Acuerdo de Procesamiento de Datos February 2024
Este Acuerdo de Procesamiento de Datos se aplica a usted si se inscribió en nuestros Servicios (incluidos a través de cualquiera de nuestras Afiliadas) antes, en, o después del 1 de febrero de 2024 a la 1 PM CET. Nuestro Acuerdo de Procesamiento de Datos archivado está disponible aquí.
Este Acuerdo de Procesamiento de Datos, incluidos los anexos, (“DPA”) forma parte del Acuerdo entre nosotros y el Cliente para la compra de servicios de comunicación (en línea) de nosotros para reflejar el acuerdo de las Partes con respecto al procesamiento de los Datos Personales del Cliente. En este DPA, los términos “usted”, “su” o “Cliente” se refieren a usted como nuestro Cliente (sujeto a la Sección 1.2 a continuación), y los términos “nosotros”, “nos” o “nuestro” se refieren a nosotros como el Proveedor (según se define a continuación). Los términos en mayúscula utilizados en este DPA pero no definidos a continuación se definen en nuestros Términos y Condiciones Generales u otro Acuerdo con nosotros que rige su uso de los Servicios.
1.1 Alcance
Este DPA rige el procesamiento de los datos personales del cliente por nosotros como procesador.
1.2 Afiliados del Cliente
El Cliente celebra este DPA en su propio nombre y, en la medida requerida bajo las Leyes de Protección de Datos, en nombre y por cuenta de sus Afiliados (según se define en los Términos), si y en la medida en que proporcione a dichos Afiliados acceso a los Servicios y procesemos los Datos Personales del Cliente para los cuales tales Afiliados califiquen como el controlador de datos (“Afiliados del Cliente”). A los efectos de este DPA solamente, y salvo que se indique lo contrario, los términos “Cliente” y “usted” incluirán al Cliente y a los Afiliados del Cliente.
1.3 Términos
Este DPA permanecerá en efecto mientras procesemos los Datos Personales del Cliente sujetos a este DPA, independientemente de la expiración o terminación del Acuerdo.
2. Definitions
Account Data
“Account Data” es cualquier Dato Personal proporcionado por o para usted a nosotros en relación con la celebración y administración del Acuerdo y de su cuenta, incluidos, entre otros, información de contacto, detalles de facturación y correspondencia sobre la celebración y administración del Acuerdo y los Servicios relacionados.
CCPA
"CCPA" significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier normativa promulgada en virtud de ella, en cada caso, según se enmiende de vez en cuando.
Customer Data
“Customer Data” significa cualquier dato y otra información o contenido enviado por usted o para usted (o por un usuario de su Aplicación del Cliente) bajo el Acuerdo y procesado o almacenado por los Servicios.
Customer Personal Data
“Customer Personal Data” significa Datos Personales contenidos en los Customer Data procesados por nosotros como procesador, a menos que se especifique lo contrario en este DPA.
Ley de Protección de Datos
“Ley de Protección de Datos” significa todas las leyes y regulaciones de cualquier jurisdicción aplicables a la confidencialidad, privacidad, seguridad o procesamiento de Datos Personales bajo el Acuerdo, incluidos, por ejemplo y cuando sea aplicable, el GDPR o el CCPA.
EEA
“EEA” significa, a los efectos de este DPA, el Espacio Económico Europeo y Suiza.
GDPR
“GDPR” significa ya sea (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas con respecto al procesamiento de Datos Personales y sobre el libre movimiento de tales datos (Reglamento General de Protección de Datos); o (ii) únicamente con respecto al Reino Unido, la Ley de Protección de Datos de 2018.
Datos Personales
“Datos Personales” significa cualquier información relacionada con una persona natural identificada o identificable, directa o indirectamente, ya sea por sí sola o en combinación con otra información.
Violación de Datos Personales
“Violación de Datos Personales” significa cualquier destrucción accidental, no autorizada o ilegal, pérdida, alteración, divulgación de o acceso a los Customer Personal Data y cualquier otro término similar bajo Las Leyes de Protección de Datos aplicables como “Security Breach.”
Servicios
“Servicios” significa todos los productos y servicios proporcionados por nosotros o nuestras Afiliadas que son (a) ordenados por usted bajo cualquier Formulario de Pedido; o (b) utilizados por usted.
Proveedor
“Proveedor” significa nuestra entidad contratante que es parte de este DPA, siendo la entidad contratante enumerada en la Sección 15 en los Términos y Condiciones Generales (Entidad Contratante), a menos que se indique lo contrario en su Formulario de Pedido. Usted o el Proveedor también pueden ser referidos individualmente como una “Parte” y juntos como “Partes” en este DPA.
Cláusulas Contractuales Estándar
“Cláusulas Contractuales Estándar” significa Controlador a Procesador (Módulo Dos) o Procesador a Procesador (Módulo Tres), según sea aplicable, de las Cláusulas Contractuales Estándar para la transferencia de Datos Personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo aprobado por la Decisión de Ejecución de la Comisión Europea (UE) 2021/914 de 4 de junio de 2021, tal como se establece actualmente en https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
Subprocesador
“Subprocesador” significa una entidad de terceros que procesa Customer Personal Data en nombre del Proveedor donde el Proveedor actúa como un procesador de datos o un subprocesador.
Cláusulas Contractuales Estándar del Reino Unido
“Cláusulas Contractuales Estándar del Reino Unido” significa cualquiera o todos los siguientes: (i) acuerdo de transferencia internacional de datos emitido por el Comisionado de Información del Reino Unido bajo la sección 119A de la DPA 2018; (ii) el anexo de transferencia internacional de datos a las cláusulas contractuales estándar de la Comisión Europea para transferencias internacionales de datos emitido por el Comisionado de Información del Reino Unido bajo la sección 119A de la DPA 2018; o (iii) tales disposiciones contractuales estándar emitidas por el Comisionado de Información del Reino Unido o la Comisión Europea que pueden reemplazar a estas de vez en cuando. Términos como “processing”, “data controller”, “data processor”, “data subject”, etc. tendrán el significado asignado a ellos según el GDPR. La definición de “data controller” incluye “business”, “consumer”, “controller” y “organisation”; "data processor" incluye “service provider”, “processor” y “data intermediary”; “data subject” incluye “consumer” e “individual”; y “Datos Personales” incluye “personal information”, en cada caso como se define bajo el CCPA y otras Leyes de Protección de Datos aplicables. Los términos “business purpose”, “commercial purpose”, “sell” y “share” tendrán el mismo significado que en las Leyes de Protección de Datos aplicables y, en cada caso, sus términos cognados se interpretarán en consecuencia.
