Acuerdo de Tratamiento de Datos (“DPA”)
La presente DPA forma parte del Acuerdo celebrado entre Sign In App ("Sign In Solutions" o "SIS") y usted (el "Cliente") en la Fecha Efectiva (según se define en el Acuerdo). "Sign In Solutions" significa la entidad con la que usted celebró el Acuerdo y "nosotros" significa Sign In Solutions, y todas las referencias al Acuerdo incluirán el presente DPA (incluidas las Cláusulas Contractuales Tipo, tal y como se definen a continuación).
Todos los términos en mayúsculas no definidos en el presente DPA tendrán el significado establecido en el Acuerdo. El presente DPA se aplicará cuando, y sólo en la medida en que, SIS procese sus Datos Personales protegidos por las Leyes de Privacidad Aplicables y los reglamentos aplicables al procesamiento de Datos Personales en virtud del presente DPA. Las firmas de asentimiento de SIS y del Cliente al Acuerdo se considerarán firma, aceptación y acuerdo del presente DPA y de las Cláusulas Contractuales Tipo incorporadas al mismo.
Definiciones
“Acuerdo” | se entenderá el acuerdo escrito o electrónico entre el cliente y SIS para el suministro de productos por parte de SIS al cliente. |
“Afiliados” | significa, por lo que respecta a SIS, las entidades que poseen o controlan SIS, son propiedad o están bajo el control de SIS, o tienen una propiedad o control común con SIS, según se indica a continuación:https://signinapp.com/terms/affiliated-companies/ |
“Leyes de Privacidad Aplicables” | significa cualquier ley o reglamento sobre privacidad, seguridad o protección de datos en la medida en que sea aplicable al tratamiento de Datos Personales en virtud del presente DPA, incluidas cualesquiera leyes o reglamentos vinculantes que ratifiquen, apliquen, adopten, complementen o sustituyan a los anteriores; en cada caso, en la medida en que estén en vigor y sean actualizados, modificados o sustituidos periódicamente. |
“Personal Autorizado” | significa una persona física (incluidos, entre otros, un empleado, un trabajador temporal o un trabajador de agencia) que está autorizada a tratar Datos Personales bajo la autoridad de SIS. |
“Solicitud de Datos del Interesado” | significa una solicitud de de Datos del Interesado para ejercer sus derechos con respecto a los Datos Personales, según lo concedido por las Leyes de Privacidad Aplicables. |
“Instrucciones” | significa instrucciones escritas del cliente a SIS por las que se ordena a SIS que trate los Datos Personales en virtud del Acuerdo, del presente DPA, mediante el uso por parte del cliente de las características y funcionalidades de los productos proporcionados por SIS de conformidad con el Acuerdo o según lo acordado mutuamente por escrito por los signatarios autorizados de ambas partes. |
“Datos Personales del Cliente” | significa cualquier dato personal que SIS procese en nombre del Cliente como procesador de conformidad con el Acuerdo, y tal como se describe más concretamente en la presente DPA. |
“Violación de los Datos Personales” | se entenderá una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a Datos Personales en posesión de SIS o bajo su control (incluidos los transmitidos o almacenados por SIS). |
“Datos Sensibles” | significa (a) número social, número de pasaporte, número de permiso de conducir o identificador similar; (b) número de tarjeta de pago; (c) información laboral, financiera, genética, biométrica o sanitaria; (d) información racial, étnica, de afiliación, de pertenencia a un sindicato o sexual; (e) contraseñas de cuentas; o (f) otra información que entre dentro de la definición de "categorías especiales de datos" según las Leyes de Privacidad Aplicables. |
“Productos” | significa los productos adquiridos por el Cliente en virtud del Acuerdo. |
“Cláusulas Contractuales Tipo" o ("SCCs" o "Cláusulas")” | significa (i) las cláusulas estándar contractuales para transferencias internacionales publicadas por la Comisión Europea el 4 de junio de 2021 que rigen la transferencia de Datos Personales del Espacio Europeo a Terceros Países, adoptadas por la Comisión Europea y el Comisionado Federal Suizo de Protección de Datos e Información ("FDPIC suizo") en relación con las transferencias de datos a Terceros Países (colectivamente "SCCs de la UE"); (ii) la adenda de transferencia internacional de datos ("Addendum de transferencia del Reino Unido") adoptada por la Oficina del Comisario de Información del Reino Unido ("ICO del Reino Unido") para las transferencias de datos del Reino Unido a Terceros Países; o (iii) cualquier cláusula similar de un regulador de protección de datos relativa a las transferencias de datos a Terceros Países; o (iv) cualquier cláusula sucesora de (i) - (iii). |
“Subprocesador” | toda persona o entidad, incluidos los afiliados de SIS, designada por SIS o en su nombre en relación con el tratamiento de Datos Personales en relación con el Acuerdo. |
“Tercer País” | significa países que, cuando así lo regule la legislación aplicable en materia de privacidad, no hayan recibido una decisión de adecuación de una autoridad aplicable en relación con las transferencias de datos, incluidos reguladores como la Comisión Europea, la ICO británica o la FDPIC suiza. |
En el presente DPA, los siguientes términos (y cualesquiera términos sustancialmente similares definidos en la Ley de Privacidad Aplicable) tendrán el significado y se interpretarán de conformidad con la Ley de Privacidad Aplicable: "Empresa", "Responsable del procesamiento", "Encargado del procesamiento", "Interesado", "Venta", "Proveedor de servicios", "Compartir", "Autoridad de control", "Procesamiento(s)" y "Transferencia". |
Procesamiento de datos.
