INTERNACIONAL
Content
Acuerdo de tratamiento de datos
Contents
PREÁMBULO
Las Partes han celebrado un Acuerdo de Software como Servicio relativo a la prestación por parte del Encargado de sus servicios que implican el uso, por parte del Responsable, del software y los servicios del Encargado ("Acuerdo Principal"). En el curso de la prestación de estos servicios conforme al Acuerdo Principal ("Servicios"), es necesario que el Encargado trate datos personales de los que el Responsable es responsable con arreglo a la legislación aplicable en materia de protección de datos ("Leyes Aplicables de Protección de Datos"). Con el fin de cumplir los requisitos de las Leyes Aplicables de Protección de Datos, las Partes celebran el siguiente DPA:
1. DEFINICIONES
A efectos del presente DPA, y salvo que el contexto indique lo contrario, los términos utilizados tendrán los significados que les atribuyen las Leyes de Protección de Datos Aplicables. Los términos clave de este DPA se definen a continuación:
“datos personales” significa toda información relativa a una persona física identificada o identificable (‘interesado’); una persona física identificable es toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física;
‘tratamiento’ significa cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o modificación, la recuperación, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma de habilitación del acceso, la alineación o combinación, la limitación, la supresión o la destrucción;
‘responsable del tratamiento’ significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales; cuando los fines y medios de dicho tratamiento sean determinados por el Derecho de la Unión o de un Estado miembro 1 Momos - DPA, el responsable del tratamiento o los criterios específicos para su designación podrán establecerse en el Derecho de la Unión o de un Estado miembro;
‘encargado del tratamiento’ significa la persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
2. ÁMBITO / PLAZO
2.1 El presente DPA se aplica al tratamiento de todos los datos personales (en lo sucesivo también denominados "datos") que son tratados por el Encargado por cuenta del Responsable. El alcance, la naturaleza, la finalidad y la descripción adicional del tratamiento se determinan en el Acuerdo Principal y se establecen en el Anexo 1 (“Descripción del tratamiento de datos”) del presente DPA.
2.2 Salvo que se disponga lo contrario en el presente DPA, la vigencia y la terminación de este DPA se regirán por las disposiciones sobre vigencia y terminación del Acuerdo Principal. La terminación del Acuerdo Principal conlleva automáticamente la terminación del presente DPA. Queda excluida una terminación aislada del presente DPA.
2.3 Salvo que se especifique lo contrario en el presente DPA, todas las definiciones previstas en el Acuerdo Principal se aplicarán al presente DPA.
3. RESPONSABILIDAD Y AUTORIDAD PARA EMITIR INSTRUCCIONES / MEDIDAS DE PROTECCIÓN DEL ENCARGADO DEL TRATAMIENTO
3.1 Las Partes serán responsables del cumplimiento de las disposiciones de las Leyes Aplicables de Protección de Datos. El Responsable del tratamiento podrá, en cualquier momento, instruir al Encargado del tratamiento para que divulgue, rectifique, adapte, suprima y restrinja los datos tratados en virtud de este DPA.
3.2 El Encargado del tratamiento tratará los datos por cuenta del Responsable del tratamiento y de conformidad con las instrucciones de este, de acuerdo con las Leyes Aplicables de Protección de Datos. El Responsable del tratamiento sigue siendo el responsable del tratamiento a los efectos de las Leyes Aplicables de Protección de Datos.
3.3 Con el fin de garantizar la protección de los derechos de los interesados, el Encargado del tratamiento prestará el apoyo adecuado al Responsable del tratamiento, en particular, garantizando medidas técnicas y organizativas apropiadas (véase la Sección 6). En caso de que un interesado se ponga en contacto directamente con el Encargado del tratamiento para actuar conforme a dicho derecho del interesado, el Encargado del tratamiento remitirá sin dilación indebida dicha solicitud al Responsable del tratamiento.
3.4 En caso de que el Encargado del tratamiento considere que una instrucción vulnera las Leyes Aplicables de Protección de Datos, deberá informar al Responsable del tratamiento sin dilación indebida. El Encargado del tratamiento tendrá derecho a suspender la ejecución de la instrucción correspondiente hasta que dicha instrucción sea confirmada o modificada por el Responsable del tratamiento.