3. Processing of Customer Personal Data
3.1 Propósitos
Procesaremos los Datos Personales del Cliente solo en la medida necesaria (i) para proporcionar los Servicios, incluida la transmisión de comunicación, garantizar la seguridad de los servicios, proporcionar informes técnicos y de entrega, brindar soporte y desarrollar e implementar mejoras y actualizaciones de acuerdo con sus instrucciones documentadas para nosotros como un procesador de datos, según se especifica en la Sección 3.2 de este DPA, (ii) para nuestros propósitos comerciales legítimos especificados en la Sección 3.4 de este DPA como un controlador de datos, y (iii) según se requiera bajo la ley aplicable.
3.2 Instrucciones del Cliente
El Acuerdo y este DPA constituyen sus instrucciones completas para nosotros como procesador de datos en el momento de la firma de este DPA. Cumpliremos con otras instrucciones razonablemente documentadas siempre que esas instrucciones sean consistentes con los términos del Acuerdo.
3.3 Detalles del Procesamiento
El Anexo I, Parte B (Descripción de la transferencia) del Apéndice I de este DPA especifica la naturaleza y el propósito del procesamiento por nosotros como un procesador de datos o Subprocesador, las actividades de procesamiento, la duración del procesamiento, los tipos de Datos Personales y las categorías de sujetos de datos.
3.4 Propósitos Comerciales Legítimos
Usted reconoce que procesamos Datos Personales del Cliente como un controlador de datos independiente en la medida necesaria para los siguientes propósitos comerciales legítimos: facturación, gestión de cuentas, informes financieros e internos, combatir y prevenir amenazas de seguridad, ciberataques y ciberdelincuencia que puedan afectarle a usted, a nosotros o a nuestros servicios, modelado de negocios (por ejemplo, pronósticos, planificación de capacidad e ingresos, y estrategia de producto), prevención y detección de fraude, spam y abuso, mejora de nuestra suite de productos y servicios, y para cumplir con nuestras obligaciones legales.
4. Customer Obligations
4.1 Licitud
Cuando actúes como controlador de datos de los Datos Personales del Cliente, garantizas que todas las actividades de procesamiento son lícitas, tienen un propósito específico y se han establecido los avisos y consentimientos necesarios u otra base legal apropiada para permitir la transferencia lícita de los Datos Personales del Cliente. Si eres un procesador de datos (en cuyo caso nosotros actuaremos como Sub-procesador), garantizarás que el controlador de datos relevante asegure que se cumplan las condiciones enumeradas en esta Sección 4.1.
4.2 Cumplimiento
Eres el único responsable de (a) asegurar que cumples con las Leyes de Protección de Datos aplicables a tu uso de los Servicios y a tu propio procesamiento de los Datos Personales del Cliente, (b) hacer una evaluación independiente de si las medidas técnicas y organizativas de los Servicios cumplen con tus requisitos, y (c) implementar y mantener medidas de privacidad y seguridad para los componentes que proporciones o controles (incluidos, entre otros, contraseñas, dispositivos utilizados con los Servicios y Aplicaciones del Cliente).
5. Security
5.1 Medidas de Seguridad
Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, implementaremos y mantendremos medidas de seguridad técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente de las Violaciones de Datos Personales y para preservar la seguridad, integridad, disponibilidad, resiliencia y confidencialidad de los Datos del Cliente que nuestros sistemas utilizan para procesar Datos Personales del Cliente. Las medidas de seguridad aplicadas por nosotros se describen en el Apéndice II.
5.2 Actualizaciones de Medidas de Seguridad
Usted es responsable de revisar la información que ponemos a disposición en relación con la seguridad de los Datos Personales del Cliente y de hacer una evaluación independiente para determinar si dicha información cumple con sus requisitos y obligaciones legales bajo las Leyes de Protección de Datos. Usted reconoce que las medidas de seguridad están sujetas a progreso técnico y desarrollo, y que podemos actualizar o modificar nuestras medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Datos Personales del Cliente.
5.3 Controles de Acceso
Aplicamos los principios de "necesidad de conocimiento" y "mínimo privilegio" asegurando que el acceso a los Datos Personales del Cliente esté limitado a aquel Personal requerido para la provisión de los Servicios y de acuerdo con el Contrato, incluido este DPA.
5.4 Confidencialidad del Procesamiento
Nos aseguraremos de que cualquier persona o parte que esté autorizada por nosotros para procesar Datos Personales del Cliente (incluyendo nuestro personal, agentes y Sub-procesadores) estén informados de la naturaleza confidencial de dichos Datos Personales del Cliente y estarán bajo una obligación de confidencialidad apropiada (ya sea un deber contractual o legal) que sobreviva a la terminación de su contrato.
5.5 Respuesta y Notificación de Violación de Datos Personales
Al darnos cuenta de una Violación de Datos Personales, sin demora indebida
(i) le notificaremos,
(ii) investigaremos la Violación de Datos Personales,
(iii) proporcionaremos información oportuna relacionada con la Violación de Datos Personales a medida que se conozca o según lo solicite razonablemente, y (iv) tomaremos medidas comercialmente razonables para mitigar los efectos y prevenir la recurrencia de la Violación de Datos Personales.
6. Assistance
6.1 Asistencia con la Protección de Datos
Le proporcionaremos asistencia razonablemente solicitada para permitirle cumplir con sus obligaciones bajo las Leyes de Protección de Datos, incluyendo la notificación de una Violación de Datos Personales, evaluando el nivel de seguridad apropiado del procesamiento, y ayudándole con la realización de una evaluación de impacto de protección de datos relevante.