- Cargos de las partes. Entre SIS y el Cliente, el Cliente será el controlador de los Datos Personales del Cliente, y SIS tratará los Datos Personales del Cliente únicamente como procesador que actúa en nombre del Cliente, tal como se describe en el Anexo A (Detalles del Procesamiento) del presente DPA.
- Limitación del objetivo. SIS tratará los datos personales del cliente únicamente en relación con los acuerdos previstos en el presente DPA y de conformidad con las instrucciones legales documentadas del cliente, salvo que la legislación aplicable exija lo contrario. El Cliente da instrucciones a SIS y a sus subprocesadores para que traten los Datos Personales del Cliente en la medida en que sea razonablemente necesario para el suministro de los Productos contemplados en el Acuerdo y para el cumplimiento de sus obligaciones en virtud del Acuerdo.
- Descripción del procesamiento. En el anexo A de la presente DPA se describen con más detalle la naturaleza y los fines del Procesamiento, los tipos de Datos Personales, las categorías de Datos de los Interesados y la duración del Procesamiento.
- Datos sensibles. El Cliente es responsable de garantizar que se adopten las medidas de seguridad adecuadas antes de transmitir o procesar, o antes de permitir que los Usuarios del Cliente transmitan o procesen, cualquier Dato confidencial a través de los Productos. El Cliente adoptará las medidas adicionales (por ejemplo, en relación con la seguridad y el consentimiento) que sean necesarias para proteger dichos Datos Sensibles de conformidad con sus obligaciones en virtud de todas las Leyes de Privacidad Aplicables.
- Terceros Países. En la medida en que dichos datos se transfieran en virtud del presente DPA a un Tercer País, las partes acuerdan atenerse a las SCCs, en su caso, para dichas transferencias. En particular, las transferencias de Datos Personales desde la Unión Europea, el Espacio Económico Europeo, Suiza o el Reino Unido de Gran Bretaña e Irlanda del Norte (" Reino Unido ") a Terceros Países están sujetas a las Cláusulas Contractuales Tipo, Módulo Tres. La información requerida a efectos de las SCCs figura en el Anexo C de la presente DPA. Las SCCs se incorporan al Acuerdo y la aceptación por las partes del presente DPA constituirá la aceptación y firma por las partes de las Cláusulas Contractuales Tipo. Si los términos del Acuerdo entran en conflicto con las SCCs, prevalecerán los términos de las SCCs. No obstante lo anterior, en caso de que se aprueben mecanismos de transferencia de datos en virtud de la legislación aplicable en materia de privacidad, las partes podrán acordar utilizar dichos mecanismos de transferencia de datos en lugar de las Cláusulas Contractuales Tipo.
- Cumplimiento por parte del cliente. El Cliente, en su uso de los Productos, procesará en todo momento los Datos Personales, y proporcionará las Instrucciones para el procesamiento de los Datos Personales, de conformidad con las Leyes de Privacidad Aplicables. El Cliente declara y garantiza que ha obtenido u obtendrá todos los consentimientos, licencias y aprobaciones necesarios para el tratamiento de Datos Personales en virtud del presente DPA y, cuando proceda, que dispone de una base jurídica válida en virtud de las Leyes de Privacidad Aplicables para el tratamiento de Datos Personales en virtud del presente DPA. Si el cliente es un procesador de datos personales, el cliente declara y garantiza que las instrucciones del cliente y el procesamiento de datos personales, incluido el nombramiento de SIS como subprocesador, han sido autorizados por el controlador de datos correspondiente. Además, el cliente declara y garantiza que (i) cumplirá todas las Leyes de Privacidad Aplicables en su actuación derivada del presente DPA; y (ii) ha revisado las prácticas de seguridad de SIS y reconoce que dichas prácticas están diseñadas adecuadamente para garantizar un nivel de seguridad apropiado al riesgo del tratamiento en virtud del presente Acuerdo.