3.5 El Encargado del tratamiento solo podrá tratar datos de conformidad con las instrucciones del Responsable del tratamiento, salvo que esté obligado a tratar los datos de forma distinta en virtud del Derecho de la Unión o del Estado miembro al que esté sujeto el Encargado del tratamiento (p. ej., investigaciones por parte de las autoridades policiales o de seguridad del Estado); en tal caso, el Encargado del tratamiento deberá informar al Responsable del tratamiento de dichos requisitos legales antes del tratamiento, salvo que la ley en cuestión prohíba dicha información por razones de importante interés público. Las instrucciones del Responsable del tratamiento se regulan y documentan, en principio, de forma exhaustiva en las disposiciones de este DPA. Las instrucciones individuales que se aparten de las disposiciones de este DPA o impongan requisitos adicionales requieren el consentimiento del Encargado del tratamiento y deberán documentarse. Los costes adicionales en que incurra el Encargado del tratamiento como resultado de ello correrán a cargo del Responsable del tratamiento.
3.6 Las modificaciones del objeto del tratamiento deberán acordarse y documentarse conjuntamente. El Encargado del tratamiento no utilizará los datos para ningún otro fin y, en particular, no tendrá derecho a comunicar dichos datos a terceros. El Encargado del tratamiento no tendrá derecho a copiar ni duplicar ningún dato sin el conocimiento del Responsable del tratamiento.
3.7 El Responsable del tratamiento será responsable de sus registros de las actividades de tratamiento de conformidad con las Leyes Aplicables de Protección de Datos. A solicitud del Responsable del tratamiento, el Encargado del tratamiento le proporcionará la información necesaria para dichos registros de las actividades de tratamiento. El Encargado del tratamiento conservará registros de todas las categorías de actividades de tratamiento realizadas por cuenta del Responsable del tratamiento de conformidad con las Leyes Aplicables de Protección de Datos.
3.8 El Encargado del tratamiento está obligado a informar a las personas físicas bajo su autoridad que tengan acceso a los datos sobre el deber de confidencialidad y se asegura de que solo traten los datos dentro del ámbito de las instrucciones del Responsable del tratamiento.
4. OBLIGACIONES LEGALES DEL RESPONSABLE DEL TRATAMIENTO
4.1 El Responsable es el único responsable de la licitud del tratamiento de los datos y de la salvaguardia de los derechos de los interesados en la relación entre las Partes. Si terceros presentaran reclamaciones contra el Encargado basadas en el tratamiento de datos de conformidad con el presente DPA, el Responsable indemnizará al Encargado por todas dichas reclamaciones a la primera solicitud.
4.2 El Responsable es responsable de facilitar al Encargado los datos a tiempo para la prestación de los Servicios conforme al Acuerdo Principal y es responsable de la calidad de los datos. El Responsable informará al Encargado de forma inmediata y completa si, durante el examen de los resultados del Encargado en el marco de 3 Momos - DPA, detecta errores o irregularidades con respecto a las Leyes de Protección de Datos Aplicables o a sus instrucciones.
4.3 A solicitud, el Responsable facilitará al Encargado la información necesaria para registrar las actividades de tratamiento conforme a las Leyes de Protección de Datos Aplicables, en la medida en que no esté disponible para el propio Encargado.
4.4 Si el Encargado está obligado a proporcionar información a un organismo gubernamental o a una persona al tratar datos o a cooperar con estos organismos de cualquier otra manera, el Responsable estará obligado, a la primera solicitud, a ayudar al Encargado a proporcionar dicha información y a cumplir otras obligaciones de cooperación.
5. OBLIGACIONES LEGALES DEL ENCARGADO DEL TRATAMIENTO
5.1 El Encargado del tratamiento garantizará que las personas autorizadas para tratar los datos estén sujetas a confidencialidad o a una obligación legal de secreto adecuada y aportará prueba de ello al Responsable del tratamiento a su solicitud.
5.2 Las Partes se prestarán apoyo mutuo para demostrar y documentar su responsabilidad en relación con los principios relativos al tratamiento de datos conforme a las Leyes aplicables en materia de protección de datos, incluida la implantación de las medidas técnicas y organizativas necesarias. Si así se requiere, el Encargado del tratamiento facilitará al Responsable del tratamiento la información pertinente.
