Protocolo de tratamiento de datos
Este Protocolo de Procesamiento de Datos ("Protocolo") rige a JIA, Inc. ("Procesador") y al Cliente ("Controlador"), cada uno una "Parte" y juntos las "Partes". Este Protocolo es efectivo a partir de la fecha (la "Fecha Efectiva") del Acuerdo Maestro de Servicio (el "Acuerdo") ejecutado por ambas Partes, excepto cuando el Protocolo pueda ser enmendado por JIA.
El presente Protocolo se aplica a los datos personales (tal y como se definen a continuación) tratados (tal y como se definen a continuación) en relación con el software y/o los servicios prestados en virtud del Contrato (colectivamente, los "Servicios"). Los Servicios implican el uso de un proveedor externo en la nube (actualmente Microsoft Corporation, que proporciona Azure) y pueden pertenecer a una de las tres categorías designadas en el Contrato:
[ESCENARIO UNO] El Procesador procura y administra la relación con el tercero proveedor en la nube. En este supuesto, el responsable del tratamiento autoriza por la presente al procesador a contratar directamente con el proveedor externo en la nube en nombre y/o en beneficio del responsable del tratamiento, y el proveedor externo en la nube es un subcontratista del procesador, revelado como tal en el presente Protocolo.
[SEGUNDO ESCENARIO] El responsable del tratamiento establece la relación con el tercero proveedor de servicios en la nube y el encargado del tratamiento gestiona el uso que el responsable del tratamiento hace del tercero proveedor de servicios en la nube. En este escenario, el Controlador es responsable de contratar directamente con el tercero proveedor en la nube (incluyendo, sin limitación, cualquier acuerdo de procesamiento de datos requerido por la ley aplicable) y es el único responsable de todas las obligaciones relacionadas con ese tercero. El tercero proveedor de servicios en la nube es un procesador del Responsable del tratamiento. El procesador es, en este escenario, un procesador solo para el Controlador.
[ESCENARIO TRES] El responsable del tratamiento adquiere y gestiona la relación con el proveedor externo en la nube. Igual que en el SEGUNDO ESCENARIO, salvo que -dada la adquisición y gestión por parte del responsable- es posible que el encargado del tratamiento no trate ningún dato personal por cuenta del responsable. No obstante, este Protocolo puede seguir siendo necesario si el Responsable del tratamiento solicita que el Encargado del tratamiento le preste asistencia, lo que puede implicar el tratamiento incidental de datos personales.
A partir de la Fecha de Entrada en Vigor, el presente Protocolo forma parte del Acuerdo y se incorpora al mismo, por lo que las referencias al "Acuerdo" en el Acuerdo incluirán el presente Protocolo. Salvo por los cambios introducidos por el presente Protocolo, el Acuerdo permanece inalterado y en pleno vigor y efecto. En caso de conflicto entre el presente Protocolo y el Acuerdo, prevalecerá el presente Protocolo.
ANTECEDENTES
(A) El Procesador está prestando, o prestará, Servicios para o en nombre del Controlador de conformidad con el Acuerdo.
(B) Las Partes reconocen y aceptan que los Servicios pueden implicar el tratamiento de datos personales en los Estados Unidos, incluyendo sin limitación la transmisión de datos personales a y desde los Estados Unidos, y el almacenamiento de datos personales en los Estados Unidos.
(C) La finalidad del presente Protocolo es establecer las condiciones de protección de datos que se aplicarán al tratamiento de datos personales para garantizar que los derechos y libertades de protección de datos de las personas sigan estando protegidos de conformidad con la legislación aplicable en materia de protección de datos (tal como se define más adelante).
SE ACUERDA:
1. Definiciones
En este Protocolo:
1.1 "empresa", "consumidor", "responsable del tratamiento", "encargado del tratamiento", "interesado", "datos personales", "tratamiento" (y "procesar"), "prestador de servicios" y "categorías especiales de datos" tendrán el significado que se les atribuye en la Ley de Protección de Datos Aplicable. El término "información personal" (tal como se utiliza en la Ley de protección de datos aplicable) se incluirá en la expresión "datos personales", y el término "consumidor" se incluirá en la expresión "interesado" utilizada en el presente Protocolo.
1.2 "Ley de Protección de Datos Aplicable" significa cualquier legislación de privacidad o protección de datos que se aplique a las Partes de vez en cuando con respecto al procesamiento de datos personales en virtud del Acuerdo, incluyendo, sin limitación, el GDPR y CCPA (ambos como se definen a continuación).
1.3 "Personas Autorizadas" significa, con respecto a cada Parte, cualquier persona autorizada por dicha Parte para procesar Datos (incluido el personal, los agentes y los subcontratistas de dicha Parte).
1.4 Por " CCPA " se entenderá la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act), Código Civil de California, sección 1798.100 y siguientes, y sus reglamentos de aplicación. A partir del 1 de enero de 2023, "CCPA" incluirá la Ley de Derechos de Privacidad de California y sus reglamentos de aplicación.