- Obligaciones de notificación relativas a las instrucciones del Cliente. SIS notificará sin demora y por escrito al cliente, sin obligación alguna de prestar asesoramiento jurídico, a menos que lo prohíba la Ley de Privacidad Aplicable, si tiene conocimiento o cree que alguna instrucción de tratamiento de datos del cliente infringe la Ley de Privacidad Aplicable.
Restitución o Eliminación de Datos
- Tras la finalización de los productos, SIS restituirá o eliminará los datos personales según lo establecido en el Acuerdo o en la documentación de servicio aplicable, o proporcionará al cliente la posibilidad de eliminar dichos datos personales directamente a través de las herramientas o funciones puestas a su disposición por el servicio. Las obligaciones anteriores no se aplicarán (a) cuando la eliminación no esté permitida por la legislación aplicable (incluida la Ley de Privacidad Aplicable) o por orden de un organismo gubernamental o regulador; (b) cuando SIS conserve dichos Datos Personales para el mantenimiento de registros internos y el cumplimiento de cualquier obligación legal; y (c) cuando el sistema de conservación de datos o de copia de seguridad similar de SIS en vigor en ese momento almacene Datos Personales, siempre que dichos datos permanezcan protegidos de conformidad con las medidas descritas en el Acuerdo y en el presente DPA.
Personal Autorizado
- SIS se asegurará de que todo el Personal Autorizado sea consciente de la naturaleza confidencial de los Datos Personales y haya firmado acuerdos de confidencialidad o esté sujeto de otro modo a obligaciones vinculantes de confidencialidad que les prohíban revelar o tratar de otro modo cualquier Dato Personal excepto de conformidad con las Instrucciones y sus obligaciones en relación con los Productos.
- SIS tomará las medidas comercialmente razonables para garantizar que el Personal Autorizado haya recibido la formación y la seguridad en materia de privacidad de datos adecuadas a la naturaleza de su tratamiento de Datos Personales y a los requisitos de la Ley de Privacidad Aplicable.
Subprocesadores SIS
- Por la presente, el Cliente autoriza por escrito a SIS a contratar a subprocesadores para el procesamiento (incluida la transferencia) de datos personales en relación con los productos de conformidad con la presente sección 4.
- Una lista de los actuales subprocesadores de SIS (la "lista de subprocesadores") está disponible enhttps://signinapp.com/terms/sub-processors/(SIS podrá actualizar periódicamente dicha URL notificándolo al cliente). Estos Subprocesadores se considerarán autorizados por el Cliente para procesar Datos Personales en relación con el presente DPA. Al menos treinta (30) días antes de permitir que cualquier nuevo Subprocesador acceda o participe en el tratamiento de los Datos Personales del Cliente, SIS añadirá dicho Subprocesador a la Lista de Subprocesadores y notificará al Cliente dicha actualización. El Cliente podrá oponerse a dicha contratación por motivos razonables de protección de datos, notificándolo a SIS en un plazo de diez (10) días a partir de la recepción de la mencionada notificación de SIS.
- Si el Cliente ha planteado una objeción razonable al nuevo Subprocesador, y las partes no han llegado a un acuerdo sobre una solución en un plazo razonable, el Cliente tendrá derecho a rescindir el Acuerdo con un plazo de preaviso determinado de mutuo acuerdo por SIS y el Cliente, sin perjuicio de cualesquiera otros recursos disponibles con arreglo a la ley o al contrato. En este caso, el cliente pagará inmediatamente todos los honorarios y costes adeudados a SIS hasta la fecha de rescisión.
- Si el Cliente no se opone a la contratación de un tercero de conformidad con el apartado 4.2, dicho tercero se considerará un Subprocesador a los efectos del presente DPA.
- SIS se asegurará de que cada Subprocesador esté sujeto a obligaciones relativas al procesamiento de Datos Personales que sean sustancialmente similares a las que SIS está sujeta en virtud del presente DPA.
- SIS será responsable ante el Cliente de cualquier incumplimiento del presente DPA causado por los actos u omisiones de sus subprocesadores.
- Si el Cliente y SIS han suscrito las Cláusulas Contractuales Tipo descritas en la Sección 6 (Transferencias de Datos Personales), las autorizaciones anteriores constituirán el consentimiento previo por escrito del Cliente a la subcontratación por SIS del tratamiento de los Datos Personales si dicho consentimiento es necesario en virtud de las Cláusulas Contractuales Tipo.