5.3 En la medida en que lo exijan las Leyes aplicables en materia de protección de datos, el Encargado del tratamiento designará un delegado de protección de datos que llevará a cabo sus actividades de conformidad con dichas Leyes aplicables en materia de protección de datos. Los datos de contacto del delegado de protección de datos se facilitarán al Responsable del tratamiento a efectos de contacto directo.
5.4 El Encargado del tratamiento informará al Responsable del tratamiento, sin dilación indebida, de cualesquiera auditorías y medidas adoptadas por las autoridades de control o si una autoridad de control solicita, investiga o de otro modo realiza consultas al Encargado del tratamiento.
6. MEDIDAS TÉCNICAS Y ORGANIZATIVAS
6.1 Las Partes acuerdan las medidas de seguridad técnicas y organizativas específicas establecidas en el Anexo 3 (“Medidas técnicas y organizativas”) del presente DPA. El Anexo 3 forma parte integrante del presente DPA.
6.2 Las medidas técnicas y organizativas están sujetas al progreso técnico. A este respecto, se permitirá al Encargado implementar medidas alternativas pero adecuadas de conformidad con las disposiciones del DPA de 4 Momos, las Leyes aplicables de Protección de Datos y el presente DPA. Los cambios significativos en dichas medidas deberán documentarse.
6.3 A solicitud del Responsable, el Encargado demostrará el cumplimiento de las medidas técnicas y organizativas especificadas en el Anexo 3 al Responsable proporcionando pruebas adecuadas de conformidad con los requisitos.
7. DERECHOS DE CONTROL
7.1 El Responsable tendrá derecho a verificar regularmente el cumplimiento de las disposiciones del presente DPA, en particular en lo relativo a la implantación y eficacia de las medidas técnicas y organizativas conforme al Anexo 3. A tal fin, el Responsable podrá solicitar información al Encargado, revisar dictámenes periciales existentes, certificaciones o los resultados de auditorías internas, o inspeccionar las medidas técnicas y organizativas implementadas durante el horario normal de oficina.
7.2 El Responsable informará al Encargado con la debida antelación (por lo general, con dos semanas de antelación) de todas las circunstancias asociadas con la realización de la auditoría. El Responsable llevará a cabo auditorías solo en la medida necesaria (por lo general, una auditoría por año natural) y teniendo debidamente en cuenta las operaciones comerciales del Encargado. Las Partes coordinarán previamente el momento y la modalidad de la auditoría.
7.3 Si el Responsable encomienda a un tercero la realización de la auditoría, obligará por escrito a dicho tercero de la misma manera que el Responsable está obligado frente al Encargado conforme a esta Sección 7 del presente DPA. Además, el Responsable obligará al tercero a guardar secreto y confidencialidad, salvo que el tercero esté sujeto a una obligación profesional de secreto. A petición del Encargado, el Responsable le remitirá inmediatamente los acuerdos de compromiso con el tercero. El Responsable no podrá encomendar la realización de la auditoría a ninguno de los competidores directos del Encargado.
7.4 El Responsable documentará los resultados de cualquier auditoría y compartirá el informe con el Encargado. Si durante la auditoría se identifican errores o irregularidades, el Responsable notificará al Encargado sin demora indebida. Cuando la auditoría revele circunstancias que requieran ajustes en los procedimientos existentes para evitar su reiteración, el Responsable informará al Encargado, sin demora indebida, de los cambios procedimentales necesarios.
8. OBLIGACIONES DE NOTIFICACIÓN DEL ENCARGADO DEL TRATAMIENTO
El Encargado deberá, sin demora indebida, informar al Responsable en caso de interrupción grave de sus operaciones, incumplimientos sospechados e incumplimientos del presente DPA y de las Leyes aplicables en materia de protección de datos, u otras irregularidades en el tratamiento de los datos del Responsable. Esto se aplica, en particular, a la obligación de notificar las brechas de datos a las autoridades competentes y a los interesados afectados, según exijan las Leyes aplicables en materia de protección de datos. El Encargado prestará el apoyo adecuado al Responsable en el cumplimiento de sus obligaciones de notificación de brechas de datos conforme a las Leyes aplicables en materia de protección de datos. El Encargado solo podrá realizar notificaciones relacionadas con brechas de datos por cuenta del Responsable después de recibir instrucciones previas de conformidad con la Sección 3 del presente DPA.
