personales del Cliente archivados en nuestros sistemas de respaldo estarán protegidos de un procesamiento posterior, y se eliminarán cuando haya pasado el período de retención requerido.
12. Comunicación y Derechos del Cliente Afiliado
La celebración de este DPA en nombre y en representación de una Afiliada del Cliente, según lo establecido en la Sección 1.2, constituye un DPA separado entre nosotros y esa Afiliada del Cliente, sujeto a lo siguiente:
12.1. Comunicación. El Cliente que es la parte contratante del Acuerdo seguirá siendo responsable de coordinar toda la comunicación con nosotros en virtud de este DPA y tendrá derecho a hacer y recibir cualquier comunicación relacionada con este DPA en nombre de sus Afiliadas del Cliente.
12.2 Derechos de las Afiliadas del Cliente. Cuando una Afiliada del Cliente se convierta en parte del DPA con nosotros, tendrá, en la medida requerida por la Legislación de Protección de Datos, derecho a ejercer los derechos y buscar remedios bajo este DPA, sujeto a lo siguiente:
(i) A menos que la Legislación de Protección de Datos requiera que la Afiliada del Cliente ejerza un derecho o busque un remedio bajo este DPA contra MessageBird directamente por sí misma, las partes acuerdan que (i) únicamente el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscará cualquier remedio en nombre de la Afiliada del Cliente, y (ii) el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho bajo este DPA no de forma separada para cada Afiliada del Cliente individualmente, sino de manera combinada para sí mismo y todas sus Afiliadas del Cliente en conjunto.
(ii) Las partes acuerdan que el Cliente que es la parte contratante del Acuerdo tomará todas las medidas razonables para limitar cualquier impacto en nosotros cuando se lleve a cabo, en su nombre, una auditoría in situ de los procedimientos relevantes para la protección de los Datos Personales del Cliente, según lo establecido en la Sección 10.3 de este DPA, al combinar, en la medida razonablemente posible, varias solicitudes de auditoría llevadas a cabo en nombre de sí mismo y todas sus Afiliadas del Cliente en una sola auditoría.
Para mayor claridad, una Afiliada del Cliente no se convierte en una parte contratante del Acuerdo.
13. Ley de Privacidad del Consumidor de California
Hacemos los siguientes compromisos adicionales con usted con respecto al procesamiento de Datos Personales de Clientes dentro del alcance de la CCPA.
13.1 Nuestras Obligaciones. Cumpliremos con la CCPA y trataremos todos los Datos Personales de Clientes sujetos a la CCPA (“CCPA Personal Data”) de acuerdo con las disposiciones de la CCPA. Con respecto a CCPA Personal Data, somos un proveedor de servicios bajo la CCPA. No (a) venderemos CCPA Personal Data; (b) retendremos, usaremos o divulgaremos cualquier CCPA Personal Data para cualquier propósito que no sea el propósito específico de proporcionar los Servicios, incluyendo retener, usar o divulgar CCPA Personal Data para un propósito comercial que no sea proporcionar los Servicios; o (c) retendremos, usaremos o divulgaremos CCPA Personal Data fuera de nuestra relación comercial directa con usted. El Procesamiento de CCPA Personal Data autorizado por sus instrucciones en los Términos y este DPA es integral para nuestra prestación de los Servicios. Usted reconoce y acepta que nuestro acceso a los Datos de Cliente no constituye parte de la contraprestación intercambiada bajo el Acuerdo. En la medida en que cualquier dato de uso sea considerado CCPA Personal Data, somos el negocio con respecto a tales datos y procesaremos esos datos de acuerdo con nuestra Declaración de Privacidad. Los términos “negocio”, “propósito comercial”, “proveedor de servicios” y “vender” tal como se utilizan en esta Sección 13.1 tienen los significados que se les da en la CCPA. Ambas partes certifican que entienden y cumplirán con las obligaciones y restricciones establecidas en este DPA y el Acuerdo como se requiere bajo la CCPA.
13.2 Obligaciones del Cliente. Usted declara y garantiza que ha notificado al Usuario Final que los Datos Personales están siendo utilizados o compartidos de acuerdo con los términos y condiciones previstos en la Sección 1798.140(t)(2)(C)(i) de la CCPA. Usted es responsable del cumplimiento de los requisitos de la CCPA aplicables a usted como controlador de datos.