6.2 Asistencia con los Derechos de los Sujetos de Datos
Le proporcionaremos asistencia razonable para permitirle cumplir con sus obligaciones hacia los sujetos de datos que ejercen sus derechos bajo las Leyes de Protección de Datos haciendo disponibles medidas técnicas y organizativas a través de su cuenta. Para evitar dudas, usted como controlador de datos es responsable de procesar cualquier solicitud o queja de los sujetos de datos con respecto a los Datos Personales del Cliente de un sujeto de datos.
7. Disclosure and Disclosure Requests
7.1 Limitaciones en la Divulgación y el Acceso
No proporcionaremos acceso ni divulgaremos los Datos Personales del Cliente excepto (i) según lo indicado por usted, (ii) como se establece en el Acuerdo y este DPA, o (iii) según lo requerido por la ley.
7.2 Solicitudes de Divulgación
Le notificaremos tan pronto como sea razonablemente posible si recibimos una solicitud de un organismo gubernamental o regulador para divulgar los Datos Personales del Cliente, a menos que dicha notificación esté prohibida por ley. Manejarermos las solicitudes de divulgación de acuerdo con la política de solicitudes de divulgación, disponible en nuestro sitio web aquí.
8. Sub-procesadores
8.1 Lista de Sub-procesadores Actuales
Usted acepta la participación de los Sub-procesadores en relación con los Servicios, enumerados en nuestro resumen de Sub-procesadores, que también contiene un procedimiento para suscribirse a notificaciones de cambios en nuestro uso de Sub-procesadores. Si se suscribe a tales notificaciones, y teniendo en cuenta la Sección 8.3 de este DPA, compartiremos los detalles de cualquier cambio en Sub-procesadores tan pronto como sea razonablemente posible.
8.2 Nombramiento de Sub-procesadores
Por medio de este DPA, usted proporciona una autorización general por escrito para que contratemos a Sub-procesadores para el procesamiento de Datos Personales del Cliente, sujeto a la Sección 8.3 de este DPA y los siguientes requisitos:
Restringiremos el acceso a los Datos Personales del Cliente por parte de los Sub-procesadores a lo estrictamente necesario para proporcionar los servicios especificados en el acuerdo con el sub-procesador;
Acordaremos obligaciones de protección de datos con el Sub-procesador que sean sustancialmente las mismas que las obligaciones bajo este DPA; y
Permanecemos responsables ante usted bajo este DPA por el cumplimiento de las obligaciones de protección de datos del Sub-procesador.
8.3 Notificación de Cambios a los Sub-procesadores y Derecho a Objetar
Antes de reemplazar o contratar nuevos Sub-procesadores (“Cambio de Sub-procesador”), le daremos la opción de objetar el Cambio de Sub-procesador. Usted puede objetar un Cambio de Sub-procesador siempre que (i) la objeción se realice por escrito dentro de los diez (10) días hábiles a partir de nuestra notificación del Cambio de Sub-procesador y (ii) la objeción se base en y explique claramente las razones razonables relacionadas con la protección de Datos Personales del Cliente. Cuando usted objeta a un Cambio de Sub-procesador propuesto, trabajaremos con usted de buena fe para realizar un cambio comercialmente razonable en la prestación de los Servicios que evite el uso del Sub-procesador relevante. Si dicho cambio no puede realizarse razonablemente dentro de los treinta (30) días hábiles desde nuestra recepción de su notificación de objeción, o si el cambio es comercialmente irracional para nosotros, cualquiera de las partes puede terminar las características aplicables de los Servicios que no puedan prestarse sin el uso del Sub-procesador relevante. Este derecho de rescisión es su recurso único y exclusivo si objeta a un Cambio de Sub-procesador.
9. Cross Border Transfers of Customer Personal Data
9.1 Transferencias de Datos Personales del Cliente
Podemos transferir Datos Personales del Cliente con la condición de que se implementen todas las salvaguardas apropiadas requeridas por las Leyes de Protección de Datos. Esto puede incluir una evaluación de impacto previa de la transferencia de datos, la adopción, monitoreo y evaluación de medidas técnicas, organizativas y legales suplementarias, derechos de los sujetos de datos ejecutables, y que se dispongan de recursos legales efectivos para los sujetos de datos.
9.2 Cláusulas Contractuales Estándar para Subprocesadores
A menos que se aplique una decisión de adecuación o un mecanismo de transferencia alternativo, como el Marco de Privacidad de Datos entre la UE y EE. UU., hemos firmado y mantendremos Cláusulas Contractuales Estándar con Subprocesadores (incluyendo nuestras Afiliadas) ubicados fuera del EEE, sujetas a los términos establecidos en la Sección 9.1 de este DPA.
9.3 Mecanismos de Transferencia para Transferencias de Datos Personales del Cliente
En la medida en que su uso de los Servicios requiera un mecanismo de transferencia de datos transfronterizo para exportar legalmente Datos Personales del Cliente desde una jurisdicción (por ejemplo, el EEE, California, Singapur, Suiza o el Reino Unido) hacia nosotros, ubicados fuera de esa jurisdicción, aplicará esta sección. Si, en el desempeño de los Servicios, los Datos Personales del Cliente sujetos al GDPR u otra ley relacionada con la protección o privacidad de los individuos que se aplique a este DPA se transfieren a una entidad del Proveedor ubicada en países que no aseguran un nivel adecuado de protección de datos en el sentido de las Leyes de Protección de Datos, los mecanismos de transferencia enumerados a continuación se aplicarán a dichas transferencias y pueden ser implementados directamente por las partes en la medida en que dichas transferencias estén sujetas a las Leyes de Protección de Datos.
9.3.1
Las partes acuerdan que las Cláusulas Contractuales Estándar se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el EEE o Suiza, ya sea directamente o a través de una transferencia posterior, a una entidad del Proveedor ubicada en un país fuera del EEE o Suiza que no sea reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente para Suiza) como que proporciona un nivel adecuado de protección de datos personales.