9. SUPRESIÓN Y DEVOLUCIÓN DE DATOS
9.1 A la terminación del Acuerdo Principal o a solicitud del Responsable, el Encargado deberá, sin demora indebida, devolver al Responsable todos los documentos, datos y soportes de datos que se le hayan proporcionado, o, cuando no existan obligaciones legales de conservación, eliminarlos íntegra e irrevocablemente a solicitud del Responsable. Esta obligación también se aplica a todas las copias de los datos, incluidas las copias de seguridad.
9.2 El Encargado podrá conservar la documentación que sirva como prueba del tratamiento de datos de conformidad con el presente DPA y la legislación aplicable. Para dichos datos conservados, las obligaciones establecidas en la Sección 9.1 se aplicarán en consecuencia una vez expirados los plazos de conservación aplicables.
9.3 A solicitud, el Encargado confirmará por escrito al Responsable la supresión completa de los datos. 9.4 Queda excluido cualquier derecho de retención.
10. SUBENCARGADOS DEL TRATAMIENTO
10.1 Los subencargados actuales contratados para la ejecución de este DPA y acordados entre las Partes se especifican en detalle en el Anexo 2 (“Lista de subencargados”).
10.2 Si el Encargado tiene la intención de subcontratar subencargados adicionales para el tratamiento de datos, el Encargado informará al Responsable del tratamiento del cambio o sustitución prevista de subencargados. En casos individuales, el Responsable del tratamiento podrá oponerse a dichos cambios en un plazo de 14 días tras la respectiva notificación. Si este plazo de notificación expira sin oposición del Responsable del tratamiento, el subencargado propuesto se considerará aprobado. Si el Responsable del tratamiento presenta una objeción justificada al nuevo subencargado dentro del plazo de notificación, las Partes cooperarán de buena fe en 6 Momos - DPA para encontrar una solución alternativa. Si el Responsable del tratamiento no confirma una alternativa mutuamente aceptable, el Encargado tendrá derecho a resolver el Contrato Principal y este DPA sin previo aviso, si los Servicios no pueden prestarse sin la intervención del nuevo subencargado.
10.3 A efectos de esta disposición, no se consideran servicios de subencargado aquellos servicios que el Encargado adquiere de terceros como servicios auxiliares en apoyo de la ejecución en virtud del presente DPA, por ejemplo, los servicios de telecomunicaciones.
10.4 Si el Encargado recurre a subencargados, el Encargado deberá garantizar que sus acuerdos contractuales con el subencargado cumplan un nivel de protección de datos equivalente al acordado entre el Responsable del tratamiento y el Encargado y que se cumplan todos los requisitos contractuales y legales; esto se aplicará, en particular, respecto del uso de medidas técnicas y organizativas adecuadas para garantizar un nivel adecuado de seguridad del tratamiento de los datos.
11. RESPONSABILIDAD
11.1 La responsabilidad del Encargado en virtud del presente DPA se regirá por las exenciones y limitaciones de responsabilidad previstas en el Acuerdo Principal. En la medida en que terceros formulen reclamaciones contra el Encargado que sean causadas por el incumplimiento culpable por parte del Responsable del presente DPA o de cualquiera de sus obligaciones como responsable del tratamiento en virtud de las Leyes Aplicables de Protección de Datos, el Responsable deberá, previa primera solicitud, indemnizar y mantener indemne al Encargado frente a dichas reclamaciones.
11.2 El Encargado también será responsable frente al Responsable por cualquier incumplimiento cometido por los subencargados contratados.
11.3 El Responsable se compromete a indemnizar al Encargado, previa primera solicitud, frente a todas las posibles multas impuestas al Encargado correspondientes a la parte de responsabilidad del Responsable por la infracción sancionada con la multa.
12. DISPOSICIONES FINALES
12.1 En caso de cualquier discrepancia, las disposiciones del presente DPA prevalecerán sobre las del Acuerdo Principal.
12.2 Si alguna de las disposiciones del presente DPA fuera inválida o no pudiera hacerse cumplir, la validez de las disposiciones restantes no se verá afectada.
