Data Processing Agreement Mayo 2023
Este Acuerdo de Procesamiento de Datos se aplica a usted si se registró en los Servicios de MessageBird (incluidos a través de cualquiera de sus Afiliados) antes, en o después del 3 de mayo de 2023. Nuestro Acuerdo de Procesamiento de Datos archivado está disponible aquí.
Este Acuerdo de Procesamiento de Datos, incluidas las apéndices, (“DPA”) forma parte del Acuerdo entre MessageBird y el Cliente para la compra de servicios de comunicación (en línea) de MessageBird para reflejar el acuerdo de las Partes con respecto al procesamiento de Datos Personales del Cliente. En este DPA, los términos “usted”, “su”, o “Cliente” se refieren a usted (sujeto a la Sección 1.2 a continuación), y los términos “nosotros”, “nuestro”, o “MessageBird” se refieren a nosotros. Los términos en mayúsculas utilizados en este DPA pero no definidos a continuación se definen en los Términos y Condiciones Generales de MessageBird u otro Acuerdo con nosotros que rija su uso de los Servicios.
Las partes acuerdan que este DPA reemplazará cualquier adición de protección de datos existente o acuerdo similar que las partes puedan haber celebrado previamente en relación con los Servicios.
1. Scope, Customer Affiliates and Term
1.1 Alcance. Este DPA rige el procesamiento de Datos Personales del Cliente por MessageBird como procesador.
1.2 Afiliados del Cliente. El Cliente celebra este DPA en su propio nombre y, en la medida requerida bajo las Leyes de Protección de Datos, en nombre y representación de sus Afiliados (según se define en los Términos), si y en la medida en que proporcione a dichos Afiliados acceso a los Servicios y procesemos los Datos Personales del Cliente para los cuales tales Afiliados califiquen como el controlador de datos (“Afiliados del Cliente”). Para los propósitos de este DPA solamente, y excepto donde se indique lo contrario, los términos “Cliente” y “usted” incluirán al Cliente y a los Afiliados del Cliente.
2. Definitions
“Account Data” es cualquier dato personal proporcionado por usted o para usted a MessageBird en conexión con la firma y administración del Acuerdo y de su cuenta, incluyendo, entre otros, información de contacto, detalles de facturación y correspondencia sobre la firma y administración del Acuerdo y los Servicios relacionados.
“CCPA” significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier reglamento promulgado bajo la misma, en cada caso, según se enmiende de vez en cuando.
“Customer Data” significa cualquier dato y otra información o contenido enviado por usted o para usted (o por un usuario de su aplicación de cliente) bajo el Acuerdo y procesado o almacenado por los Servicios.
“Customer Personal Data” significa datos personales contenidos en los datos del cliente procesados por MessageBird como procesador, a menos que se especifique lo contrario en este DPA.
“Data Protection Laws” significa todas las leyes y reglamentos de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o procesamiento de datos personales bajo el Acuerdo, incluyendo, por ejemplo y donde sea aplicable, el GDPR o la CCPA.
“EEA” significa, para los propósitos de este DPA, el Espacio Económico Europeo y Suiza.
“GDPR” significa ya sea (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en cuanto al procesamiento de datos personales y sobre el libre movimiento de tales datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos de 2018.
“MessageBird” significa la Entidad de MessageBird que es parte de este DPA, siendo la entidad contratante listada en la Sección 15 en los Términos y Condiciones Generales (Entidad Contratante), a menos que se indique lo contrario en su formulario de pedido. Usted o MessageBird también pueden ser referidos individualmente como una “Parte” y conjuntamente como “Partes” en este DPA.
“Personal Data” significa cualquier información relacionada con una persona natural identificada o identificable directa o indirectamente, ya sea por sí sola o en combinación con otra información.
“Personal Data Breach” significa cualquier destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilegal a los Datos Personales del Cliente y cualquier otro término similar bajo las Leyes de Protección de Datos aplicables, como “Incidencia de Seguridad.”
“Services” significa todos los productos y servicios proporcionados por nosotros o nuestras Afiliadas que son (a) ordenados por usted bajo cualquier formulario de pedido; o (b) usados por usted.