1.5 "EEE" significa el Espacio Económico Europeo y, tal como se utiliza en el presente Protocolo, incluirá a Suiza.
1.6 "GDPR" significa el Reglamento General de Protección de Datos, (UE) 2016/679, y -tal como se utiliza en este Protocolo- incluye el UK-GDPR (con respecto al Reino Unido ("UK")), y la Ley Federal de Protección de Datos (con respecto a Suiza).
1.7 Las referencias a "instrucciones" y términos afines significan las instrucciones escritas del Responsable del tratamiento para el tratamiento de los Datos (según se define más adelante), que consisten en los términos del Acuerdo y del presente Protocolo.
1.8 "Cláusulas Tipo" significa, según proceda:
1.8.1 Para las transferencias de datos regidas por la legislación del EEE, las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países desde el EEE de conformidad con el RGPD y aprobadas por la Comisión Europea en virtud de la Decisión (UE) 2021/914, tal y como figuran actualmente en https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en (las "Cláusulas Tipo del EEE").
1.8.2 Para las transferencias de datos regidas por la legislación del Reino Unido, las Cláusulas Tipo del EEE más las cláusulas obligatorias de la adenda aprobada emitida por la Oficina del Comisario de Información del Reino Unido ("ICO"), tal como figura actualmente en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (la "Enmienda de la Adenda del Reino Unido").
1.8.3 Para las transferencias de datos regidas por la Ley Federal de Protección de Datos (Suiza), se aplicarán las Cláusulas Tipo del EEE; siempre que se modifiquen para dichas transferencias a fin de prever la supervisión del Comisario Federal Suizo de Protección de Datos e Información, y que el término "Estado miembro" no se interprete de forma que excluya a los interesados suizos de la posibilidad de hacer valer sus derechos en Suiza.
1.9 "Propósito Permitido" tiene el significado especificado en la Sección 3; y
2. Relación entre las partes
El Responsable del tratamiento es el encargado del tratamiento (y, en algunos casos, un encargado del tratamiento) y por la presente designa al Encargado del tratamiento como encargado del tratamiento de los datos personales descritos en el Anexo 2 adjunto. Dichos datos personales se denominan los "Datos".
3. Limitación de la finalidad
3.1 El Procesador procesará los Datos (y mantendrá registros de dichas actividades de procesamiento) como procesador solo según sea necesario para prestar los Servicios, y solo de conformidad con las instrucciones documentadas del Controlador (el "Propósito Permitido"). Además, en la medida en que sea aplicable, las Partes reconocen que (x) el Controlador es una "empresa" y el Procesador es un "proveedor de servicios", tal como se definen estos términos en la CCPA; (y) el procesamiento de los Datos por parte del Procesador es necesario para la prestación de los Servicios; y (z) el Controlador no recibirá ninguna contraprestación monetaria o de otro tipo del Procesador a cambio del acceso y procesamiento de los Datos por parte del Procesador. Si la legislación aplicable entra en conflicto con las instrucciones documentadas del Responsable, el Procesador informará de ello al Responsable antes del procesamiento, a menos que dicha notificación esté prohibida por la ley. En cualquier caso, las Partes ajustarán equitativamente los honorarios pagados al Procesador si las instrucciones escritas del Controlador imponen requisitos adicionales al Procesador. Sin perjuicio de lo anterior, en ningún caso el Procesador:
(a) procesar los Datos para sus propios fines o los de terceros, incluida la venta, el alquiler, la cesión, la revelación, la difusión o cualquier otra forma de puesta a disposición de terceros;
(b) asumir responsabilidad alguna en la determinación de los fines y la forma del tratamiento de los Datos;
(c) revelar los Datos a terceros (que no sean sus subcontratistas autorizados) sin el consentimiento previo del Responsable del tratamiento, excepto cuando y en la medida en que la revelación sea exigida por cualquier ley aplicable al Responsable del tratamiento.
(d) tratar los Datos de forma que el Responsable incumpla cualquiera de sus obligaciones en virtud de la legislación aplicable en materia de protección de datos.
3.2 El Responsable del tratamiento es responsable de garantizar que está tratando los Datos de forma lícita y que dispone de todos los demás derechos necesarios para permitir que el Encargado del tratamiento trate los Datos. El responsable del tratamiento no proporcionará al encargado del tratamiento acceso a ningún dato para el que el responsable del tratamiento no posea tales derechos. Sin perjuicio de lo anterior, el responsable del tratamiento es responsable de garantizar que se proporcionen las notificaciones necesarias, que se obtenga el consentimiento de los interesados y que se mantenga un registro de dichos consentimientos. Si el consentimiento es revocado por un interesado, el responsable del tratamiento es responsable de comunicar el hecho de dicha revocación al encargado del tratamiento y de ayudar a éste con respecto al tratamiento ulterior de dichos datos.