Seguridad de los Datos Personales
- El SIS aplicará y mantendrá medidas técnicas y organizativas apropiadas destinadas a (i) garantizar un nivel de seguridad adecuado al riesgo que presente el procesamiento de los datos personales; y (ii) proteger los datos personales contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. Dichas medidas técnicas y organizativas incluirán medidas iguales o superiores a las establecidas en el Anexo B del presente DPA
Transferencias de Datos Personales
- Únicamente en la medida aplicable, o si SIS lo requiere para suministrar los Productos, el Cliente reconoce y acepta que SIS y sus Subprocesadores podrán procesar (incluida la transferencia) Datos Personales en el Reino Unido de Gran Bretaña e Irlanda del Norte ("Reino Unido"), el Espacio Económico Europeo, los Estados Unidos de América, Canadá y en cualquier otro lugar en el que SIS o sus Subprocesadores mantengan operaciones de procesamiento de datos, tal como se establece en la Lista de Subprocesadores. SIS proporcionará en todo momento un nivel adecuado de protección de los Datos Personales, de conformidad con los requisitos de la Ley de Privacidad Aplicable y, en la medida aplicable, con los requisitos que figuran a continuación.
- En relación con el suministro de los productos al cliente, SIS podrá (y autorizar a sus Subprocesadores a) recibir, procesar o transferir datos personales de terceros países, siempre que SIS y sus Subprocesadores tomen medidas para proteger adecuadamente dichos datos de conformidad con la Ley de Privacidad Aplicable. Dichas medidas podrán incluir, en la medida en que estén disponibles y sean aplicables con arreglo a dichas leyes.
- Las partes acuerdan celebrar y cumplir las Cláusulas Contractuales Tipo que se incorporan al presente DPA y que se detallan en el anexo C. En particular, las transferencias de Datos Personales desde la Unión Europea, el Espacio Económico Europeo, Suiza o el Reino Unido por parte del Cliente a SIS o de SIS al Cliente en Terceros Países están sujetas a las Cláusulas Contractuales Tipo, Módulo Dos ("Controlador a Procesador"), y Módulo Tres ("Procesador a Procesador"). La información requerida a efectos de las SCCs figura en el anexo C del presente DPA. En la medida en que para transferir datos a un tercer país se requieran garantías apropiadas o mecanismos de transferencia sustitutivos o adicionales en virtud de la Ley de Privacidad Aplicable, las partes acuerdan aplicarlos tan pronto como sea posible y documentar dichos requisitos de aplicación en un anexo al presente DPA.
- Las Partes reconocen y acuerdan que, teniendo en cuenta, sin limitación, los Datos Personales y los Terceros Países en el ámbito de aplicación, las medidas de seguridad pertinentes en virtud del presente DPA y las partes pertinentes que participan en el procesamiento de dichos Datos Personales, han llevado a cabo una evaluación de la idoneidad del mecanismo de transferencia pertinente adoptado en virtud del presente y han determinado que dicho mecanismo de transferencia está adecuadamente diseñado para garantizar que los Datos Personales transferidos de conformidad con el presente DPA reciban un nivel de protección en el país de destino que sea esencialmente equivalente al garantizado en virtud de las Leyes de Privacidad Aplicables.
Cooperación, Auditoría y Solicitud de Registros
- En la medida en que lo permita la ley, SIS notificará sin demora al Cliente la recepción y verificación de una solicitud del interesado o le aconsejará que presente su solicitud directamente al Cliente. En cualquier caso, el Cliente será responsable de responder a dicha solicitud.
- A petición del Cliente y teniendo en cuenta la naturaleza del procesamiento aplicable a cualquier solicitud del interesado, SIS aplicará las medidas técnicas y organizativas adecuadas para permitir al Cliente cumplir con su obligación de responder a dicha solicitud del interesado y/o para demostrar dicho cumplimiento, siempre que (i) el propio Cliente no pueda responder o satisfacer la solicitud sin la asistencia de SIS y (ii) SIS pueda hacerlo de conformidad con todas las leyes, normas y reglamentos aplicables. El cliente será responsable, en la medida legalmente permitida, de los costes y gastos derivados de dicha asistencia por parte de SIS.
- En caso de que SIS reciba una citación, orden judicial, mandamiento u otra demanda legal de un tercero, de las fuerzas del orden, de un gobierno extranjero o de cualquier otra autoridad pública o judicial que solicite la divulgación de datos personales, SIS deberá, si la ley lo permite, notificar inmediatamente al Cliente por escrito dicha solicitud. SIS sólo accederá a dichas solicitudes de terceros cuando SIS haya determinado que está legalmente obligada a hacerlo, en cuyo caso SIS proporcionará una cooperación razonable al Cliente, a expensas de éste, si el Cliente desea limitar, impugnar o protegerse contra dicha divulgación, en la medida en que lo permita la legislación aplicable. El cliente asumirá todos los riesgos y responsabilidades en la tramitación y respuesta a tales solicitudes de terceros e indemnizará a SIS por todas las pérdidas, costes, daños y perjuicios, reclamaciones, acciones, pleitos, demandas y responsabilidades sufridas o incurridas por SIS o presentadas contra ella derivadas de cualquier solicitud de acceso de terceros o relacionadas con ella.