“Standard Contractual Clauses” significa Claúsulas Contractuales Estándar de Controlador a Procesador (Módulo Dos) o Procesador a Procesador (Módulo Tres), como corresponda, de las Claúsulas Contractuales Estándar para la transferencia de Datos Personales a terceros países según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo aprobadas por la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 de la Comisión Europea, tal como se establece actualmente en https://eurlex.europa.eu/eli/dec_impl/2021/914/oj,.
“Sub-processor” significa una entidad de terceros que procesa Datos Personales del Cliente en nombre de la entidad MessageBird que actúa como un procesador de datos o un Sub-procesador.
“UK Standard Contractual Clauses” significa cualquiera o todas las siguientes: (i) acuerdo de transferencia de datos internacionales emitido por el Comisionado de Información del Reino Unido bajo la sección 119A de la DPA 2018; (ii) el anexo de transferencia de datos internacionales a las claúsulas contractuales estándares de la Comisión Europea para transferencias internacionales de datos emitidas por el Comisionado de Información del Reino Unido bajo la sección 119A de la DPA 2018; o (iii) tales disposiciones contractuales estándar emitidas por el Comisionado de Información del Reino Unido o la Comisión Europea que puedan reemplazar estas, de vez en cuando.
Términos como “procesamiento”, “controlador de datos”, “procesador de datos”, “sujeto de datos”, etc. tendrán el significado asignado a ellos bajo el GDPR. La definición de “controlador de datos” incluye “negocio”, “consumidor”, “controlador” y “organización”; “procesador de datos” incluye “proveedor de servicios”, “procesador” y “intermediario de datos”; “sujeto de datos” incluye “consumidor” e “individuo”; y “Datos Personales” incluye “información personal”, en cada caso como se define bajo la CCPA, y otras Leyes de Protección de Datos aplicables. Los términos “propósito comercial”, “propósito comercial”, “vender” y “compartir” tendrán el mismo significado que en las Leyes de Protección de Datos aplicables y, en cada caso, sus términos afines se interpretarán en consecuencia.
3. Processing of Customer Personal Data
3.1 Fines. Procesaremos los Datos Personales del Cliente solo en la medida necesaria (i) para proporcionar los Servicios, incluyendo la transmisión de comunicación, asegurando la seguridad de los servicios, proporcionando informes técnicos y de entrega, proporcionando soporte y desarrollando e implementando mejoras y actualizaciones de acuerdo con sus instrucciones documentadas hacia nosotros como procesador de datos como se especifica en la Sección 3.2 de este DPA, (ii) para nuestros propósitos comerciales legítimos como se especifica en la Sección 3.4 de este DPA como controlador de datos, y (iii) según lo requerido por la ley aplicable.
3.2 Instrucciones del Cliente. El Acuerdo y este DPA constituyen sus instrucciones completas hacia nosotros como procesador de datos en el momento de la firma de este DPA. Cumpliremos con otras instrucciones documentadas razonablemente siempre que esas instrucciones sean consistentes con los términos del Acuerdo.
3.3 Detalles del Procesamiento. El Anexo I, Parte B (Descripción de la transferencia) del Apéndice I de este DPA especifica la naturaleza y el propósito del procesamiento por nosotros como procesador de datos o Subprocesador, las actividades de procesamiento, la duración del procesamiento, los tipos de Datos Personales, y las categorías de sujetos de datos.
3.4 Propósitos Legítimos de Negocio. Usted reconoce que procesamos los Datos Personales del Cliente como un controlador de datos independiente en la medida necesaria para los siguientes propósitos legítimos de negocio: facturación, gestión de cuentas, informes financieros e internos, combatir y prevenir amenazas de seguridad, ciberataques, y ciberdelitos que puedan afectarlo a usted, a nosotros o a nuestros servicios, modelación de negocios (por ejemplo, pronóstico, planificación de capacidad e ingresos, y estrategia de productos), prevención y detección de fraude, spam y abuso, mejora de productos o servicios en el conjunto de MessageBird, y para cumplir con nuestras obligaciones legales.
4. Obligaciones del Cliente
4.1 Legalidad. Donde actúes como controlador de datos de Customer Personal Data, garantizas que todas las actividades de procesamiento son legales, tienen un propósito específico, y se encuentran en su lugar todos los avisos y consentimientos requeridos u otra base legal apropiada para permitir la transferencia legal de los Customer Personal Data. Si eres un procesador de datos (en cuyo caso actuaremos como un Sub-procesador), asegurarás que el controlador de datos relevante garantiza que se cumplen las condiciones enumeradas en esta Sección 4.1.