14. Ley Aplicable y Resolución de Disputas
La Sección 13 de los Términos se aplicará a cualquier Disputa que surja de o esté relacionada con este DPA, a menos que la Legislación de Protección de Datos disponga lo contrario.
APÉNDICE I - DETALLES DEL PROCESAMIENTO
Cuando sea aplicable, este Anexo 1 servirá como Anexo I a las Cláusulas Contractuales Tipo del EEE.
Anexo I, Parte A. Lista de Partes
Exportador de datos: Cliente
Detalles de contacto del exportador de datos: La dirección que figura en la cuenta del Cliente, o el correo electrónico del propietario de la cuenta del Cliente, o a las direcciones de correo electrónico a las que el Cliente elija recibir notificaciones bajo el Acuerdo.
Rol del exportador de datos: El rol del exportador de datos se describe en la Sección 4 del DPA.
Firma y fecha: Si aplica, el exportador de datos se considera que ha firmado las Cláusulas Contractuales Tipo incorporadas aquí a partir de la Fecha Efectiva del DPA.
Importador de datos: MessageBird B.V.
Detalles de contacto del importador de datos: Trompenburgstraat 2-C, 1079TX, Ámsterdam, Países Bajos, Oficial de Protección de Datos - privacy@bird.com
Rol del importador de datos: El importador de datos actúa como procesador de datos.
Firma y fecha: Si aplica, el importador de datos se considera que ha firmado las Cláusulas Contractuales Tipo incorporadas aquí a partir de la Fecha Efectiva del DPA.
Anexo I, Parte B. Descripción de la Transferencia
1. Categorías de sujetos de datos cuyos Datos Personales se transfieren: Usuarios. Personas de contacto del Cliente (personas naturales) o empleados, contratistas o trabajadores temporales (actuales, potenciales, antiguos) que usen los Servicios a través de la cuenta del Cliente (“Usuarios”);Usuarios Finales. Cualquier individuo (i) cuyos datos de contacto estén incluidos en las listas de contactos del Cliente; (ii) cuya información esté almacenada o recopilada a través de los Servicios, o (ii) a quien el Cliente envía comunicaciones o interactúa o se comunica a través de los Servicios (colectivamente, “Usuarios Finales”). Usted, como Cliente, determina únicamente las categorías de sujetos de datos incluidas en la comunicación enviada a través de nuestra plataforma de comunicación.
2. Categorías de Datos Personales transferidos: Datos Personales del Cliente contenidos en, contenido de comunicación, datos de tráfico, datos de Usuarios Finales y datos de uso del cliente. Contenido de comunicación, que puede incluir Datos Personales u otras características personalizadas, dependiendo del contenido de comunicación según lo determinado por usted como Cliente. Datos de tráfico, que pueden incluir Datos Personales del Cliente sobre el enrutamiento, duración o tiempo de una comunicación, como llamada de voz, SMS o correo electrónico, ya sea que se refiera a un individuo o a una empresa. Datos de Usuarios Finales, como número de teléfono, dirección de correo electrónico, nombre, apellido, nombre de perfil, país, identificador del canal. Datos de uso del cliente, pueden contener datos que pueden vincularse a usted como individuo incluidos en datos estadísticos e información relacionada con sus actividades de cuenta y servicio, perspectivas y reportes analíticos relacionados con la comunicación enviada y el soporte al cliente.
3. Datos sensibles transferidos (si aplicable) y restricciones o salvaguardas aplicadas que consideren completamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo limitación estricta de propósito, restricciones de acceso (incluido el acceso solo para el personal que haya realizado formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.
(a) Contenido de comunicación. De vez en cuando, los datos sensibles pueden ser procesados a través de los Servicios cuando usted o sus Usuarios Finales eligen incluir datos sensibles dentro de las comunicaciones que se transmiten utilizando los Servicios. Usted es responsable de garantizar que se implementen adecuadas salvaguardas antes de transmitir o procesar, o antes de permitir que sus Usuarios Finales transmitan o procesen cualquier dato sensible a través de los Servicios, de acuerdo con la Sección 3.2 del Acuerdo.
(b) Datos de tráfico, datos de Usuarios Finales y datos de uso del cliente. No se contienen datos sensibles en los datos de tráfico, de Usuarios Finales o de uso del cliente.
4. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de manera única o continua): Los Datos Personales del Cliente se transfieren de manera continua durante la duración del Acuerdo.