- SIS, teniendo en cuenta la naturaleza del procesamiento y la información de que disponga SIS, prestará al Cliente cooperación y asistencia razonables para que el Cliente cumpla sus obligaciones con arreglo a la Ley de Privacidad Aplicable, incluida cualquier obligación de realizar una evaluación de impacto sobre la protección de datos, responder a cualquier consulta de cualquier Autoridad de Supervisión o demostrar el cumplimiento de la Ley de Privacidad Aplicable. Las obligaciones a que se refiere el presente documento sólo se aplicarán cuando así lo exija la Ley de Privacidad Aplicable a SIS y siempre que el Cliente no tenga acceso de otro modo a la información pertinente o a la funcionalidad solicitada. El Cliente será responsable, en la medida legalmente permitida, de los costes y gastos derivados de dicha asistencia por parte de SIS.
- A petición del cliente y no más de una vez al año, SIS pondrá a su disposición copias de todos los informes de certificación o certificaciones aplicables que demuestren el cumplimiento por SIS de la Ley de Privacidad Aplicable en relación con el tratamiento por SIS de los datos personales del cliente. Únicamente cuando y en la medida en que (i) lo exijan las Leyes de Privacidad Aplicables y (ii) dichas copias de los informes de certificación o certificaciones sean insuficientes para demostrar el cumplimiento por SIS de las Leyes de Privacidad Aplicables en lo que se refiere al tratamiento por SIS de los Datos Personales en virtud del presente Acuerdo, SIS pondrá a disposición del cliente la información adicional razonablemente necesaria para demostrar el cumplimiento de dichas obligaciones y permitirá y contribuirá a las auditorías, incluidas las inspecciones mutuamente acordadas y gestionadas, de las instalaciones de procesamiento de datos bajo control de SIS realizadas por el cliente o por otro auditor mutuamente acordado por SIS y el cliente.
- Cualquier auditoría o inspección autorizada por la sección 7.5 se producirá únicamente después de que el cliente haya notificado a SIS por escrito con al menos 30 días de antelación y durante una fecha, hora y lugar acordados mutuamente por SIS y el cliente. Las auditorías no deberán interferir injustificadamente en las actividades u operaciones de SIS, y el alcance de las mismas estará sujeto a una aprobación previa razonable por parte de SIS. Las personas encargadas de llevar a cabo dicha auditoría estarán sujetas a un contrato de confidencialidad con SIS. El trabajo requerido por SIS para participar en cualquier auditoría podrá dar lugar a honorarios adicionales (a una tarifa horaria acordada mutuamente) que deberá abonar el cliente, a menos que se acuerde otra cosa por escrito antes del comienzo de dicha auditoría. Para garantizar que SIS cumple la Ley de Privacidad Aplicable y sus obligaciones contractuales en materia de privacidad y seguridad de los datos, el Cliente acepta que SIS no está obligada a proporcionar al Cliente acceso a los sistemas o a la información de SIS de manera que pueda comprometer la seguridad, privacidad o confidencialidad de la información confidencial o de propiedad de otros clientes de SIS.
- Toda información divulgada con arreglo a la presente sección 7 se considerará información confidencial de SIS.
Violación de Datos Personales
- Tras tener conocimiento de una violación de datos personales identificada positivamente, SIS informará al cliente, sin demora indebida (pero a más tardar en 72 horas), de la violación de datos personales y tomará las medidas que SIS, a su entera discreción, considere necesarias y razonables para remediar dicha violación de datos personales (en la medida en que el remedio esté dentro del control razonable de SIS).
- SIS, teniendo en cuenta la naturaleza del procesamiento y la información de que razonablemente disponga, deberá (a) proporcionará al Cliente la cooperación y asistencia razonables necesarias para que el Cliente cumpla sus obligaciones con arreglo a la Ley de Privacidad Aplicable en lo que respecta a la notificación a los reguladores pertinentes y/o a los Datos del Interesado afectados por dicha violación de Datos Personales; y (b) proporcionará al Cliente información bajo el control razonable de SIS relativa a los detalles de la Violación de Datos Personales, incluida, según proceda, la naturaleza de la Violación de Datos Personales, las categorías y el número aproximado de Datos del Interesado y registros de Datos Personales afectados, y las consecuencias probables de la Violación de Datos Personales.
- Las obligaciones descritas en la presente sección 8 no se aplicarán en caso de que la Violación de Datos Personales sea consecuencia de acciones u omisiones del Cliente. En ningún caso la cooperación u obligación de SIS de informar o responder a una Violación de Datos Personales con arreglo a la presente Sección se interpretará como un reconocimiento por parte de SIS de culpa o responsabilidad alguna con respecto a la Violación de Datos Personales.