3.3 El Responsable del Tratamiento es responsable de la exactitud y calidad de los Datos.
3.4 El Controlador hará todo lo posible para determinar si los Servicios implican el procesamiento de cualquier dato personal que se origine en Australia, Brasil, el EEE, el Reino Unido o Argentina y, de ser así, lo notificará de inmediato al Procesador. Además, el Controlador debe notificar al Procesador si los Datos están sujetos a cualquier Ley de protección de datos aplicable distinta de la CCPA o el GDPR, de modo que las partes puedan tomar medidas para celebrar disposiciones contractuales adicionales (si las hubiera) necesarias para cumplir con dicha Ley.
3.5 Si los Datos incluyen cualquier dato personal originado en el EEE o el Reino Unido, al suscribir el presente Protocolo, el Responsable del tratamiento y el Encargado del tratamiento también firman, suscriben e incorporan al presente Protocolo las Cláusulas tipo aplicables a las que se hace referencia en la Sección 11, a continuación.
3.6 Si un mecanismo de transferencia de datos utilizado por las Partes es posteriormente modificado, revocado o considerado inválido por un regulador competente u otra autoridad gubernamental, el responsable y el encargado del tratamiento cooperarán de buena fe para poner fin a las transferencias realizadas en virtud de dicho mecanismo o buscar un mecanismo alternativo adecuado.
4. Confidencialidad del tratamiento
El Procesador se asegurará de que todas las Personas Autorizadas estén sujetas a un deber de confidencialidad (ya sea contractual, legal o de otro tipo), y no permitirá que ninguna persona que no esté sujeta a dicho deber de confidencialidad procese los Datos. El Encargado del Tratamiento se asegurará de que todas las Personas Autorizadas traten los Datos únicamente en la medida necesaria para la Finalidad Permitida.
5. Seguridad
5.1 El Procesador implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos de violaciones de seguridad no autorizadas o ilegales que conduzcan a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos bajo el control del Procesador ("Incidente de Seguridad"). Las medidas de seguridad técnicas y organizativas del Procesador se establecen en el Anexo 3 y pueden actualizarse periódicamente.
5.2 El Responsable del tratamiento es responsable de revisar la información facilitada por el Encargado del tratamiento en relación con la seguridad de los datos y de determinar de forma independiente si las medidas de seguridad del Encargado del tratamiento cumplen los requisitos y las obligaciones legales del Responsable del tratamiento en virtud de la legislación aplicable en materia de protección de datos.
6. Subcontratación
El Procesador no subcontratará ningún procesamiento de los Datos a un subcontratista tercero sin el consentimiento previo por escrito del Controlador, consentimiento que no se retendrá, condicionará ni retrasará de forma irrazonable. El Responsable del tratamiento consiente que el Procesador contrate a sus filiales y a otros terceros subcontratistas para procesar los Datos siempre que (i) el Procesador notifique con al menos 10 días de antelación la adición o eliminación de cualquier subcontratista (incluidos los detalles del procesamiento que realiza o realizará), notificación que puede enviarse al Controlador por correo electrónico de dicha adición o eliminación; (ii) el Procesador impone términos de protección de datos a cualquier subcontratista que designe que protejan los Datos sustancialmente al mismo nivel previsto en este Protocolo; y (iii) el Procesador sigue siendo plenamente responsable de cualquier incumplimiento de este Protocolo que sea causado por un acto, error u omisión de su subcontratista. Los subcontratistas a partir de la Fecha de entrada en vigor figuran en el Anexo 4.
7. Cooperación y derechos de los interesados
Teniendo en cuenta la naturaleza del tratamiento, el responsable del tratamiento, en la medida de lo posible, notificará sin demora al responsable del tratamiento y le prestará asistencia razonable (a expensas del responsable del tratamiento) para que pueda responder a: (i) cualquier solicitud de un interesado para ejercer cualquiera de sus derechos en virtud de la Ley de protección de datos aplicable (incluidos, entre otros, sus derechos de acceso, rectificación, oposición, supresión y portabilidad de datos, según proceda); y (ii) cualquier otra correspondencia, consulta o reclamación recibida de un interesado, regulador u otro tercero en relación con el tratamiento de los Datos. El encargado del tratamiento no será responsable de responder directamente a ninguna solicitud, correspondencia, consulta o reclamación, a menos que la ley exija lo contrario.
8. Incidentes de seguridad
8.1 Al tener conocimiento de cualquier Incidente de Seguridad, el Procesador informará al Controlador sin demoras indebidas. El Procesador realizará esfuerzos razonables para identificar la causa de dicho Incidente de Seguridad y tomará las medidas que considere necesarias y razonables para remediar la causa de dicho Incidente de Seguridad en la medida en que el remedio esté dentro del control del Procesador; siempre que el Procesador no tenga dicha obligación si el Incidente de Seguridad es causado por el Controlador o cualquier tercero contratado en relación con los Servicios.