9.3.1.1
Cuando usted actúe como controlador de datos y nosotros seamos un procesador de datos, el Módulo Dos de las Cláusulas Contractuales Estándar de Controlador a Procesador de la UE se aplicará a cualquier transferencia de Datos Personales del Cliente desde el EEE. Cuando usted actúe como procesador de datos y nosotros seamos un subprocesador, el Módulo Tres de Procesador a Procesador de las Cláusulas Contractuales Estándar se aplicará a cualquier transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.2
Seremos considerados el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Estándar. La firma de este DPA por cada parte se considerará como la firma de las Cláusulas Contractuales Estándar aplicables, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo el Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Estándar están disponibles en el Apéndice I y Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar, las Cláusulas Contractuales Estándar prevalecerán exclusivamente con respecto a una transferencia de Datos Personales del Cliente desde el EEE.
9.3.1.3
Donde las Cláusulas Contractuales Estándar requieren que las partes elijan entre cláusulas opcionales y proporcionen información, las partes lo han hecho como se detalla a continuación:
i. La Cláusula Opcional 7 “Cláusula de acoplamiento” no se adoptará.
ii. Para la Cláusula 9 “Uso de subprocesadores”, las partes eligen la siguiente opción: “Opción 2 Autorización escrita general: el importador de datos tiene la autorización general del controlador para la contratación de subprocesador(es) de una lista acordada. El importador de datos informará específicamente al controlador por escrito de cualquier cambio previsto en esa lista a través de la adición o reemplazo de subprocesadores al menos 10 días hábiles de antemano, dando así al controlador tiempo suficiente para poder objetar a dichos cambios antes del compromiso del/los subprocesador(es). El importador de datos proporcionará al exportador de datos la información necesaria para permitir que el exportador de datos ejerza su derecho a oponerse. El importador de datos informará al exportador de datos sobre la contratación de los subprocesador(es).”
iii. Para la Cláusula 11 (a) “Reparación”, las partes no adoptan la Opción.
iv. Para la Cláusula 17 “Ley aplicable”, las partes eligen la siguiente opción: “Opción 1. Estas Cláusulas estarán regidas por la ley de uno de los Estados miembros de la UE, siempre que tal ley permita derechos de beneficiario de terceros. Las partes acuerdan que será la ley de los Países Bajos.”
v. Para la Cláusula 18 (b) “Elección de foro y jurisdicción”: “Las partes acuerdan que será en los tribunales de los Países Bajos.”
9.3.2
Las partes acuerdan que las Cláusulas Contractuales Estándar del Reino Unido se aplicarán a los Datos Personales del Cliente que se transfieran a través de los Servicios desde el Reino Unido, ya sea directamente o a través de una transferencia posterior, a una entidad del Proveedor ubicada en un país fuera del Reino Unido que no sea reconocido por la autoridad reguladora competente del Reino Unido o el órgano gubernamental para el Reino Unido como que proporciona un nivel adecuado de protección para los datos personales.
9.3.2.1
Seremos considerados el importador de datos y usted será considerado el exportador de datos bajo las Cláusulas Contractuales Estándar del Reino Unido. La firma de este DPA por cada parte se considerará como la firma de las Cláusulas Contractuales Estándar del Reino Unido, que se considerarán incorporadas en este DPA. Los detalles requeridos bajo las Cláusulas Contractuales Estándar del Reino Unido están disponibles en el Apéndice I y Apéndice II de este DPA. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar del Reino Unido, las Cláusulas Contractuales Estándar del Reino Unido prevalecerán exclusivamente con respecto a la transferencia de Datos Personales del Cliente desde el Reino Unido.
10. Audit
10.1 Informe de Auditoría
Nuestra plataforma de comunicación será auditada regularmente conforme a la norma ISO 27001 (o equivalente). La auditoría puede, a nuestra sola discreción, ser una auditoría interna, o una auditoría realizada por un tercero. A solicitud por escrito, le proporcionaremos un resumen del informe de auditoría ("Informe de Auditoría"), para que pueda verificar nuestro cumplimiento con los estándares de auditoría y este DPA. Dichos Informes de Auditoría, así como cualquier conclusión o hallazgo especificado en ellos, son nuestra Información Confidencial.
10.2 Solicitudes de Información del Cliente
Le pondremos a disposición toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA. Proporcionaremos respuestas escritas a solicitudes razonables de información realizadas por usted, incluidas respuestas a cuestionarios de seguridad de la información y auditoría que sean razonables en alcance y necesarios para confirmar el cumplimiento con este DPA, siempre que usted (i) primero haya hecho un esfuerzo razonable para obtener la información solicitada de la Documentación, Informes de Auditoría y otra información proporcionada o hecha pública por nosotros, y (ii) no ejercitará este derecho más de una vez al año, a menos que una Violación de Datos Personales o un cambio significativo en nuestras actividades de procesamiento en relación con los Servicios requiera que se ejecute un cuestionario adicional. Todas las respuestas proporcionadas son nuestra Información Confidencial.
10.3 Auditoría del Cliente
Si un Informe de Auditoría proporcionado por nosotros le da razones fundamentadas para creer que estamos incumpliendo nuestras obligaciones bajo este DPA, relacionadas con los Datos Personales del Cliente proporcionados por usted, permitiremos que un auditor independiente y calificado designado por usted y aprobado por nosotros audite las actividades de procesamiento de Datos Personales pertinentes aplicables, siempre que en la mayor medida permitida bajo la ley aplicable, se cumplan los siguientes requisitos:
a) Usted nos dará al menos sesenta (60) días de aviso razonable antes de ejercer el derecho de auditoría;
b) El auditor acepta obligaciones de confidencialidad estándar del mercado con nosotros;
c) Usted y el auditor tomarán medidas para minimizar la interrupción de nuestras operaciones comerciales;
d) La auditoría se llevará a cabo durante las horas hábiles regulares;
e) No estaremos obligados a proporcionar acceso a los datos de clientes de otros clientes o sistemas no involucrados en la provisión de los Servicios;
f) y Usted asumirá todos los costos de la auditoría.