5. Naturaleza del procesamiento: Procesaremos los Datos Personales del Cliente en la medida necesaria para proporcionar los Servicios bajo el Acuerdo. No vendemos ningún Dato Personal, incluidos los Datos Personales del Cliente, ni compartimos Datos Personales con terceros para compensación o para los intereses comerciales propios de esos terceros.
6. Propósito(s) de la transferencia de datos y procesamiento adicional: Procesaremos los Datos Personales del Cliente como procesador de datos de acuerdo con las instrucciones del Cliente según se establece en este DPA, a menos que el procesamiento sea necesario para cumplir con una obligación legal a la que estamos sujetos, en cuyo caso clasificaremos como controlador de datos.
Contenido de comunicación, datos de tráfico, datos de Usuarios Finales y datos de uso del cliente. Los Datos Personales contenidos en el contenido de comunicación, los datos de tráfico, los datos de Usuarios Finales y los datos de uso del cliente estarán sujetos a las siguientes actividades básicas de procesamiento:
(a) Contenido de comunicación. La prestación de productos y servicios de comunicación programables, ofrecidos en forma de interfaces de programación de aplicaciones (APIs) o a través del Tablero, al Cliente, incluyendo la transmisión hacia o desde la aplicación de software del Cliente desde o hacia nuestra plataforma de comunicación y otras redes de comunicación.
(b) Datos de tráfico. Los datos de tráfico se procesan para el propósito de transmitir la comunicación en una red de comunicaciones electrónicas o para la facturación respecto a esa comunicación. Esto puede incluir Datos Personales del Cliente sobre el enrutamiento, duración o tiempo de una comunicación, como llamada de voz, SMS o correo electrónico, ya sea que se refiera a un individuo o a una empresa.
(c) Datos de Usuarios Finales. Los Datos Personales de los Usuarios Finales son necesarios para realizar los Servicios y solo se procesarán para los fines de transmisión de comunicaciones, soporte al cliente y garantizar el cumplimiento de las obligaciones legales de MessageBird.
(d) Datos de uso del cliente. Los Datos Personales contenidos en los datos de uso del cliente estarán sujetos a las actividades de procesamiento de proporcionar los Servicios bajo el Acuerdo, con el objetivo de proporcionar al Cliente informes analíticos y perspectivas relacionadas con los servicios, comunicación enviada, soporte al cliente, y mejora continua de los Servicios.
7. El período durante el cual se retendrán los Datos Personales, o, si no es posible, los criterios utilizados para determinar ese período:
(a) Contenido de comunicación y datos de tráfico. Para el contenido del cliente y los datos de tráfico contenidos en los Servicios de SMS y Voz se aplica un período de retención de seis meses;
Para los Servicios de 24sessions el contenido del cliente y los datos de tráfico se retienen por un mínimo de 30 días hasta la duración acordada con usted;
Para todos los demás servicios, el contenido del cliente y los datos de tráfico se retienen durante la duración de los Servicios, excepto si usted elimina el contenido del cliente o los datos de tráfico a través de las medidas técnicas y organizativas proporcionadas a través de los Servicios.
(b) Datos de Usuarios Finales. Los datos de Usuarios Finales se procesarán por la duración determinada por el Cliente, cuando los datos de Usuarios Finales estén incluidos en sus perfiles de contacto el período de retención predeterminado es por la duración de los Servicios, sujeto a la Sección 6(c) de este Anexo I, Parte B.
(c) Datos de uso del cliente. Tras la terminación del Acuerdo, podemos retener, usar y divulgar los Datos de Uso del Cliente para los fines establecidos en la Sección 6(d) de este Anexo I, Parte B, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo. Anonimizaremos o eliminaremos los datos de uso del cliente cuando ya no los requiramos para los fines establecidos en la Sección 6(d) de este Anexo I, Parte B.
8. Para transferencias a (sub)procesadores, también especifique el tema, la naturaleza y la duración del procesamiento: Para transferencias a Subprocesadores, el tema y la naturaleza del procesamiento se describen en https://www.bird.com/legal/privacy#processorList y la duración es por la duración del Acuerdo.
Anexo I, Parte C. Autoridad Supervisora Competente
La Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) será la autoridad supervisora competente.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Cuando sea aplicable, este Apéndice II servirá como Anexo II a las Cláusulas Contractuales Estándar. A continuación se proporciona más información sobre nuestras medidas técnicas y organizativas de seguridad establecidas a continuación.