4.2 Cumplimiento. Eres el único responsable de (a) asegurarte de que cumples con las Leyes de Protección de Datos aplicables a tu uso de los Servicios y a tu propio procesamiento de Customer Personal Data, (b) hacer una evaluación independiente de si las medidas técnicas y organizativas de los Servicios cumplen con tus requisitos, y (c) implementar y mantener medidas de privacidad y seguridad para los componentes que proporcionas o controlas (incluidos pero no limitados a contraseñas, dispositivos usados con los Servicios y Customer Applications).
5. Security
5.1 Medidas de Seguridad. Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas naturales, implementaremos y mantendremos medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente de las Infracciones de Datos Personales y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos del Cliente que nuestros sistemas utilizan para procesar los Datos Personales del Cliente. Las medidas de seguridad aplicadas por nosotros se describen en el Apéndice II.
5.2 Actualizaciones de las Medidas de Seguridad. Usted es responsable de revisar la información puesta a su disposición por nosotros en relación con la seguridad de los Datos Personales del Cliente y de hacer una evaluación independiente de si dicha información cumple con sus requisitos y obligaciones legales bajo las Leyes de Protección de Datos. Usted reconoce que las medidas de seguridad están sujetas a progreso y desarrollo técnico, y que podemos actualizar o modificar nuestras medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Datos Personales del Cliente.
5.3 Controles de Acceso. Aplicamos los principios de "necesidad de saber" y "mínimo privilegio" asegurando que el acceso a los Datos Personales del Cliente esté limitado a aquel Personal requerido para la provisión de los Servicios y de acuerdo con el Acuerdo, incluyendo este DPA.
5.4 Confidencialidad del Procesamiento. Aseguraremos que cualquier persona o parte autorizada por nosotros para procesar los Datos Personales del Cliente (incluyendo nuestro personal, agentes y Subprocesadores) esté informada de la naturaleza confidencial de dichos Datos Personales del Cliente y estará bajo una obligación de confidencialidad apropiada (ya sea una obligación contractual o estatutaria) que sobreviva a la terminación de su compromiso.
5.5 Respuesta y Notificación de Infracción de Datos Personales. Al tener conocimiento de una Infracción de Datos Personales, nosotros sin demora indebida (i) le notificaremos, (ii) investigaremos la Infracción de Datos Personales, (iii) proporcionaremos información oportuna relacionada con la Infracción de Datos Personales a medida que se vaya conociendo o según usted lo solicite razonablemente, y (iv) tomaremos pasos comercialmente razonables para mitigar los efectos y prevenir la recurrencia de la Infracción de Datos Personales.
6. Assistance
6.1 Asistencia para la Protección de Datos. Le proporcionaremos la asistencia razonablemente solicitada para permitirle cumplir con sus obligaciones bajo las Leyes de Protección de Datos, incluyendo la notificación de una Violación de Datos Personales, evaluando el nivel de seguridad adecuado del procesamiento, y ayudándole con la realización de una evaluación de impacto de protección de datos relevante.
6.2 Asistencia con los Derechos de los Sujetos de Datos. Le proporcionaremos asistencia razonable para permitirle cumplir con sus obligaciones hacia los sujetos de datos que ejercen sus derechos bajo las Leyes de Protección de Datos, poniendo a su disposición medidas técnicas y organizativas a través de su cuenta. Para evitar dudas, usted, como controlador de datos, es responsable de procesar cualquier solicitud o queja de los sujetos de datos con respecto a los Datos Personales del Cliente de un sujeto de datos.
7. Disclosure and Disclosure Requests
7.1 Limitaciones sobre la Divulgación y el Acceso. No proporcionaremos acceso ni divulgaremos los Datos Personales del Cliente excepto (i) según lo indique usted, (ii) según lo establecido en el Acuerdo y este DPA, o (iii) según lo requiera la ley.