11. Eliminación y Devolución de Datos Personales del Cliente
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Comunicación y Derechos del Cliente Afiliado
La celebración de este DPA en nombre y por cuenta de un Cliente Afiliado según lo establecido en la Sección 1.2 constituye un DPA separado entre nosotros y ese Cliente Afiliado, sujeto a lo siguiente:
12.1. Comunicación
El Cliente que es la parte contratante del Acuerdo seguirá siendo responsable de coordinar toda la comunicación con nosotros bajo este DPA y tendrá derecho a realizar y recibir cualquier comunicación relacionada con este DPA en nombre de sus Clientes Afiliados.
12.2 Derechos de los Clientes Afiliados
Cuando un Cliente Afiliado se convierta en parte del DPA con nosotros, deberá, en la medida requerida bajo las Leyes de Protección de Datos, tener derecho a ejercer los derechos y buscar compensaciones bajo este DPA, sujeto a lo siguiente:(i) A menos que las Leyes de Protección de Datos requieran que el Cliente Afiliado ejerza un derecho o busque una compensación bajo este DPA contra nosotros directamente por sí mismo, las partes acuerdan que
(i) únicamente el Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscará cualquier compensación en nombre del Cliente Afiliado, y
(ii) el Cliente que es la parte contratante del Acuerdo ejercerá tales derechos bajo este DPA no por separado para cada Cliente Afiliado individualmente, sino de manera combinada para sí mismo y para todos sus Clientes Afiliados juntos.(ii) Las partes acuerdan que el Cliente que es la parte contratante del Acuerdo, cuando se lleve a cabo una auditoría in situ de los procedimientos relevantes para la protección de Datos Personales del Cliente en su nombre, según lo establecido en la Sección 10.3 de este DPA, tomará todas las medidas razonables para limitar cualquier impacto en nosotros combinando, en la medida razonablemente posible, varias solicitudes de auditoría realizadas en nombre de sí mismo y de todos sus Clientes Afiliados en una sola auditoría.
Para mayor claridad, un Cliente Afiliado no se convierte en parte contratante del Acuerdo.
13. California Consumer Privacy Act
En la medida en que sea aplicable, asumimos los siguientes compromisos adicionales con usted con respecto al procesamiento de Datos Personales del Cliente dentro del ámbito del CCPA.
13.1 Nuestras Obligaciones Bajo las Leyes de Protección de Datos de EE. UU.
Los términos "business purpose," "commercial purpose," "consumer," "sell," y "share" tal como se usan en esta Sección 13.1 tienen los significados que se les otorgan en el CCPA. En la medida en que sea aplicable, cumpliremos con el CCPA y trataremos todos los Datos Personales del Cliente sujetos al CCPA y otras Leyes de Protección de Datos de EE. UU. aplicables ("Datos Personales de EE. UU.") de acuerdo con las disposiciones del CCPA y otras Leyes de Protección de Datos de EE. UU. Con respecto a los Datos Personales de EE. UU., somos un proveedor de servicios bajo el CCPA y un procesador de datos bajo otras Leyes de Protección de Datos de EE. UU. No venderemos Datos Personales de EE. UU. No retendremos, usaremos ni divulgaremos ningún Dato Personal de EE. UU. (i) para ningún propósito que no sean los business purposes especificados en el Acuerdo (incluido retener, usar o divulgar Datos Personales de EE. UU. para un commercial purpose que no sea el business purpose especificado en el Acuerdo o según lo permitido de otro modo por el CCPA o leyes aplicables); o (ii) fuera de la relación comercial directa con usted y nosotros.
13.2 Obligaciones del Cliente
Usted declara y garantiza que ha notificado al Usuario Final que los Datos Personales están siendo utilizados o compartidos de acuerdo con las Leyes de Protección de Datos aplicables. Usted es responsable del cumplimiento de los requisitos de las Leyes de Protección de Datos en la medida en que le sean aplicables como controlador de datos.
14. Ley Aplicable y Resolución de Disputas
Cualquier disputa, reclamación o controversia (“Disputas”) que surja de o esté relacionada con este DPA se regirá e interpretará de acuerdo con las leyes de los Países Bajos. Cada Parte acuerda que los tribunales competentes de Ámsterdam tendrán jurisdicción exclusiva para resolver cualquier Disputa que surja de o esté relacionada con este DPA.
13.1 Nuestras Obligaciones Bajo las Leyes de Protección de Datos de EE.UU.
Los términos “propósito comercial,” “propósito comercial,” “consumidor,” “vender” y “compartir” tal como se usan en esta Sección 13.1 tienen los significados que se les otorgan en la CCPA. En la medida en que sea aplicable, cumpliremos con la CCPA y trataremos todos los Datos Personales del Cliente sujetos a la CCPA y otras leyes de protección de datos de EE.UU. aplicables (“Datos Personales de EE.UU.”) de acuerdo con las disposiciones de la CCPA y otras Leyes de Protección de Datos de EE.UU. Con respecto a los Datos Personales de EE.UU., somos un proveedor de servicios bajo la CCPA y un procesador de datos bajo otras Leyes de Protección de Datos de EE.UU. No venderemos Datos Personales de EE.UU. No retendremos, usaremos ni divulgaremos ningún Dato Personal de EE.UU. (i) para cualquier propósito que no sea los propósitos comerciales especificados en el Acuerdo (incluyendo retener, usar o divulgar Datos Personales de EE.UU. para un propósito comercial que no sea el propósito comercial especificado en el Acuerdo o de otra manera permitida por la CCPA o leyes aplicables); o (ii) fuera de la relación comercial directa contigo y nosotros.
APÉNDICE I - DETALLES DEL PROCESAMIENTO
Cuando sea aplicable, este Anexo I servirá como Anexo I para las Cláusulas Contractuales Estándar del EEE.