8.2 El Controlador asumirá las pérdidas y los gastos (incluidos los honorarios razonables de abogados) asociados con un incidente de seguridad que resulte de acciones u omisiones negligentes del Controlador (o de cualquier tercero) o del incumplimiento del presente Protocolo, incluidos, entre otros, los costes de: (a) notificar un incidente de seguridad a las personas afectadas y a los organismos reguladores; y (b) remediar y mitigar de otro modo cualquier daño o perjuicio real o potencial del incidente de seguridad, incluido, entre otros, el establecimiento de centros de atención telefónica y la prestación de servicios de supervisión o restablecimiento del crédito.
9. Transferencia, supresión o devolución de datos
Previa solicitud y a expensas del Responsable, el Responsable tendrá derecho a recibir del Procesador una copia de todos los Datos que estén en posesión del Procesador. El procesador proporcionará, a expensas del controlador, cualquier asistencia adicional razonablemente solicitada por el controlador en relación con la entrega segura a un tercero de cualquier dato. El procesador también se compromete, a petición del controlador y a expensas del controlador, a eliminar o destruir de forma segura todos los datos que estén en posesión del procesador (incluidos, entre otros, los datos en posesión de subcontratistas). Estos requisitos no se aplicarán en la medida en que el Procesador esté obligado por cualquier ley aplicable al Procesador a retener algunos o todos los Datos, en cuyo caso el Procesador aislará y protegerá los Datos de cualquier procesamiento posterior excepto en la medida en que lo exija dicha ley y, a continuación, los devolverá o destruirá de forma segura tan pronto como sea posible.
10. Auditoría
El Encargado del tratamiento, previa solicitud a intervalos razonables y si así lo exige la Ley de protección de datos aplicable, pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones de dicha Ley; siempre que las Partes hagan todo lo posible por satisfacer todas las obligaciones de auditoría mediante cuestionarios escritos y copias de informes o certificaciones. Si el resultado de la auditoría no puede obtenerse mediante información escrita, también se permitirá una inspección. El Responsable del tratamiento podrá (salvo que la legislación aplicable en materia de protección de datos disponga otra cosa) solicitar auditorías en virtud de la presente sección una sola vez por año natural. Todas las auditorías y demás presentación de documentos e información correrán a cargo del Responsable y estarán sujetas a las disposiciones de confidencialidad del Contrato. El Encargado del tratamiento podrá condicionar su cumplimiento en virtud de la presente Sección a que todos los terceros que reciban información se comprometan por escrito a tratar toda la información como confidencial.
11. Mecanismo de transferencia de datos
11.1 Si, en la ejecución de los Servicios, los Datos que están sujetos al GDPR o a cualquier otra ley relativa a la protección o privacidad de las personas que se aplique en el EEE o el Reino Unido se transfieren fuera del EEE o del Reino Unido a países, como los Estados Unidos, que no garantizan un nivel adecuado de protección de datos en el sentido de la Ley de Protección de Datos Aplicable, el mecanismo o mecanismos de transferencia que se enumeran a continuación se aplicarán a dichas transferencias y podrán ser aplicados directamente por las Partes (en la medida en que lo permita la Ley de Protección de Datos Aplicable):
11.1.1 Para las transferencias EEE en las que el Responsable del tratamiento actúe en calidad de responsable del tratamiento y el Encargado del tratamiento actúe en calidad de encargado del tratamiento, Módulo Dos de las Cláusulas Tipo EEE (Responsable del tratamiento a Encargado del tratamiento) - con sujeción a lo dispuesto en el Anexo 1 del presente Protocolo;
11.1.2 Para las transferencias del EEE en las que el Responsable del tratamiento actúe en calidad de encargado del tratamiento y el Procesador actúe en calidad de subencargado del tratamiento para el Responsable del tratamiento, Módulo Tres de las Cláusulas Tipo del EEE (de Encargado del tratamiento a Encargado del tratamiento) - con sujeción a lo dispuesto en el Anexo 1 del presente Protocolo;
11.1.3 Para las transferencias al Reino Unido, el Módulo Dos o el Módulo Tres de las Cláusulas Tipo del EEE (según proceda) más la Enmienda Adicional del Reino Unido, con sujeción a lo dispuesto en el Anexo 1 del presente Protocolo.
11.1.4 Para las transferencias de datos a Suiza, el Módulo Dos o el Módulo Tres de las Cláusulas Tipo del EEE (según proceda), con sujeción a lo dispuesto en el Anexo 1 del presente Protocolo.
12. 12. Limitación de responsabilidad
La responsabilidad total del Procesador y sus filiales derivada o relacionada con este Protocolo está sujeta a las limitaciones de responsabilidad, limitaciones de garantía, renuncias y otras exclusiones de garantía y responsabilidad establecidas en el Acuerdo. Lo anterior se aplica independientemente de la naturaleza de la reclamación, ya sea contractual, extracontractual u otra teoría de responsabilidad.