7.2 Solicitudes de Divulgación. Le notificaremos tan pronto como sea razonablemente posible si recibimos una solicitud de un organismo gubernamental o regulador para divulgar Datos Personales del Cliente, a menos que dicha notificación esté prohibida por la ley. Manejaremos las solicitudes de divulgación de acuerdo con la política de solicitudes de divulgación disponible en https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Lista de Subprocesadores Actuales. Usted acepta la participación de los Subprocesadores listados en MessageBird's overview of Processors and Subprocessors bajo el encabezado “End User Personal Data”, que contiene un procedimiento para suscribirse a las notificaciones de cambios en nuestro uso de Subprocesadores. Si se suscribe a tales notificaciones, y teniendo en cuenta la Sección 8.3 de este DPA, compartiremos detalles de cualquier cambio en Subprocesadores tan pronto como sea razonablemente posible.
8.2 Nombramiento de Subprocesadores. Mediante este DPA, usted proporciona una autorización general por escrito para que contratemos Subprocesadores para el procesamiento de los Datos Personales del Cliente, sujeto a la Sección 8.3 de este DPA y los siguientes requisitos:
Restringiremos el acceso a los Datos Personales del Cliente por parte de los Subprocesadores a lo estrictamente necesario para prestar los servicios especificados en el acuerdo con el subprocesador;
Convenimos en obligaciones de protección de datos con el Subprocesador que son sustancialmente las mismas que las obligaciones bajo este DPA; y
Permanecemos responsables ante usted bajo este DPA por el cumplimiento de las obligaciones de protección de datos del Subprocesador.
9. Cross Border Transfers of Customer Personal Data
9.1 Transferencias de Datos Personales del Cliente. Podemos transferir Datos Personales del Cliente con la condición de que se apliquen todas las salvaguardas apropiadas requeridas por las Leyes de Protección de Datos. Esto puede incluir una evaluación previa del impacto de la transferencia de datos, la adopción, monitoreo y evaluación de medidas técnicas, organizativas y legales suplementarias, derechos del sujeto de datos exigibles, y que estén disponibles remedios legales efectivos para los sujetos de datos.
9.2 Cláusulas Contractuales Tipo para Subprocesadores. A menos que se aplique una decisión de adecuación o un mecanismo de transferencia alternativo, hemos celebrado y mantendremos Cláusulas Contractuales Tipo con Subprocesadores (incluidas nuestras Afiliadas) ubicados fuera del EEE, sujetos a los términos establecidos en la Sección 9.1 de este DPA.
9.3 Mecanismos de Transferencia para las Transferencias de Datos Personales del Cliente. En la medida en que su uso de los Servicios requiera un mecanismo de transferencia de datos transfronteriza para exportar legalmente Datos Personales del Cliente desde una jurisdicción (ej., el EEE, California, Singapur, Suiza o el Reino Unido) hacia nosotros ubicados fuera de esa jurisdicción, esta sección se aplicará. Si, en la prestación de los Servicios, los Datos Personales del Cliente que están sujetos al GDPR u otra ley relacionada con la protección o privacidad de los individuos que se aplica a este DPA son transferidos a MessageBird ubicados en países que no aseguran un nivel adecuado de protección de datos dentro del significado de las Leyes de Protección de Datos, los mecanismos de transferencia listados a continuación se aplicarán a tales transferencias y pueden ser directamente exigibles por las partes en la medida que dichas transferencias estén sujetas a las Leyes de Protección de Datos.
9.3.1 Las partes acuerdan que las Cláusulas Contractuales Tipo se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el EEE o Suiza, ya sea directa o mediante transferencia posterior, a una entidad de MessageBird ubicada en un país fuera del EEE o Suiza que no sea reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente de Suiza) como proporcionando un nivel adecuado de protección para los datos personales.
9.3.1.1 Cuando usted actúa como un controlador de datos y MessageBird es un procesador de datos, el Módulo Dos de la UE Controlador-a-Procesador de las Cláusulas Contractuales Tipo se aplicará a cualquier transferencia de Datos Personales del Cliente desde el EEE. Cuando usted actúa como un procesador de datos y MessageBird es un subprocesador, el Módulo Tres Procesador-a-Procesador de las Cláusulas Contractuales Tipo se aplicará a cualquier transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.2 MessageBird será considerado el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Tipo. La firma de cada parte de este DPA se considerará como la firma de las Cláusulas Contractuales Tipo aplicables, las cuales se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Tipo están disponibles en el Apéndice I y el Apéndice II de este DPA. En caso de conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo únicamente con respecto a una transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.3 Donde se requiera que las Cláusulas Contractuales Tipo permitan a las partes elegir entre cláusulas opcionales e ingresar información, las partes lo han hecho como se establece a continuación:
i. La Cláusula Opcional 7 “cláusula de adhesión” no será adoptada.