Anexo I, Parte A. Lista de Partes
Los términos "business purpose," "commercial purpose," "consumer," "sell" y "share" tal como se utilizan en esta Sección 13.1 tienen los significados que se les otorgan en la CCPA. En la medida en que sea aplicable, cumpliremos con la CCPA y trataremos todos los Datos Personales de Clientes sujetos a la CCPA y otras Leyes de Protección de Datos de EE. UU. aplicables ("U.S. Personal Data") de acuerdo con las disposiciones de la CCPA y otras Leyes de Protección de Datos de EE. UU. Con respecto a los U.S. Personal Data, somos un proveedor de servicios bajo la CCPA y un procesador de datos según otras Leyes de Protección de Datos de EE. UU. No venderemos U.S. Personal Data. No retendremos, usaremos ni divulgaremos ningún U.S. Personal Data (i) para ningún propósito que no sea el business purpose especificado en el Acuerdo (incluido retener, usar o divulgar U.S. Personal Data para un commercial purpose que no sea el business purpose especificado en el Acuerdo o según lo permita la CCPA u otras leyes aplicables); o (ii) fuera de la relación directa de negocio contigo y con nosotros.
Exportador de datos
Cliente
Detalles de contacto del exportador de datos
La dirección enumerada en la cuenta del Cliente, o la dirección de correo electrónico del propietario de la cuenta del Cliente, o a la(s) dirección(es) de correo electrónico para la(s) cual(es) el Cliente elige recibir notificaciones bajo el Acuerdo.
Rol del exportador de datos
El rol del exportador de datos se describe en la Sección 4 del DPA.
Firma y fecha
Si y cuando sea aplicable, se considera que el exportador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas aquí desde la Fecha de Vigencia del DPA.
Importador de datos
Proveedor
Detalles de contacto del importador de datos
Data Protection Officer - privacy@bird.com
Rol del importador de datos
El importador de datos actúa como procesador de datos.
Firma y fecha
Si y cuando sea aplicable, se considera que el importador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas aquí desde la Fecha de Vigencia del DPA.
Anexo I, Parte B. Descripción de la Transferencia
1. Categorías de sujetos cuyos Datos Personales se transfieren.
Usuarios. Personas de contacto (personas naturales) o empleados, contratistas o trabajadores temporales (actuales, potenciales, anteriores) del Cliente que utilicen los Servicios (“Usuarios”);
Usuarios finales. Cualquier individuo (i) cuyos datos de contacto estén incluidos en la(s) lista(s) de contactos del Cliente; (ii) cuya información se almacene en o se recolecte a través de los Servicios, o (ii) a quienes el Cliente envíe comunicaciones o de otra manera interactúe o se comunique a través de los Servicios (colectivamente, “Usuarios finales”). Tú como el Cliente determinas únicamente las categorías de sujetos de datos incluidos en la comunicación enviada a través de nuestra plataforma de comunicación.
2. Categorías de Datos Personales transferidos
Datos Personales del Cliente contenidos en, contenido de comunicación, datos de tráfico, datos de Usuarios finales y datos de uso del cliente.
Contenido de comunicación, que puede incluir Datos Personales u otras características personalizadas, según el contenido de la comunicación que determines tú como el Cliente.
Datos de tráfico, que pueden incluir Datos Personales del Cliente sobre la ruta, duración o momento de una comunicación como llamada de voz, SMS o correo electrónico, ya sea que se refiera a un individuo o a una empresa.
Datos de Usuarios finales, como número de teléfono, dirección de correo electrónico, nombre, apellido, nombre de perfil, país, identificador de canal.
Datos de uso del cliente, pueden contener datos que se puedan vincular a ti como individuo incluidos en datos estadísticos e información relacionada con tu cuenta y actividades de servicio, conocimientos relacionados con los servicios e informes analíticos sobre la comunicación enviada y el soporte al cliente.
3. Datos sensibles transferidos
Datos sensibles transferidos (si corresponde) y restricciones o salvaguardas aplicadas que consideren plenamente la naturaleza de los datos y los riesgos involucrados, tales como por ejemplo limitación estricta del propósito, restricciones de acceso (incluido el acceso solo para personal que haya seguido capacitación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.
a) Contenido de comunicación. Los datos sensibles pueden, de vez en cuando, ser procesados a través de los Servicios donde tú o tus Usuarios finales eligen incluir datos sensibles dentro de las comunicaciones que se transmiten utilizando los Servicios. Tú eres responsable de asegurarte de que existan salvaguardas adecuadas antes de transmitir o procesar, o antes de permitir que tus Usuarios finales transmitan o procesen cualquier dato sensible a través de los Servicios, de acuerdo con la Sección 3.2 del Acuerdo.
b) Datos de tráfico, datos de Usuarios finales y datos de uso del cliente. No se contienen datos sensibles en los datos de tráfico, datos de Usuarios finales o datos de uso del cliente.
4. La frecuencia de la transferencia
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de manera puntual o continua): Los Datos Personales del Cliente se transfieren de manera continua durante la duración del Acuerdo.
5. Naturaleza del procesamiento
Procesaremos los Datos Personales del Cliente en la medida necesaria para proporcionar los Servicios bajo el Acuerdo. No vendemos ningún Dato Personal, incluidos los Datos Personales del Cliente, y no compartimos Datos Personales con terceros para recibir compensación o para los propios intereses comerciales de esos terceros.
6. Propósito(s) de la transferencia de datos y procesamiento posterior
Procesaremos los Datos Personales del Cliente como procesador de datos de acuerdo con las instrucciones del Cliente establecidas en este DPA, a menos que el procesamiento sea necesario para el cumplimiento de una obligación legal a la que estamos sujetos, en cuyo caso nos clasificaremos como controlador de datos.