Medidas Técnicas y Organizativas de Seguridad:
Medidas de seudonimización y protección de los Datos Personales en almacenamiento y tránsito: Todos los Datos Personales están encriptados en tránsito y en reposo, y, en la medida en que sea relevante desde el punto de vista de la seguridad, tratados como si se clasificaran como datos sensibles. La información se transmite siempre por TLS con metodologías de encriptación actualizadas por defecto.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento: celebramos acuerdos que contienen disposiciones de confidencialidad con nuestros empleados, contratistas, proveedores y Subprocesadores. Nuestra política de continuidad del negocio es preparar nuestro negocio y servicios en caso de apagones prolongados causados por factores fuera de nuestro control y restaurar servicios en la mayor medida posible en un tiempo mínimo. Entendemos que los servicios que prestamos son críticos para nuestros clientes y, por lo tanto, tenemos muy poca tolerancia a las interrupciones del servicio. Nuestros plazos de recuperación están diseñados para asegurar que podamos cumplir con nuestras obligaciones hacia todos nuestros clientes.
Procesos para probar, evaluar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento: El objetivo de la seguridad de la información y nuestro Sistema de Gestión de Seguridad de la Información (ISMS) es proteger la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios, clientes y los sistemas de información (autorizados), y minimizar el riesgo de daños ocurriendo al prevenir incidentes de seguridad y gestionar amenazas y vulnerabilidades de seguridad. Nuestro equipo legal, el Oficial de Protección de Datos y el equipo de Seguridad y Cumplimiento se aseguran de que las regulaciones y estándares aplicables se incorporen a nuestros marcos de seguridad.
Medidas para la identificación y autorización de usuarios: Seguimos los principios de “necesidad de saber” y “mínimo privilegio”. Promovemos el uso del control de acceso basado en roles. La provisión y desaprovisionamiento es supervisada por el equipo de seguridad, con Inicio de Sesión Único y 2FA por defecto. Se han definido propietarios para cada activo de información, quienes son responsables de garantizar que el acceso a sus sistemas sea apropiado y revisado regularmente. Siempre que se maneja información sensible o se toma una acción crítica, utilizamos el principio de cuatro ojos.
Medidas para garantizar el registro de eventos: Los registros de auditoría se almacenan centralmente y se monitorean regularmente para eventos de seguridad y se mantienen seguros para evitar el riesgo de manipulación. La Política de Gestión de Incidentes refuerza el plan de respuesta a incidentes y sus procedimientos. Estas directrices se siguen si ocurre cualquier tipo de incidente de seguridad o técnico. En caso de que ocurran incidentes de seguridad, serán revisados regularmente por el Comité de Dirección de Seguridad, que consiste en partes interesadas senior de toda la empresa.
Medidas para garantizar la configuración de sistemas, incluida la configuración por defecto: Seguimos un proceso de gestión de cambios coherente para todos los cambios en el entorno de producción de la Plataforma de Comunicación como un Servicio. Para elaborar más, todas las solicitudes de cambios (RFC) deben ser aprobadas por una parte designada y ejecutadas de acuerdo con el proceso formal de control de cambios. El proceso de control asegura que los cambios propuestos sean revisados, autorizados, probados, implementados y liberados de manera controlada; y que el estado de cada cambio propuesto sea monitoreado. Se siguene las configuraciones base para configurar los sistemas de forma segura siguiendo las mejores prácticas. Además, dentro del departamento de Ingeniería, se utiliza un radar tecnológico para definir qué tecnologías (lenguajes, herramientas de plataforma, bases de datos y herramientas de gestión de datos) pueden adoptarse o deben evitarse durante el desarrollo.
Medidas para la seguridad física: Promovemos activamente una política de “Trabajar desde Cualquier Lugar”, por lo que nuestros empleados son libres de trabajar desde cualquier lugar que deseen. Sin embargo, aún tenemos nuestras oficinas. No tenemos áreas seguras/centros de datos en nuestras oficinas, ya que somos una empresa completamente basada en la nube. Los pisos de nuestras oficinas están protegidos por controles de acceso físico, CCTV y seguridad humana.
