Sign In App

Acuerdo de procesamiento de datos (“DPA”)

Definiciones

“Acuerdo”	significa el acuerdo escrito o electrónico entre el Cliente y SIA para el suministro de Productos y/o servicios por parte de SIA al Cliente.
"Datos Personales del Cliente"	significa cualquier dato personal que SIA procese en nombre del Cliente como procesador en virtud del Acuerdo, y como se describe más particularmente en este DPA.
"Leyes de Protección de Datos"	significa todas las leyes de protección de datos y privacidad aplicables al tratamiento de datos personales en virtud del Acuerdo, incluyendo, cuando sea aplicable, la Ley de Protección de Datos del EEE y el RGPD del Reino Unido.
"Ley de Protección de Datos del EEE"	significa (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) ("RGPD"); y (ii) la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.
“EEE”	significa, a efectos del presente DPA, los Estados miembros de la Unión Europea, Islandia, Liechtenstein y Noruega.
“Cláusulas Contractuales tipo de la UE”	significa las nuevas cláusulas contractuales tipo para los encargados del tratamiento aprobadas por la Comisión Europea tras la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, de conformidad con el Reglamento (UE) 2016/679).
“Incidente de Seguridad”	significa cualquier violación no autorizada o ilegal de la seguridad que conduzca a la destrucción, pérdida o alteración accidental o ilegal de los Datos Personales del Cliente, o a la divulgación no autorizada o al acceso a los mismos en los sistemas gestionados o controlados de otro modo por SIA.
“Datos Sensibles”	significa (a) número de seguridad social, número de pasaporte, número de licencia de conducir o identificador similar (o cualquier parte del mismo); (b) número de tarjeta de crédito o débito (que no sea el truncado (últimos cuatro dígitos) de una tarjeta de crédito o débito); (c) información laboral, financiera, genética, biométrica o de salud; (d) la afiliación racial, étnica, política o religiosa, la pertenencia a un sindicato o la información sobre la vida sexual o la orientación sexual; (e) las contraseñas de las cuentas; o (f) cualquier otra información que entre dentro de la definición de “categorías especiales de datos“ según el RGPD del Reino Unido o cualquier otra ley de protección de datos aplicable.
“Subprocesador”	means any processor engaged by SIA or its Affiliates to assist in fulfilling its obligations under the Agreement or this DPA. Sub-processors may include third parties or Affiliates of SIA but shall exclude SIA employees or consultants.
"Subprocesador de terceros países"	means any Sub-processor incorporated outside the EEA or UK and outside any country for which the European Commission or the UK Information Commissioner's Office (as applicable) has published an adequacy decision.
“RGPD del Reino Unido”	means Regulation (EU) 2016/679 General Data Protection Regulation as it forms part of the law of England and Wales, Scotland, and Northern Ireland by virtue of section 3 of the European Union (Withdrawal) Act 2018 and amended by the Data Protection, Privacy and Electronic Communications (Amendments etc.), (EU Exit) Regulations, the Data Protection Act 2018 (and regulations made thereunder); and the Privacy and Electronic Communications Regulations 2003, in each case, as may be amended, superseded or replaced.
"Cláusulas Contractuales Estándar del Reino Unido"	significa: (i) Anexo de Transferencia de Datos del Reino Unido: las Cláusulas Contractuales Estándar de la UE aplicables, modificadas por un anexo de transferencia de datos en una forma adoptada por la Oficina del Comisario de Información del Reino Unido, según se modifique, sustituya o reemplace de vez en cuando; o (ii) SCC de Controlador-Procesador del Reino Unido: un acuerdo de transferencia internacional de datos (IDTA) en el formulario publicado por la Oficina del Comisario de Información del Reino Unido entre un controlador como "exportador de datos" y un procesador como "importador de datos", según se modifique, sustituya o reemplace de vez en cuando; o (iii) Cláusulas Contractuales Estándar Controlador-Controlador del Reino Unido: un acuerdo de transferencia de datos en el formulario publicado por la Oficina del Comisario de Información del Reino Unido entre un controlador como "exportador de datos" y un controlador como "importador de datos", según se modifique, sustituya o reemplace de vez en cuando.
"Los términos "datos personales", "controlador", "procesador" y "procesamiento" tendrán el significado que se les otorga en el RGPD del Reino Unido, y "proceso" "procesos" y "procesado" se interpretarán en consecuencia. Toda referencia a una "Sección" en este DPA es una referencia a las Secciones de este DPA.