Contenido de comunicación, datos de tráfico, datos de Usuarios finales y datos de uso del cliente. Los Datos Personales contenidos en contenido de comunicación, datos de tráfico, datos de Usuarios finales y datos de uso del cliente estarán sujetos a las siguientes actividades básicas de procesamiento:
a) Contenido de comunicación. La provisión de productos y servicios de comunicación programables, ofrecidos en forma de interfaces de programación de aplicaciones (APIs) o a través del Dashboard, al Cliente, incluyendo la transmisión hacia o desde la aplicación de software del Cliente desde o hacia nuestra plataforma de comunicación, y otras redes de comunicación.
b) Datos de tráfico. Los datos de tráfico se procesan con el fin de transmitir comunicación en una red de comunicaciones electrónicas o para la facturación con respecto a esa comunicación. Esto puede incluir Datos Personales del Cliente sobre la ruta, duración o momento de una comunicación como llamada de voz, SMS o correo electrónico, ya sea que se refiera a un individuo o a una empresa.
c) Datos de Usuarios finales. Se requieren Datos Personales de los Usuarios finales para realizar los Servicios y solo se procesarán para los propósitos de transmisión de comunicación, soporte al cliente y asegurar el cumplimiento de nuestras obligaciones legales.
d) Datos de uso del cliente. Los Datos Personales contenidos en los datos de uso del cliente estarán sujetos a las actividades de procesamiento de proporcionar los Servicios bajo el Acuerdo, con el objetivo de proporcionar al Cliente información relacionada con los servicios e informes analíticos sobre la comunicación enviada, soporte al cliente y la mejora continua de los Servicios.
7. Retención de Datos Personales
El período durante el cual se retendrán los Datos Personales, o, si eso no es posible, los criterios utilizados para determinar ese período: Contenido de comunicación y datos de tráfico. Para contenido de comunicación y datos de tráfico contenidos en los SMS y Voice Servicios se aplica un período de retención de seis meses; Para Video Servicios el contenido de comunicación y los datos de tráfico se retienen por un mínimo de 30 días hasta la duración acordada contigo; Para servicios de correo electrónico el contenido de comunicación y los datos de tráfico se retienen por 72 horas; Para todos los demás servicios, el contenido de comunicación y los datos de tráfico se retienen durante la duración de los Servicios, excepto si eliminas el contenido de comunicación o los datos de tráfico a través de las medidas técnicas y organizativas proporcionadas a ti a través de los Servicios. Datos de Usuarios finales. Los datos de Usuarios finales se procesarán por el período determinado por el Cliente, cuando los datos de Usuarios finales estén incluidos en tus perfiles de contacto el período de retención por defecto es por la duración de los Servicios, sujeto a la Sección 6(c) de este Anexo I, Parte B. Datos de uso del cliente. Tras la terminación del Acuerdo, podemos retener, usar y divulgar los Datos de Uso del Cliente para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo. Anonimizaremos o eliminaremos los datos de uso del cliente cuando ya no los requiramos para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B.
7. Retención de Datos Personales
El período durante el cual se retendrán los Datos Personales, o, si eso no es posible, los criterios utilizados para determinar ese período:
Contenido de comunicación y datos de tráfico;
Para contenido de comunicación y datos de tráfico contenidos en los SMS y Voice Services se aplica un período de retención de seis meses;
Para Video Services el contenido de comunicación y los datos de tráfico se retienen por un mínimo de 30 días hasta la duración acordada contigo;
Para servicios de correo electrónico el contenido de comunicación y los datos de tráfico se retienen por 72 horas;
Para todos los demás servicios, el contenido de comunicación y los datos de tráfico se retienen durante la duración de los Servicios, excepto si eliminas el contenido de comunicación o los datos de tráfico a través de las medidas técnicas y organizativas proporcionadas a ti a través de los Servicios.
Los datos de Usuarios finales se procesarán por el período determinado por el Cliente, cuando los datos de Usuarios finales estén incluidos en tus perfiles de contacto el período de retención por defecto es por la duración de los Servicios, sujeto a la Sección 6(c) de este Anexo I, Parte B.
Datos de uso del cliente: Tras la terminación del Acuerdo, podemos retener, usar y divulgar los Datos de Uso del Cliente para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo. Anonimizaremos o eliminaremos los datos de uso del cliente cuando ya no los requiramos para los propósitos establecidos en la Sección 6(d) de este Anexo I, Parte B.
8. Para transferencias a (Sub-)procesadores
Para transferencias a (Sub-)procesadores, también especifique el objeto, la naturaleza y la duración del procesamiento: Para transferencias a Sub-procesadores, el objeto y la naturaleza del procesamiento se describen en nuestra descripción general de Sub-procesadores y la duración es por la duración del Acuerdo.
Anexo I, Parte C. Autoridad Supervisora Competente
La Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) será la autoridad supervisora competente.
APÉNDICE II - Medidas Técnicas y Organizativas de Seguridad
Cuando sea aplicable, este Apéndice II servirá como Anexo II a las Cláusulas Contractuales Estándar. Lo siguiente proporciona más información sobre nuestras medidas de seguridad técnicas y organizativas establecidas a continuación.
Medidas de Seguridad Técnicas y Organizativas
Medidas de seudonimización y protección de Datos Personales en almacenamiento y tránsito:
Todos los Datos Personales están cifrados en tránsito y en reposo y, en la medida en que sea relevante desde un punto de vista de seguridad, se tratan como si estuvieran clasificados como datos sensibles. La información siempre se transmite a través de TLS con metodologías de cifrado actualizadas por defecto.
Medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento:
Celebramos acuerdos que contienen disposiciones de confidencialidad con nuestros empleados, contratistas, proveedores y Subprocesadores. Nuestra política de continuidad de negocio es preparar nuestro negocio y servicios en caso de interrupciones prolongadas causadas por factores fuera de nuestro control y restaurar los servicios al mayor grado posible en el menor tiempo posible. Entendemos que los servicios que ofrecemos son críticos para nuestros clientes y, por lo tanto, tenemos muy poca tolerancia a las interrupciones del servicio. Nuestros plazos de recuperación están diseñados para garantizar que podamos cumplir con nuestras obligaciones hacia todos nuestros clientes.