ii. Para la Cláusula 9 “Uso de subprocesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización general por escrito: el importador de datos tiene la autorización general del controlador para el compromiso de subprocesador(es) de una lista acordada. El importador de datos informará específicamente al controlador por escrito de cualquier cambio previsto en esa lista a través de la adición o el reemplazo de subprocesadores al menos 10 días hábiles por adelantado, dando así al controlador tiempo suficiente para poder objetar tales cambios antes del compromiso del subprocesador(es). El importador de datos proporcionará al exportador de datos la información necesaria para que el exportador de datos pueda ejercer su derecho a objetar. El importador de datos informará al exportador de datos sobre el compromiso del subprocesador(es).”
iii. Para la Cláusula 11 (a) “Resarcimiento”, las partes no adoptan la Opción.
iv. Para la Cláusula 17 “Ley gobernante”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de los Países Bajos.”
v. Para la Cláusula 18 (b) “Elección de Foro y Jurisdicción”: “Las Partes acuerdan que estos serán los tribunales de los Países Bajos.”
9.3.2 Las partes acuerdan que las Cláusulas Contractuales Tipo del Reino Unido se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el Reino Unido, ya sea directa o mediante transferencia posterior, a una entidad de MessageBird ubicada en un país fuera del Reino Unido que no sea reconocido por la autoridad reguladora competente del Reino Unido o el organismo gubernamental del Reino Unido como proporcionando un nivel adecuado de protección para los datos personales.
10. Audit
10.1 Informe de Auditoría. Nuestra plataforma de comunicación será auditada regularmente conforme al estándar ISO 27001:2013 (o su equivalente). La auditoría puede, a nuestra exclusiva discreción, ser una auditoría interna o una auditoría realizada por una tercera parte. Previa solicitud por escrito, le proporcionaremos un resumen del informe de auditoría («Informe de Auditoría»), para que pueda verificar nuestro cumplimiento con los estándares de auditoría y este DPA. Dichos Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son nuestra Información Confidencial.
10.2 Solicitudes de información del cliente. Pondremos a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA. Proporcionaremos respuestas por escrito a solicitudes razonables de información hechas por usted, incluyendo respuestas a cuestionarios de seguridad de la información y auditoría que sean razonables en su alcance y necesarios para confirmar el cumplimiento de este DPA, siempre que usted (i) haya hecho un esfuerzo razonable para obtener la información solicitada de la Documentación, Informes de Auditoría y otra información proporcionada o hecha pública por nosotros, y (ii) no ejercerá este derecho más de una vez al año, a menos que una Violación de Datos Personales o un cambio significativo en nuestras actividades de procesamiento en relación con los Servicios requiera que se ejecute un cuestionario adicional. Todas las respuestas proporcionadas son nuestra Información Confidencial.
10.3 Auditoría del Cliente. Si un Informe de Auditoría proporcionado por nosotros a usted le da razones fundamentadas para creer que estamos incumpliendo nuestras obligaciones bajo este DPA, relacionadas con los Datos Personales del Cliente proporcionados por usted, permitiremos que un auditor independiente y calificado designado por usted y aprobado por nosotros, audite las actividades de procesamiento de Datos Personales relevantes, siempre que, en la mayor medida permitida por la ley aplicable, se cumplan los siguientes requisitos:
Usted nos deberá dar al menos sesenta (60) días de aviso razonable antes de ejercer el derecho a auditar;
El auditor acepta las obligaciones de confidencialidad estándar de mercado con nosotros;
Usted y el auditor tomarán medidas para minimizar las interrupciones en nuestras operaciones comerciales;
La auditoría se llevará a cabo durante el horario comercial habitual;
No estaremos obligados a proporcionar acceso a los datos del cliente de otros clientes o sistemas no involucrados en la prestación de los Servicios; y
Usted deberá pagar todos los costos de la auditoría.