1. Funciones y Responsabilidades

   1. Funciones de las partes. Entre SIA y el Cliente, el Cliente es el controlador de los Datos Personales del Cliente, y SIA procesará los Datos Personales del Cliente sólo como un procesador que actúa en nombre del Cliente como se describe en el Anexo A (Detalles del Procesamiento) de este DPA.
   2. Limitación de la finalidad. SIA tratará los Datos Personales del Cliente únicamente en relación con los acuerdos previstos en el presente DPA y de acuerdo con las instrucciones legales documentadas del Cliente, salvo que la legislación aplicable exija lo contrario. El Cliente da instrucciones a SIA y a sus subprocesadores para que traten los Datos Personales del Cliente en la medida en que sea razonablemente necesario para la prestación de los servicios contemplados en el Acuerdo y para el cumplimiento de sus obligaciones en virtud del mismo.
   3. Datos sensibles. El Cliente es responsable de garantizar que se establezcan las salvaguardias adecuadas antes de transmitir o procesar, o antes de permitir que los Usuarios del Cliente transmitan o procesen, cualquier Dato Sensible a través de los Productos.
   4. Cumplimiento del cliente. El Cliente declara y garantiza, y procurará que los Usuarios a los que se refieren los Datos Personales del Cliente declaren y garanticen que (i) ha cumplido, y continuará cumpliendo, con todas las Leyes de Protección de Datos aplicables con respecto a su procesamiento de los Datos Personales del Cliente y cualquier instrucción de procesamiento que emita a SIA; y (ii) ha proporcionado, y continuará proporcionando, toda la notificación y ha obtenido, y continuará obteniendo, todos los consentimientos y derechos necesarios bajo las Leyes de Protección de Datos para que SIA procese los Datos Personales del Cliente para los fines descritos en el Acuerdo. El Cliente será el único responsable de la exactitud, la calidad y la legalidad de los Datos Personales del Cliente y de los medios por los que el Cliente adquirió los Datos Personales del Cliente. Sin perjuicio de la generalidad de lo anterior, el Cliente acepta que será responsable del cumplimiento de todas las leyes (incluidas las Leyes de Protección de Datos) aplicables a cualquier correo electrónico u otro contenido creado, enviado o gestionado en virtud del Acuerdo, incluidas las relativas a la obtención de consentimientos (cuando sea necesario) para enviar correos electrónicos, el contenido de los mismos y sus prácticas de despliegue de correo electrónico. SIA no tendrá ninguna responsabilidad frente a los Usuarios, y el Cliente indemnizará plenamente a SIA por todas las pérdidas que se produzcan como consecuencia de que un Usuario presente una reclamación independiente contra SIA o sus Afiliadas en virtud de este DPA o en relación con él.
   5. Obligaciones de notificación relativas a las instrucciones del Cliente. SIA notificará de inmediato al Cliente por escrito, sin obligación de prestar asesoramiento jurídico, a menos que lo prohíba la Legislación sobre Protección de Datos, si tiene conocimiento o cree que alguna instrucción de tratamiento de datos del Cliente infringe la Legislación sobre Protección de Datos.