Procesos para la prueba, evaluación y evaluación regular de la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento:
El objetivo de la seguridad de la información y nuestro Sistema de Gestión de Seguridad de la Información (ISMS) es proteger la confidencialidad, integridad y disponibilidad de la información para la organización, empleados, socios, clientes y los sistemas de información (autorizados), y minimizar el riesgo de daño al prevenir incidentes de seguridad y gestionar amenazas y vulnerabilidades de seguridad. Nuestro equipo Legal, Oficial de Protección de Datos y el Equipo de Seguridad se aseguran de que las regulaciones y estándares aplicables se integren en nuestros marcos de seguridad.
Medidas para la identificación y autorización de usuarios:
Seguimos los principios de “necesidad de saber” y “menor privilegio”. Promovemos el uso de control de acceso basado en roles. El aprovisionamiento y desactivación es supervisado por el equipo de seguridad, con inicio de sesión único (Single-Sign-On) y autenticación de dos factores (2FA) por defecto. Se han definido propietarios para cada activo de información que son responsables de garantizar que el acceso a sus sistemas sea apropiado y revisado regularmente. Siempre que se maneje información sensible o se realicen acciones críticas, utilizamos el principio de cuatro ojos.
Medidas para asegurar el registro de eventos:
Los registros de auditoría se almacenan de manera centralizada y se supervisan regularmente para eventos de seguridad y se mantienen seguros para evitar el riesgo de manipulación. La Política de Gestión de Incidentes aplica el plan de respuesta a incidentes y sus procedimientos. Estas directrices se siguen si ocurre cualquier tipo de incidente de seguridad o técnico.
Medidas para garantizar la configuración de sistemas, incluida la configuración predeterminada:
Seguimos un proceso coherente de gestión de cambios para todos los cambios en el entorno de producción de la Plataforma de Comunicación como Servicio. Para detallar más, todas las solicitudes de cambios (RFC) deben ser aprobadas por una parte designada y ejecutadas de acuerdo con el proceso formal de control de cambios. El proceso de control asegura que las propuestas de cambios se revisen, autoricen, prueben, implementen y liberen de manera controlada; y que se controle el estado de cada cambio propuesto. Se siguen los lineamientos de configuración para configurar los sistemas de manera segura siguiendo las mejores prácticas. Además, dentro del departamento de Ingeniería, se utiliza un radar tecnológico para definir qué tecnologías (lenguajes, herramientas de plataforma, bases de datos y herramientas de gestión de datos) pueden adoptarse o deben evitarse durante el desarrollo.
Medidas de seguridad física:
Promovemos activamente una política de “Trabajo desde Cualquier Lugar” para que nuestros empleados puedan trabajar desde donde deseen. Sin embargo, todavía tenemos nuestras oficinas. No tenemos áreas seguras/centro de datos en nuestras instalaciones ya que somos una empresa completamente basada en la nube. Los pisos de nuestras oficinas están protegidos por controles de acceso físico, CCTV y seguridad a cargo de personal.
Medidas para la gobernanza y gestión de TI y seguridad de TI internas:
Mantenemos un programa de seguridad basado en evaluaciones de riesgo, que incluye salvaguardas administrativas, organizacionales, técnicas y físicas diseñadas para proteger los Servicios y la confidencialidad, integridad y disponibilidad de los Datos del Cliente. Nuestro programa de seguridad de la información está configurado de una manera sistemática y bien organizada. Además, se aplican requisitos legales y regulatorios para garantizar la confidencialidad, integridad y disponibilidad de la información a la organización, empleados, socios y clientes. Todo esto está traducido en nuestras políticas, procedimientos y directrices de seguridad de la información. Tenemos un Comité de Dirección de Seguridad que es responsable del nivel táctico de la seguridad de la información. Esto implica la coordinación de actividades de seguridad de la información y la traducción de actividades estratégicas a actividades operativas para nuestra seguridad y nuestro mantenimiento continuo del cumplimiento normativo. Todos los empleados son responsables de proteger los activos de la empresa. Todos nuestros empleados son evaluados por experiencia, trayectoria e integridad. Los empleados son informados sobre seguridad y protección de datos en la etapa de incorporación, así como por medio de capacitaciones específicas de equipos regulares y otras presentaciones generales sobre la importancia de la protección de datos y el cumplimiento de la seguridad. Estamos certificados en ISO 27001, los estándares de seguridad de la información reconocidos a nivel mundial para Sistemas de Gestión de Seguridad de la Información (ISMS).
Todos nuestros proveedores de alojamiento están certificados en ISO 27001.
También estamos registrados en la Autoridad Holandesa para Consumidores y Mercados. Esto significa que siempre somos responsables y totalmente transparentes con nuestros clientes.
Somos miembro asociado de la Groupe Speciale Mobile Association (GSMA). La GSMA representa los intereses de los operadores móviles en todo el mundo.
Siempre estamos al día con todas las leyes y regulaciones aplicables, incluida la Regulación General de Protección de Datos y el Marco de Protección de Datos UE-EE.UU.
Medidas para certificaciones/aseguramiento de procesos y productos:
Sometemos a rigurosas auditorías de vigilancia así como a auditorías de certificación como parte de nuestro cumplimiento ISO/IEC 27001, y ejecutamos regularmente pruebas de vulnerabilidad y pruebas de penetración de aplicaciones.
Medidas para asegurar la responsabilidad:
implementamos políticas de seguridad de la información y protección de datos conforme a las leyes aplicables y publicamos un resumen de nuestra información relevante del ISMS (enlace). Hemos nombrado un Director de Seguridad dedicado, Oficial de Seguridad de la Información, Oficial de Cumplimiento y Oficial de Protección de Datos, y mantenemos documentación de nuestras actividades de procesamiento, incluyendo el registro y reporte de incidentes de seguridad que involucran Datos Personales cuando sea aplicable.
Medidas para asegurar el borrado de datos:
Aseguramos el borrado de datos a través de un proceso de eliminación automatizado dentro de nuestro entorno de comunicación e infraestructura. Este proceso de eliminación de datos garantiza que todos los datos que ya no se necesitan para cumplir un propósito específico se eliminen de nuestros sistemas después del procesamiento.