11. Eliminación y Devolución de Datos Personales del Cliente
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Comunicación y derechos del afiliado del cliente
La entrada en este DPA en nombre y en representación de un Afiliado del Cliente, tal como se establece en la Sección 1.2, constituye un DPA separado entre nosotros y ese Afiliado del Cliente, sujeto a lo siguiente:
12.1. Comunicación. El Cliente que es la parte contratante del Acuerdo seguirá siendo responsable de coordinar toda la comunicación con nosotros bajo este DPA y estará facultado para hacer y recibir cualquier comunicación en relación con este DPA en nombre de sus Afiliados del Cliente.
12.2 Derechos de los Afiliados del Cliente. Cuando un Afiliado del Cliente se convierta en parte del DPA con nosotros, tendrá derecho en la medida requerida bajo las Leyes de Protección de Datos a ejercer los derechos y buscar remedios bajo este DPA, sujeto a lo siguiente:
(i) A menos que las Leyes de Protección de Datos requieran que el Afiliado del Cliente ejerza un derecho o busque un remedio bajo este DPA contra MessageBird directamente por sí mismo, las partes acuerdan que (i) exclusivamente el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscará cualquier remedio en nombre del Afiliado del Cliente, y (ii) el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho bajo este DPA no por separado para cada Afiliado del Cliente individualmente sino de manera combinada para sí mismo y todos sus Afiliados del Cliente juntos.
(ii) Las partes acuerdan que el Cliente que es la parte contratante del Acuerdo, cuando se lleve a cabo una auditoría in situ de los procedimientos relevantes para la protección de los Datos Personales del Cliente, tal como se establece en la Sección 10.3 de este DPA, tomará todas las medidas razonables para limitar cualquier impacto en nosotros combinando, en la medida razonablemente posible, varias solicitudes de auditoría realizadas en nombre de sí mismo y todos sus Afiliados del Cliente en una sola auditoría.
Para mayor claridad, un Afiliado del Cliente no se convierte en una parte contratante del Acuerdo.
13. California Consumer Privacy Act.
En la medida en que sea aplicable, asumimos los siguientes compromisos adicionales con usted respecto al procesamiento de Datos Personales del Cliente dentro del alcance de la CCPA.
13.1 Nuestras Obligaciones Bajo las Leyes de Protección de Datos de EE.UU.. Los términos "propósito comercial," "propósito empresarial," "consumidor," "vender," y "compartir" tal como se utilizan en esta Sección 13.1 tienen los significados que se les atribuye en la CCPA. En la medida en que sea aplicable, cumpliremos con la CCPA y trataremos todos los Datos Personales del Cliente sujetos a la CCPA y otras Leyes de Protección de Datos de EE.UU. ("Datos Personales de EE.UU.") de acuerdo con las disposiciones de la CCPA y otras Leyes de Protección de Datos de EE.UU. Con respecto a los Datos Personales de EE.UU., somos un proveedor de servicios bajo la CCPA y un procesador de datos bajo otras Leyes de Protección de Datos de EE.UU. No venderemos Datos Personales de EE.UU. No retendremos, usaremos ni divulgaremos ningún Dato Personal de EE.UU. (i) para ningún propósito que no sea los propósitos comerciales especificados en el Acuerdo (incluyendo retener, usar o divulgar Datos Personales de EE.UU. para un propósito comercial distinto al propósito empresarial especificado en el Acuerdo o según lo permitido por la CCPA o leyes aplicables); o (ii) fuera de la relación comercial directa con usted y nosotros.
13.2 Obligaciones del Cliente. Usted declara y garantiza que ha informado al Usuario Final que los Datos Personales están siendo utilizados o compartidos de acuerdo con las Leyes de Protección de Datos aplicables. Usted es responsable del cumplimiento de los requisitos de las Leyes de Protección de Datos en la medida en que le sean aplicables como controlador de datos.
14. Ley Aplicable y Resolución de Disputas. Cualquier disputa, reclamación, o controversia (“Disputas”) que surja de o esté relacionada con este DPA estará regida y se interpretará de acuerdo con las leyes de los Países Bajos. Cada Parte acuerda que los tribunales competentes de Ámsterdam tendrán jurisdicción exclusiva para resolver cualquier Disputa que surja de o esté relacionada con este DPA.