2. Subprocesamiento

   1. Subprocesadores autorizados. El Cliente acepta que SIA pueda contratar a Subprocesadores para procesar los Datos Personales del Cliente en su nombre. Los subprocesadores actualmente contratados por SIA y autorizados por el Cliente son los que se identifican aquí. El Cliente acepta además que SIA pueda transferir Datos Personales a sus Afiliadas (tal y como se define este término en el Acuerdo) únicamente con el fin de utilizar funciones empresariales compartidas (por ejemplo, la contabilidad) y para el análisis del rendimiento empresarial del grupo, y siempre que dicha transferencia se realice de conformidad con un acuerdo escrito de intercambio de datos y en cumplimiento de las Leyes de Protección de Datos.
   2. Objeción a los subprocesadores.. El Cliente podrá oponerse por escrito a la designación por parte de SIA de un nuevo Subencargado del tratamiento en un plazo de siete (7) días naturales a partir de la recepción de la notificación de conformidad con el apartado 2.1, por correo electrónico al usuario principal del portal y al contacto del portal tecnológico, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. Si el Cliente no se opone al Subencargado del tratamiento en el plazo de siete días naturales desde la recepción de la información, se considerará que el Cliente ha aceptado al Subencargado del tratamiento. Si el Cliente ha planteado una objeción razonable al nuevo Subencargado, y las partes no han llegado a un acuerdo sobre una solución en un plazo razonable, el Cliente tendrá derecho a rescindir el Acuerdo con un plazo de preaviso determinado por el Cliente, sin perjuicio de cualquier otro recurso disponible en virtud de la ley o del contrato.
   3. Obligaciones del subprocesador.. SIA deberá: (i) celebrar un acuerdo por escrito con cada Subprocesador que contenga obligaciones de protección de datos que proporcionen una protección equivalente para los Datos Personales del Cliente a las de este APD, en la medida en que sea aplicable a la naturaleza de los servicios prestados por dicho Subprocesador; y (ii) seguir siendo responsable del cumplimiento de las obligaciones de este APD por parte de dicho Subprocesador y de cualquier acto u omisión de dicho Subprocesador que haga que SIA incumpla cualquiera de sus obligaciones en virtud de este APD.

3. Seguridad

   1. Medidas de seguridad.. SIA implementará y mantendrá las medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente de los Incidentes de Seguridad y para preservar la seguridad y confidencialidad de los Datos Personales del Cliente de acuerdo con las normas de seguridad de SIA descritas en el Anexo B ("Medidas de Seguridad"). El Cliente reconoce y acepta que las Medidas de Seguridad que debe aplicar SIA son apropiadas para cumplir con los requisitos de las Leyes de Protección de Datos aplicables.
   2. Confidencialidad del tratamiento. SIA se asegurará de que cualquier persona autorizada por SIA para procesar los Datos Personales del Cliente (incluyendo su personal, agentes y subcontratistas) tenga una obligación de confidencialidad acorde con las obligaciones de confidencialidad del Acuerdo.
   3. Actualizaciones de las medidas de seguridad. El Cliente es responsable de revisar la información puesta a disposición por SIA en relación con la seguridad de los datos y de determinar de forma independiente si el Software Autorizado cumple con los requisitos y las obligaciones legales del Cliente en virtud de las Leyes de Protección de Datos. El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso y desarrollo técnico y que SIA puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no supongan la degradación de la seguridad general de los Servicios prestados al Cliente.
   4. Respuesta a incidentes de seguridad. Al tener conocimiento de un Incidente de Seguridad, una Parte deberá (i) notificar a la otra Parte sin demora indebida después de tener conocimiento del Incidente de Seguridad; (ii) proporcionar información oportuna relacionada con el Incidente de Seguridad tal como se conozca o cuando la otra Parte lo solicite razonablemente; y (iii) tomar rápidamente medidas razonables para contener e investigar cualquier Incidente de Seguridad. La notificación o la respuesta a un incidente de seguridad en virtud de la presente sección 3.4 no se interpretará como un reconocimiento por parte de dicha parte de cualquier culpa o responsabilidad con respecto al incidente de seguridad.