- A menos que lo prohíba una ley aplicable o una orden judicial, el Cliente notificará a SIS cualquier proceso legal de terceros relacionado con cualquier Violación de Datos Personales, incluido, entre otros, cualquier proceso legal iniciado por cualquier entidad gubernamental.
Miscelaneos
- Todas las notificaciones al Cliente en virtud del presente DPA se enviarán por correo electrónico y se dirigirán al administrador del sistema designado por el Cliente para los Productos y al contacto de "avisos legales y de privacidad" en caso de que el Cliente lo haya facilitado junto con el Acuerdo. El Cliente podrá actualizar estos contactos en cualquier momento enviando un correo electrónico a privacy@signinsolutions.com.
- La responsabilidad de SIS y de sus respectivos empleados, directores, funcionarios, afiliados, sucesores y cesionarios (las "Partes SIS"), derivada del presente DPA o relacionada con él, ya sea contractual, extracontractual o de otro tipo, estará sujeta a la sección "Exclusión de garantías, limitación de responsabilidad e indemnización" del Acuerdo, y toda referencia en dicha sección a la responsabilidad de SIS o de las Partes SIS significará la responsabilidad total de las Partes SIS en virtud del Acuerdo y del presente DPA conjuntamente.
- El presente DPA se entiende sin perjuicio de los derechos y obligaciones de las partes en virtud del Acuerdo, que seguirá teniendo plena vigencia y efecto. En caso de conflicto entre los términos del presente DPA y los términos del Acuerdo, prevalecerán los términos del presente DPA. En caso de conflicto entre los términos del presente DPA y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo únicamente en la medida en que sean de aplicación.
- A menos que el presente DPA o la legislación aplicable en materia de privacidad exijan lo contrario, el Cliente y SIS acuerdan que las disposiciones sobre resolución de litigios del Acuerdo (incluida la legislación aplicable y la jurisdicción) se aplicarán al presente DPA.
Anexo A
Detalles del Procesamiento
Exportador de datos:
Nombre, dirección e información de contacto:
Según lo dispuesto en el Acuerdo.Actividades relacionadas con los datos transferidos en virtud de las Cláusulas:
Recepción de los Productos en virtud del Acuerdo.Firma y fecha:
Según lo dispuesto en el Acuerdo.Importador de datos:
Nombre: Sign In Solutions Inc.
Dirección:
150 2nd Ave N, Suite 1540 St. Petersburg FL, USA 33701Jason Mordeno: Global Privacy Officerprivacy@signinsolutions.com
Actividades relacionadas con los datos transferidos en virtud de las Cláusulas:
El suministro, mantenimiento y aseguramiento de los Productos.Firma y fecha:
Según lo dispuesto en el Acuerdo.- Detalles del Procesamiento de Datos:
- Asunto: El asunto del procesamiento de datos bajo esta DPA son los Datos Personales del Cliente.
- Duración: En lo que respecta a SIS y el Cliente, la duración del tratamiento de datos con arreglo al presente APD será hasta la expiración o rescisión del Acuerdo de conformidad con sus términos.
- Objetivo: SIS únicamente tratará los datos personales del cliente para los siguientes fines: (i) procesamiento para cumplir con sus obligaciones en virtud del Acuerdo; y (ii) procesamiento para cumplir con cualquier otra instrucción razonable proporcionada por el cliente (por ejemplo, a través de correo electrónico o tickets de asistencia) que sea coherente con los términos del Acuerdo (individual y colectivamente, la "Objetivo").
- Naturaleza del procesamiento: SIS presta apoyo al Cliente en su utilización de los Productos, tal como se describe más concretamente en el Acuerdo.
- Categoría de datos del interesado: Empleados y Usuarios del Cliente (tal y como se define este término en el Acuerdo).
Categorías de Datos Personales del Cliente: El Cliente podrá cargar, enviar o facilitar de cualquier otro modo determinados datos personales a SIS, cuyo alcance será determinado y controlado normalmente por el Cliente a su entera discreción, y podrá incluir los siguientes tipos de datos personales:
- Datos de identificación del Interesado (nombre y apellidos), información de contacto (que puede incluir una parte o la totalidad de la dirección de correo electrónico, la dirección, el número de teléfono y la ubicación del Titular de los datos, así como información informática (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de ubicación, datos del navegador) y
- Cualquier otro dato personal que decida incluir en su instancia de los Productos para que los Sujetos de Datos entren, especialmente Datos Sensibles para los que haya recibido el consentimiento explícito de un Interesado de Datos para el Procesamiento de dichos Datos Sensibles para los fines previstos y sujeto a la Cláusula 1.4 de esta DPA, Datos Sensibles.