Medidas para el gobierno y gestión de TI y seguridad interna de TI: Mantenemos un programa de seguridad basado en evaluaciones de riesgos, que incluye salvaguardas administrativas, organizacionales, técnicas y físicas, diseñadas para proteger los Servicios y la confidencialidad, integridad y disponibilidad de los Datos del Cliente. Nuestro programa de seguridad de la información está configurado de manera sistemática y bien organizada. Además, se aplican requisitos legales y regulatorios para asegurar la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios y clientes. Todo esto se traduce en nuestras políticas, procedimientos y guías de seguridad de la información. Tenemos un Comité de Dirección de Seguridad que es responsable del nivel táctico de seguridad de la información. Esto implica la coordinación de actividades de seguridad de la información y la traducción de actividades estratégicas a actividades operacionales para nuestra seguridad y nuestro mantenimiento continuo del cumplimiento normativo. Todos los empleados son responsables de salvaguardar los activos de la empresa. Todos nuestros empleados son revisados por experiencia, conocimientos y honestidad. Se informa a los empleados sobre la seguridad y protección de datos en la etapa de incorporación, así como a través de formación específica para el equipo regularmente, y otras presentaciones para toda la compañía sobre la importancia de la protección de datos y cumplimiento de seguridad. MessageBird está certificada ISO/IEC 27001:2013, los estándares reconocidos globalmente para Sistemas de Gestión de Seguridad de la Información (ISMS).
Todos nuestros proveedores de hosting cumplen con ISO/IEC 27001:2013.
También estamos registrados en la Autoridad Holandesa para Consumidores y Mercados. Esto significa que siempre somos responsables y totalmente transparentes con nuestros clientes.
Somos miembro asociado de la Asociación Groupe Speciale Mobile (GSMA). La GSMA representa los intereses de los operadores móviles en todo el mundo. Siempre estamos al día con todas las leyes y regulaciones aplicables, incluido el Reglamento General de Protección de Datos.
Medidas para certificaciones/aseguramiento de procesos y productos: Nos sometemos a rigurosos controles de vigilancia y auditorías de certificación como parte de nuestro cumplimiento con ISO/IEC 27001:2013, y regularmente ejecutamos pruebas de vulnerabilidad de aplicaciones y pruebas de penetración. MessageBird adopta un enfoque unificado para la gestión de parches y vulnerabilidades para asegurar que nuestros tiempos estándar de SLA se mantengan, ya sea que existan vulnerabilidades en nuestra infraestructura subyacente, plataformas operativas o código fuente.
Medidas para la seguridad de aplicaciones: Aseguramos la seguridad de nuestras aplicaciones durante la fase de diseño y desarrollo siguiendo las Guías de Código Seguro de MessageBird.
Se implementan correcciones apropiadas antes del lanzamiento.
Los cambios de código son revisados por individuos capacitados (que estén familiarizados con la revisión de código y el desarrollo seguro) que no sean los desarrolladores originales.
Las aplicaciones se someterán a pruebas rigurosas de seguridad de aplicaciones para identificar cualquier nueva amenaza y vulnerabilidad al menos anualmente (de acuerdo con los estándares de la industria y las mejores prácticas).
Todos los cambios de código para aplicaciones que se lanzan a entornos de producción son revisados usando procesos manuales y/o automatizados.
Se realizan pruebas de penetración anualmente y caso por caso en nuevos productos/características. Se están utilizando herramientas automatizadas de análisis de código fuente para detectar defectos de seguridad en el código antes del despliegue, basándose en el lenguaje.
Medidas para la divulgación de vulnerabilidades: Agradecemos a los investigadores de seguridad que hayan encontrado vulnerabilidades en nuestra plataforma que se pongan en contacto con nosotros y envíen sus hallazgos a security@bird.com. Tenemos un equipo de seguridad dedicado que sigue adelante e invita a nuestro programa de recompensas por errores para investigar y remediar donde sea necesario.
Medidas para garantizar la responsabilidad: Implementamos políticas de seguridad de la información y protección de datos de acuerdo con las leyes aplicables y publicamos una visión general de la información relevante de nuestro ISMS (enlace). Hemos designado un VP dedicado, Cumplimiento y Seguridad de la Información y un Oficial de Protección de Datos, y mantenemos documentación de nuestras actividades de procesamiento, incluyendo el registro y reporte de incidentes de seguridad que involucran Datos Personales cuando sea aplicable.