ANEXO 1: DESCRIPCIÓN DEL TRATAMIENTO DE DATOS
Sección | Descripción |
|---|---|
Naturaleza y finalidad del tratamiento | El Encargado tratará los datos con el fin de prestar los Servicios de conformidad con el Acuerdo Principal y el presente DPA. El Encargado solo tratará los datos para las siguientes finalidades: (i) el tratamiento para cumplir con sus obligaciones en virtud del Acuerdo Principal; y (ii) el tratamiento para cumplir cualquier otra instrucción razonable proporcionada por el Responsable que sea coherente con los términos del Acuerdo Principal. |
Tipo de tratamiento de datos | Recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción. |
Categorías de datos personales | Información de contacto del cliente para enviar encuestas posteriores a la compra: |
Interesados | Clientes finales del Responsable. |
Frecuencia y duración del tratamiento de datos | La frecuencia de las actividades de tratamiento es continua. El Encargado tratará los datos hasta la expiración o terminación del Acuerdo Principal de conformidad con sus términos. |
Criterios utilizados para determinar el período durante el cual se conservarán los datos personales | Los criterios del período de conservación se describen en la Sección 9 de este DPA. |
Transferencias a subencargados | El Encargado transferirá datos a subencargados según lo permitido en la Sección 10 de este DPA. |
ANEXO 2: LISTA DE SUBENCARGADOS DEL TRATAMIENTO
Nombre del proveedor | Dirección | Finalidad y descripción del tratamiento de datos | Ubicación del tratamiento de datos |
|---|---|---|---|
Amazon Web Services | Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA | Proveedor de alojamiento en la nube | EE. UU. |
Auth0 | Auth0, LLC, 100 First Street, Floor 6, San Francisco, CA 94105, USA | Proveedor de identidad y autenticación | EE. UU. |
Mixpanel | Mixpanel Inc., One Front Street, 28th Floor, San Francisco, CA 94111, USA | Analítica de producto para la aplicación | EE. UU. |
GitHub | GitHub Inc., 88 Colin P Kelly Jr. Street, San Francisco, CA 94107, USA | Gestión de control de versiones | EE. UU. |
Databricks | Databricks Inc., 160 Spear Street, 15th Floor, San Francisco, CA, USA | Proveedor de plataforma de analítica de data lake | EE. UU. |
Datadog | Datadog, Inc., 620 8th Avenue, Floor 45, New York, NY 10018, USA | Gestión de registros de la aplicación | EE. UU. |
OpenAI | OpenAI, Inc., 3180 18th Street, San Francisco, CA, USA | Proveedor de modelo fundacional | EE. UU. |
Twilio | Twilio Inc., 101 Spear Street, Fifth Floor, San Francisco, CA, USA | Servicio de envío de SMS | EE. UU. |
SendGrid | SendGrid, Inc., 801 California Street, Suite 500, Denver, CO 80202, USA | Servicio de envío de correos electrónicos | EE. UU. |
Google Cloud Platform | Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA | Proveedor de mensajería en la nube para notificaciones push y proveedor de cómputo para runners de GitHub | EE. UU. |
Drata | Drata Inc., 4660 La Jolla Village Drive, San Diego, CA, USA | Plataforma de gestión de cumplimiento | EE. UU. |
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 183 100" xmlns="http://www.w3.org/2000/svg"><path d="M 152.452 37.349 C 136.442 20.842 115.98 6.325 93.049 1.892 C 86.081 0.534 76.773 0.163 71.407 5.736 C 64.565 13.035 70.499 30.487 81.481 29.6 C 87.433 29.072 89.698 22.162 87.042 17.439 C 85.631 14.617 83.027 12.629 80.168 11.079 C 56.02 -2.764 23.38 -4.862 0 11.844" fill="transparent" height="37.34868528749147px" id="rGpqSnR8J" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(3.219 19.212)" width="152.45224485148515px"/><path d="M 0 11.619 C 7.071 11.39 33.491 21.738 40.35 21.268 C 38.499 18.19 37.116 14.915 35.507 11.625 C 33.7 7.867 32.587 3.926 31.702 0" fill="transparent" height="21.28391189647101px" id="I9fuJaf7q" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(139.727 55.754)" width="40.34950693069311px"/></svg>)