- Procesamiento de Operaciones: Los Datos Personales del Cliente se procesarán de conformidad con el Acuerdo (incluida la presente DPA) y podrán estar sujetos a las siguientes actividades de procesamiento: Almacenamiento y otros procesamientos necesarios para proporcionar, mantener y mejorar los Productos y Productos Profesionales proporcionados al Cliente de conformidad con el Acuerdo; y/o Divulgaciones de conformidad con esta DPA y/o según lo exija la legislación aplicable.
Anexo B
Medidas Técnicas y Organizativas
SIS deberá:
- Proporcionar un nivel de medidas técnicas y organizativas (incluidas las Medidas de Seguridad y Cumplimiento adecuadas en relación con las categorías o la naturaleza de los Datos del Cliente) apropiadas para proteger contra los daños que pudieran derivarse de una violación de los datos, que incluirán, entre otras cosas:
- Controles de Gobernanza, Riesgo y Cumplimiento
- Gobernanza - SIS mantiene un programa de gobernanza, riesgo y cumplimiento, que es un conjunto de procesos, políticas y procedimientos con el fin de operar de acuerdo con las leyes, reglamentos y normas industriales pertinentes;
- Riesgo - SIS gestiona marcos de riesgo que identifican y gestionan los riesgos para la tecnología y los sistemas de procesamiento de datos;
- Cumplimiento - SIS mantiene procesos de seguridad y cumplimiento y lleva a cabo auditorías que examinan nuestros controles con la gestión y la salvaguarda de los datos de los clientes;
- Controles de Seguridad de las Infraestructuras
- Supervisión - SIS mantiene sistemas de supervisión de la seguridad, que incluyen, entre otros, la detección y prevención de intrusiones, la supervisión del tráfico y la supervisión de la integridad de los archivos.
- Autenticación - SIS mantiene procesos eficaces de autenticación que se mantienen para proteger los datos de los clientes (por ejemplo, autenticación de múltiples factores para acceso privilegiado o información restringida);
- Gestión de vulnerabilidades - SIS cuenta con una política y un proceso definidos que establecen los requisitos para evaluar y gestionar las vulnerabilidades;
- Controles de Seguridad de la Red
- Puntos de acceso - SIS mantiene la autenticación y supervisión de los derechos de acceso con el acceso a la red y mediante la aplicación de políticas técnicas para prevenir cualquier amenaza interna y externa planteada por el acceso;
- Gestión de la Red de Funciones y Responsabilidades - define grupos autorizados, funciones y responsabilidades para la gestión de los componentes de la red;
- Eventos del sistema y de seguridad/cortafuegos - SIS registra automáticamente los eventos del sistema y de seguridad, revisa los registros periódicamente, los problemas identificados se investigan y resuelven a tiempo;
- Controles de Seguridad de Datos
- Políticas técnicas y organizativas - SIS dispone de procesos para la clasificación, gestión, acceso, uso y destrucción de datos;
- Encriptación - SIS encripta los datos en transmisión, en tránsito, en reposo y en almacenamiento utilizando herramientas de encriptación estándar de la industria;
- Claves de encriptación - SIS salvaguarda la seguridad y confidencialidad de todas las claves de encriptación asociadas con los datos encriptados del cliente;
- Controles de acceso basados en funciones - SIS practica el método del mínimo privilegio que limita el acceso de los usuarios a las personas autorizadas;
- Copias de seguridad programadas: SIS realiza copias de seguridad de los datos del cliente con regularidad, según lo requiera el cliente, y se asegura de que cualquier copia de seguridad de datos esté sujeta a las medidas de seguridad apropiadas, según sea necesario, para proteger la confidencialidad, integridad y disponibilidad de los datos del cliente;
- Controles de Gobernanza, Riesgo y Cumplimiento
Anexo C
Cláusulas Contractuales Tipo
Las partes acuerdan que los datos personales transferidos entre y por las partes a Terceros Países estarán sujetos a las Cláusulas Contractuales Tipo en la medida en que sean aplicables y según se establezca con mayor detalle en la DPA.
- Las partes reconocen la importancia de la protección de los datos personales y las restricciones legales a las transferencias internacionales de dichos datos a Terceros Países.
- En consecuencia, las partes acuerdan acatar el RGPD, la DPA 2018 del Reino Unido y la DPA suiza, así como otras Leyes de Privacidad Aplicables que reconozcan las Cláusulas Contractuales Tipo o principios similares, según corresponda, y suscriben estas cláusulas contractuales tipo para garantizar que las transferencias de datos personales a Terceros Países sean lícitas y estén sujetas a protecciones de datos adecuadas. En la medida en que una transferencia de datos personales esté sujeta al artículo 3, apartado 2, del RGPD, no se aplicará el presente anexo C.
- ACLARACIÓN DE DEFINICIONES Y TÉRMINOS
- Los términos "controlador de datos" o "controlador", "exportador de datos", "importador de datos", "procesador de datos" y "Datos personales" tendrán el significado según el RGPD, la DPA 2018 del Reino Unido, la DPA suiza u otra ley de Privacidad Aplicable, según corresponda.