13. Indemnización
El Controlador defenderá, indemnizará y eximirá al Procesador, sus filiales, subcontratistas y cada uno de sus respectivos propietarios, directores, funcionarios, gerentes, miembros, empleados, contratistas y agentes de toda responsabilidad, pérdida, daño o gasto (incluidos los honorarios de abogados) en la medida en que sea causado o surja de (a) la negligencia, dolo o fraude del Controlador o sus agentes (incluidos, entre otros, los terceros contratados en relación con los Servicios); (b) las instrucciones proporcionadas por el Controlador; o (c) el incumplimiento de las obligaciones del Controlador en virtud del presente Protocolo.
14. Varios
14.1 Los epígrafes de las secciones y otros títulos del presente Protocolo se incluyen únicamente a efectos de referencia y no formarán parte del mismo ni afectarán a su significado o interpretación.
14.2 Las disposiciones del presente Protocolo son divisibles. Si algún término o disposición es inválido o inaplicable en su totalidad o en parte, dicha invalidez o inaplicabilidad afectará únicamente a dicho término o disposición, y el resto del presente Protocolo permanecerá en pleno vigor y efecto.
14.3 Cualquier notificación, carta u otra comunicación contemplada en el presente Protocolo deberá realizarse de conformidad con los términos del Acuerdo.
14.4 Las disposiciones del presente Protocolo perdurarán en beneficio de las Partes y serán vinculantes para las mismas y sus respectivos sucesores y cesionarios.
14.5 El presente Protocolo se regirá e interpretará en todos sus aspectos de conformidad con la legislación aplicable y las disposiciones sobre jurisdicción establecidas en el Acuerdo, salvo que la legislación aplicable en materia de protección de datos exija lo contrario.
Anexo 1
Mecanismos de transferencia de datos al EEE, Reino Unido y Suiza
A efectos del Módulo Dos de las Cláusulas Tipo (Responsable del tratamiento a Encargado del tratamiento) y del Módulo Tres de las Cláusulas Tipo (Encargado del tratamiento a Encargado del tratamiento), el Responsable del tratamiento es el exportador de datos y el Encargado del tratamiento es el importador de datos, y las Partes acuerdan lo siguiente. Cuando este Anexo 1 no mencione explícitamente qué Módulo se aplica, se aplicará a ambos.
1. 1. Referencias a las Cláusulas Modelo y a la Enmienda Adicional del Reino Unido. Las disposiciones pertinentes contenidas en el Módulo Dos y el Módulo Tres de las Cláusulas Tipo se incorporan por referencia y forman parte integrante del presente Protocolo. La Enmienda Adicional del Reino Unido también se incorpora por referencia y forma parte integrante del presente Protocolo. La información requerida para el Apéndice a las Cláusulas Tipo y la Enmienda Adicional del Reino Unido se establece en el Anexo 2.
2. Cláusula de acoplamiento. Las Partes deciden suprimir la cláusula de acoplamiento opcional de las Cláusulas Tipo (cláusula 7).
3. 3. Instrucciones. El presente Protocolo y el Acuerdo constituyen las instrucciones documentadas completas y definitivas del responsable del tratamiento en el momento de la firma del Acuerdo al encargado del tratamiento para el tratamiento de datos personales. Cualquier instrucción adicional o alternativa deberá ser coherente con los términos del presente Protocolo y del Acuerdo. A efectos de la cláusula 8.1(a) de las Cláusulas tipo, las instrucciones del Responsable para el tratamiento de datos personales incluyen las transferencias ulteriores a terceros situados fuera del EEE y del Reino Unido con el fin de prestar los Servicios.
Cuando el Responsable del tratamiento actúe como encargado del tratamiento, el Cliente declara y garantiza que sus instrucciones de tratamiento establecidas en el Contrato y en el presente Protocolo, incluidas sus autorizaciones al Encargado del tratamiento para la designación de subencargados del tratamiento de conformidad con el presente Protocolo, han sido autorizadas por el responsable del tratamiento pertinente. El Responsable del tratamiento será el único responsable de remitir las notificaciones recibidas del Encargado del tratamiento al responsable del tratamiento pertinente, cuando proceda.
4. 4. Seguridad del tratamiento. Para los fines de la cláusula 8.6(a) de las Cláusulas Modelo, el Controlador es el único responsable de determinar de manera independiente si las medidas técnicas y organizativas establecidas en el Anexo 3 cumplen con los requisitos del Controlador y acepta que (teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento de sus datos personales, así como los riesgos para las personas) las medidas de seguridad implementadas y mantenidas por el Procesador proporcionan un nivel de seguridad adecuado al riesgo con respecto a dichos datos personales. A efectos de la cláusula 8.6(c) de las Cláusulas Tipo, las violaciones de datos personales se tratarán de conformidad con la sección 8 del Protocolo.
5. Auditorías en virtud de las Cláusulas Modelo. Las Partes acuerdan que las auditorías descritas en la cláusula 8.9 de las Cláusulas Tipo se llevarán a cabo de conformidad con la sección 10 del Protocolo.
6. Autorización General para el Uso de Subprocesadores. Las Partes eligen la opción 2 en virtud de la cláusula 9 de las Cláusulas Tipo. A los efectos de la cláusula 9(a), el Procesador cuenta con la autorización general del Controlador para contratar subprocesadores de conformidad con la sección 6 del Protocolo. El Encargado del tratamiento pondrá a disposición del Cliente la lista actual de subencargados del tratamiento de conformidad con la sección 6 del presente Protocolo (donde los subencargados del tratamiento se denominan "subcontratistas"). Cuando el Procesador celebre el Módulo Tres de las Cláusulas Modelo (Procesador a Procesador) con un subprocesador en relación con la prestación de los Servicios, el Controlador por el presente otorga al Procesador y a sus afiliados la autoridad para proporcionar una autorización general en nombre del Controlador para la contratación de subprocesadores por parte de los subprocesadores que participan en la prestación de los Servicios, así como la autoridad de toma de decisiones y aprobación para la adición o sustitución de cualquiera de dichos subprocesadores.
7. Reclamaciones - Compensación. Las Partes deciden suprimir el texto opcional de la cláusula 11 de las Cláusulas Tipo. A efectos del texto restante de la cláusula 11, y con sujeción a la sección 7 del Protocolo, el Procesador informará a los interesados en su sitio web de un punto de contacto para reclamaciones. El encargado del tratamiento informará al responsable del tratamiento si recibe una reclamación de un interesado en relación con los datos personales tratados en virtud del Acuerdo, y el encargado del tratamiento comunicará sin demora indebida la reclamación al responsable del tratamiento. Por lo demás, el encargado del tratamiento no tendrá ninguna obligación de tramitar la solicitud (salvo que la ley exija lo contrario o se haya acordado con el responsable del tratamiento).
8. Responsabilidad. Además de las otras limitaciones establecidas en el Acuerdo y el Protocolo, la responsabilidad del Procesador en virtud de la cláusula 12 de las Cláusulas Modelo se limitará únicamente a los daños causados por su procesamiento cuando no haya cumplido con sus obligaciones en virtud de la Ley de Protección de Datos Aplicable específicamente dirigida a los procesadores, o cuando haya actuado fuera o en contra de las instrucciones legales proporcionadas por el Controlador - como se especifica en el Artículo 82 GDPR.
9. Supervisión. La cláusula 13 de las Cláusulas Tipo se aplicará de la siguiente manera:
a. Cuando el Responsable del tratamiento esté establecido en un Estado miembro de la UE, la autoridad de control responsable de garantizar el cumplimiento del RGPD por parte del Responsable del tratamiento en lo que respecta a la transferencia de datos actuará como autoridad de control competente.
b. Cuando el Responsable del tratamiento no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial del RGPD de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del RGPD, la autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del RGPD actuará como autoridad de control competente.
c. Cuando el responsable del tratamiento no esté establecido en un Estado miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del RGPD de conformidad con su artículo 3, apartado 2, sin tener, no obstante, que designar a un representante de conformidad con el artículo 27, apartado 2, del RGPD, actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran o cuyo comportamiento se controle.
d. Cuando el Responsable del tratamiento esté establecido en el Reino Unido o se encuentre dentro del ámbito territorial de aplicación del UK-GDPR, la OIC actuará como autoridad de control competente.
e. Cuando el Controlador esté establecido en Suiza o se encuentre dentro del ámbito territorial de aplicación de la Ley Federal de Protección de Datos (Suiza), el Comisionado Federal Suizo de Protección de Datos e Información actuará como autoridad de supervisión competente en la medida en que la transferencia de datos pertinente se rija por la Ley Federal de Protección de Datos.
10. Notificación de solicitudes gubernamentales de acceso. A efectos de la cláusula 15.1(a) de las Cláusulas Tipo, el encargado del tratamiento notificará al responsable del tratamiento (únicamente) y no al interesado o interesados en caso de solicitudes de acceso gubernamentales. El responsable del tratamiento será el único responsable de notificar sin demora al interesado o interesados cuando sea necesario.
11. 11. Ley aplicable. En la medida en que la ley lo permita, la ley aplicable a efectos de la cláusula 17 de las Cláusulas Tipo será la ley designada en la sección Ley Aplicable del Contrato. Por lo demás, las Cláusulas Tipo del EEE se regirán por (a) en lo que respecta al EEE (excepto Suiza), la legislación de Bélgica; (b) en lo que respecta al Reino Unido, la legislación de Inglaterra y Gales; y (c) en lo que respecta a Suiza, la legislación de Suiza.
12. Elección del foro y jurisdicción. En la medida en que la ley lo permita, los tribunales con jurisdicción exclusiva en virtud de la cláusula 18 de las Cláusulas Tipo serán los designados en la sección Lugar del Acuerdo. De lo contrario, el foro con jurisdicción exclusiva para resolver cualquier disputa o litigio que surja de o en relación con las Cláusulas Tipo serán los tribunales de (a) con respecto a las transferencias de datos que impliquen a titulares de datos del EEE (excepto titulares de datos suizos), los tribunales de Bélgica; (b) con respecto a las transferencias de datos que impliquen a titulares de datos del Reino Unido, los tribunales de Inglaterra y Gales, y (c) con respecto a las transferencias de datos que impliquen a titulares de datos suizos, los tribunales de Suiza.