- Para las transferencias de Datos Personales a Terceros Países procedentes de fuera de la UE, las referencias al Reglamento General de Protección de Datos se sustituirán por la Ley de Privacidad Aplicable y las referencias a la "UE", "Unión" o "Estado Miembro" se sustituirán por la región de origen aplicable.
- Sección 1 Cláusula 1 (a) de las Cláusulas Contractuales Tipo (Definición de Importador de Datos): Por "importador de datos" se entiende SIS.
- Sección 1 Cláusula 1 (a) de las Cláusulas Contractuales Tipo (Definición de Exportador de Datos):Por "exportador de datos" se entiende el Cliente.
- Con respecto a las objeciones a los subprocesadores en virtud de la cláusula 9 de la sección 1, se aplicará el proceso establecido en la sección 4 del presente DPA.
- MÓDULOS APLICABLES
Con respecto al procesamiento de datos personales aplicables:
- Cuando el cliente sea exportador y responsable del procesamiento de datos y SIS sea importador y responsable del procesamiento de datos, se aplicará el módulo 1.
- Cuando el cliente sea exportador y responsable del procesamiento de datos y SIS sea importador y responsable del procesamiento de datos, se aplicará el módulo 2.
- Cuando el cliente sea exportador y responsable del procesamiento de datos, y SIS sea importador y subprocesador de datos, se aplicará el módulo 3.
- Las referencias al módulo 4 en los SCCs no se aplicarán y el lenguaje que haga referencia a dicho módulo no se tratará como parte de este DPA.
- ENMIENDAS O ACTUALIZACIONES
En la medida en que se exijan salvaguardias adicionales apropiadas en virtud de la Ley de Privacidad Aplicable que reconozca las Cláusulas Contractuales Tipo o principios similares para exportar datos a cualquier Tercer País, o en la medida en que las Cláusulas Contractuales Tipo sean sustituidas o reemplazadas o no reconocidas en virtud de dicha ley, las partes acuerdan o bien aplicarlas con prontitud o bien acordar utilizar otro método aceptable para la transferencia de dichos datos y modificar con prontitud el presente Anexo C según sea necesario para cumplir con dichos requisitos.
- CONFLICTOS
Si los términos del Acuerdo o del DPA entran en conflicto con las Cláusulas Contractuales Tipo, prevalecerán los términos de las Cláusulas Contractuales Tipo.
- CLÁUSULAS CONTRACTUALES TIPO
- Las Cláusulas Contractuales Tipo se considerarán incorporadas al presente DPA y se aplicarán tal y como se completan a continuación:
- En la Cláusula 7, se considerará incorporada la "Cláusula de Acoplamiento (Opcional)".
- En la Cláusula 9, se selecciona la Opción 2, y el plazo para la notificación previa de adición o sustitución de Subprocesadores será el establecido en el DPA.
- En la cláusula 11, no se aplicará el lenguaje opcional.
- En la Cláusula 13, la autoridad de control competente será la Comisión Irlandesa de Protección de Datos cuando se apliquen las SCCs de la UE, la FDPIC cuando se aplique la DPA suiza y el Comisario de Información del Reino Unido cuando se aplique el Anexo de Transferencia del Reino Unido.
- En la Cláusula 17, se selecciona la Opción 2, y las Cláusulas Contractuales Tipo se regirán por la legislación de Irlanda donde se apliquen las SCCs de la UE, la legislación de Suiza donde se aplique la DPA suiza y la legislación de Inglaterra y Gales donde se aplique el Addendum de Transferencia del Reino Unido.
- En la Cláusula 18(b), los litigios se resolverán ante los tribunales de Irlanda donde se apliquen las SCCs de la UE, los tribunales de Suiza donde se aplique la DPA suiza y los tribunales de Inglaterra y Gales donde se aplique el Addendum de Transferencia del Reino Unido.
- Los Anexos I y II de los SCCs son los que figuran en los Anexos A y B del presente DPA; y el Anexo III es el que figura en la Lista de Subprocesadores.
- A efectos del Anexo de Transferencia del Reino Unido, las Cláusulas Contractuales Tipo se interpretarán de conformidad con la Parte 2 del Anexo de Transferencia del Reino Unido; las Secciones 9 - 11 del Anexo de Transferencia del Reino Unido prevalecerán sobre la Cláusula 5 de las SCCs de la UE y tanto el "Importador" como el "Exportador" podrán poner fin al Anexo de Transferencia del Reino Unido según lo establecido en la Sección 19 del Anexo de Transferencia del Reino Unido.
Al suscribir el DPA, se considera que las Partes firman las Cláusulas Contractuales Tipo aplicables.