13. Apéndice. El Apéndice de Cláusulas Tipo del EEE se completará del siguiente modo:
a. El contenido de la sección 1 del Anexo 2 formará parte del Anexo I.A de las Cláusulas Tipo del EEE.
b. El contenido de la sección 2 del Anexo 2 formará parte del Anexo I.B de las Cláusulas Tipo del EEE.
c. El contenido de la sección 3 del Anexo 2 formará parte del Anexo I.C de las Cláusulas Tipo del EEE.
d. El contenido de la sección 4 del Anexo 2 formará parte del Anexo II de las Cláusulas Tipo del EEE.
14. Exportación de datos del Reino Unido. La información requerida para las Tablas 1 a 3 de la Primera Parte de la Enmienda Adicional del Reino Unido figura en el Anexo 2. A efectos de la Tabla 4 de la Primera Parte de la Enmienda Adicional del Reino Unido, ninguna de las partes podrá poner fin a la Enmienda Adicional del Reino Unido cuando ésta cambie.
15. Exportación de datos desde Suiza. Para las transferencias de datos desde Suiza, las Cláusulas Tipo del EEE también se aplican a la transferencia de información relativa a una persona jurídica identificada o identificable cuando dicha información esté protegida de forma similar a los datos personales en virtud de la legislación de Suiza - hasta que dicha legislación se modifique para dejar de aplicarse a una persona jurídica. Además, el término "Estado miembro" no se interpretará de forma que excluya a los interesados suizos de la posibilidad de hacer valer sus derechos en Suiza.
16. Conflicto. Las Cláusulas Modelo están sujetas al Protocolo. Sin embargo, si las Cláusulas Tipo son aplicables a una situación particular y existe un conflicto entre las Cláusulas Tipo y el Protocolo, prevalecerán y regirán las Cláusulas Tipo.
Programa 2
Descripción del servicio
1. PARTES
Exportador(es) de datos: Identidad y datos de contacto del exportador(es) de datos y, en su caso, de su responsable de protección de datos y/o representante en la Unión Europea (y/o Reino Unido o Suiza).
Nombre: Cliente (tal y como se define este término en el párrafo inicial del Contrato marco de servicios) ("Responsable del tratamiento").
Dirección: Según lo establecido en el párrafo inicial del Contrato marco de servicios
Nombre, cargo y datos de contacto de la persona de contacto: Según lo establecido en la sección 6 del Contrato marco de servicios
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: ejecución de los Servicios en virtud del Acuerdo.
Función: A efectos del Módulo Dos de las Cláusulas del Modelo (Controlador a Procesador), el Controlador es un controlador. A efectos del módulo tres de las cláusulas tipo (procesador a procesador), el controlador es un procesador.
Importador(es) de datos: Identidad y datos de contacto del importador(es) de datos, incluida cualquier persona de contacto responsable de la protección de datos.
Nombre: JIA, Inc. ("Procesador")
Dirección: 201 NE Park Plaza, Suite 220, Vancouver, Washington 98684 Estados Unidos
Nombre, cargo y datos de la persona de contacto: Glenn Batson (glenn.batson@jenkon.com)
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: ejecución de los Servicios en virtud del Acuerdo.
Función: procesador
2. DESCRIPCIÓN DE LA TRANSFERENCIA
a. CATEGORÍAS DE INTERESADOS CUYOS DATOS PERSONALES SE TRANSFIEREN
El Controlador puede enviar datos personales a los Servicios, cuyo alcance es determinado y controlado por el Controlador a su entera discreción, y que pueden incluir, entre otros, datos personales relativos a las siguientes categorías de interesados:
- Fuerza de ventas independiente (por ejemplo, representantes, consultores, afiliados), clientes potenciales, clientes, socios comerciales, vendedores y empleados del responsable del tratamiento (que sean personas físicas).
- Usuarios autorizados por el Controlador para utilizar los Servicios
b. CATEGORÍAS DE DATOS PERSONALES TRANSFERIDOS
El Controlador puede enviar datos personales a los Servicios, cuyo alcance es determinado y controlado por el Controlador a su entera discreción, y que pueden incluir, entre otras, las siguientes categorías de datos personales:
- Identificadores básicos (es decir, nombre, pasaporte, NIF, etc.)
- Información de contacto
- Información demográfica
- Información financiera
- Identificadores en línea (es decir, direcciones IP, cookies, etc.)
- Contenido generado por el usuario (es decir, contenido de redes sociales, sitio web personal, etc.)
c. DATOS SENSIBLES TRANSFERIDOS (SI PROCEDE)
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales.
Ninguna.
d. FRECUENCIA DE LA TRANSFERENCIA
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).
Continuamente, según lo solicite el Responsable del tratamiento en relación con los Servicios.
e. NATURALEZA DEL TRATAMIENTO
La naturaleza del Tratamiento es la prestación de los Servicios previstos en el Contrato.
f. FINALIDAD DEL TRATAMIENTO, TRANSFERENCIA DE DATOS Y TRATAMIENTO POSTERIOR
El Procesador procesará los datos personales según sea necesario para prestar los Servicios en virtud del Acuerdo, y según las instrucciones adicionales del Controlador en su uso de los Servicios.
g. DURACIÓN DEL TRATAMIENTO
El período durante el cual se conservarán los datos personales o, si ello no fuera posible, los criterios utilizados para determinar dicho período.
Sin perjuicio de lo dispuesto en la sección 9 del Protocolo, el encargado del tratamiento tratará los datos personales mientras dure el Acuerdo, salvo que se acuerde otra cosa por escrito.
h. TRANSFERENCIASA SUBPROCESADORES
Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento:
En consonancia con el procesamiento por parte del Procesador, tal y como se indica en la subsección 2(f) anterior, los subprocesadores procesarán los datos personales según sea necesario para llevar a cabo los Servicios de conformidad con el Acuerdo. Sin perjuicio de lo dispuesto en la sección 6 del Protocolo, el subencargado del tratamiento tratará los datos personales durante la vigencia del Acuerdo, salvo que se acuerde otra cosa por escrito.
Las identidades de los subencargados del tratamiento utilizados actualmente para la prestación de los Servicios y su país de ubicación figuran en el Anexo 4. Los subencargados del tratamiento podrán ser actualizados conforme a lo dispuesto en la sección 6 del Protocolo.
3. AUTORIDAD DE CONTROL COMPETENTE
Identifique a la autoridad o autoridades de supervisión competentes de conformidad con la cláusula 13.
Véase la sección 9 del anexo 1 del presente Protocolo.
4. MEDIDAS TÉCNICAS Y ORGANIZATIVAS
El Procesador mantendrá salvaguardas administrativas, técnicas y físicas para proteger la seguridad, confidencialidad e integridad de los datos personales procesados en relación con los Servicios, tal y como se describe en el Anexo 3 o que el Procesador ponga razonablemente a su disposición.
Programa 3
Medidas técnicas y organizativas que incluyen medidas técnicas y organizativas para garantizar la seguridad de los datos
Descripción de las medidas técnicas y organizativas aplicadas por el encargado del tratamiento para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
El encargado del tratamiento utiliza salvaguardias administrativas, técnicas y físicas razonables, incluidos, entre otros, el cifrado, las contraseñas robustas y los controles de acceso para limitar el acceso a la información personal únicamente a aquellas personas que necesitan conocer dicha información para cumplir las obligaciones del encargado del tratamiento en virtud del Acuerdo. El procesador también mantiene un registro de quién ha accedido a la información personal. El personal del procesador con acceso a la información personal recibe formación sobre las salvaguardias y el acceso adecuado a la información personal. Cuando el encargado del tratamiento necesita transferir información personal fuera del entorno de producción del exportador de datos, los datos se eliminan o codifican en primer lugar mediante un proceso de "Scrub Script" proporcionado y mantenido por el encargado del tratamiento. Una vez ejecutado el script, los datos pueden transferirse mediante un protocolo seguro de transferencia de archivos.
Si el exportador de datos solicita que el procesador acceda al entorno de producción del exportador de datos, el procesador sólo accede a lo solicitado por el exportador de datos, y dicho acceso es gestionado en todo momento por el exportador de datos y está sujeto a las políticas o procedimientos que el exportador de datos pueda proporcionar en ese momento.
Como se ha indicado anteriormente, Microsoft presta servicios de almacenamiento en la nube al procesador en virtud de un contrato entre Microsoft y el procesador. Los detalles sobre las medidas técnicas y organizativas de Microsoft pueden consultarse aquí: https://docs.microsoft.com/en-us/azure/compliance/. El formulario actual del apéndice de protección de datos de Microsoft está disponible aquí: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.
Las medidas adicionales incluyen:
- Seudonimización y cifrado de datos personales
- Garantizar de forma permanente la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento.
- Comprobar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Identificación y autorización de usuarios
- Protección de datos durante la transmisión
- Protección de datos durante el almacenamiento
- Registro de eventos
- Retención limitada de datos
Programa 4
LISTA DE SUBPROCESADORES
El importador de datos utiliza los siguientes subcontratistas para tratar datos personales en virtud del Acuerdo:
Nombre de la entidad | Actividades de subprocesamiento | Entidad País |
Microsoft Corporation (Azure) | Proveedor externo de servicios en la nube | Estados Unidos y otros países en los que se pueda alojar el Arrendatario Azure según se designe en el Contrato. |
Atlassian | Proveedor de aplicaciones HelpDesk | Estados Unidos |
Afiliados al importador de datos:
Nombre de la entidad | Entidad País |
Jenkon México S DE RL DE CV | México |
INFORMACIÓN DEL SITIO