4. Informes de seguridad

   1. Registros. Previa solicitud razonable por escrito del Cliente, SIA pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA, siempre y cuando nada en esta Sección 4.1 requiera que SIA proporcione al Cliente cualquier Información Confidencial de SIA.

5. Transferencias internacionales

   1. Limitaciones de las transferencias internacionales. Los Datos Personales del Controlador de Datos del EEE, del Reino Unido o de Suiza sólo pueden ser exportados a SIA (o a sus Afiliados) o a sus Subprocesadores autorizados fuera del EEE, del Reino Unido o de Suiza, según corresponda, o acceder a ellos (“Transferencia Internacional“):
      1. Si el receptor, o el país o territorio en el que procesa o accede a los Datos Personales del Cliente, garantiza un nivel adecuado de protección de los derechos y libertades de los Sujetos de Datos en relación con el procesamiento de los Datos Personales del Cliente, según lo determinado por la Comisión Europea u otro organismo regulador de la jurisdicción competente; o
      2. De acuerdo con las Cláusulas Contractuales Estándar y el Marco Múltiple, tal y como se establece en la Sección 5.2 más adelante.
   2. Las Cláusulas Contractuales Tipo se aplican cuando (i) hay una Transferencia Internacional a un país que no garantiza un nivel adecuado de protección de los derechos y libertades de los Sujetos de Datos en relación con el tratamiento de los Datos Personales del Cliente según lo determinado por la Comisión Europea u otro organismo regulador de la jurisdicción competente, y/o (ii) hay una Transferencia Internacional a un receptor que no está cubierto por una salvaguarda apropiada, incluyendo, pero no limitado a, normas corporativas vinculantes, un código de conducta de la industria aprobado, y una decisión de adecuación individual por un organismo regulador de las jurisdicciones competentes, o una autorización de transferencia individual concedida por un organismo regulador de la jurisdicción competente.
   3. Transferencias de datos del EEE. Cuando se apliquen las Cláusulas Contractuales Tipo: (i) SIA acepta que es el "importador de datos" y el Cliente es el "exportador de datos" en virtud de las Cláusulas Contractuales Tipo; (ii) el Anexo A y el Anexo B de este DPA sustituirán a los Anexos 1 y 2 de las Cláusulas Contractuales Tipo, respectivamente.
   4. En el caso de los subprocesadores de terceros países, SIA se asegurará de que dicho subprocesador haya suscrito la versión no modificada de las Cláusulas Contractuales Tipo antes de que el subprocesador procese los datos personales del cliente.
   5. El Procesador de Datos, previa solicitud por escrito del Controlador de Datos, antes de transferir los Datos Personales del Cliente a Subprocesadores de Terceros Países, solicitará al importador de datos que proporcione al Controlador de Datos una evaluación por escrito sobre si la legislación del tercer país de destino garantiza una protección adecuada, en virtud de la Ley de Protección de Datos Aplicable, de los datos personales transferidos en virtud de las Cláusulas Contractuales Estándar, proporcionando, cuando sea necesario, salvaguardas adicionales a las ofrecidas por esas Nuevas Cláusulas Contractuales Estándar.
   6. Además, antes de transferir los Datos Personales del Cliente a Subprocesadores de Terceros Países o de procesar los Datos Personales del Cliente en dichos terceros países, el Procesador de Datos debe hacer todo lo posible para implementar garantías apropiadas (en particular, pero sin limitarse a ellas, técnicas y organizativas) capaces de asegurar que los sujetos de datos cuyos datos personales se transfieren al tercer país de destino en virtud de las Cláusulas Contractuales Estándar disfruten de un nivel de protección esencialmente equivalente al que se garantiza en virtud de las Leyes y Reglamentos de Protección de Datos.

6. Devolución o supresión de datos

   1. Supresión a la terminación. Tras la terminación o el vencimiento del Acuerdo, SIA deberá (a elección del Cliente) eliminar o devolver al Cliente todos los Datos Personales del Cliente (incluidas las copias) que estén en su poder o bajo su control, con la salvedad de que este requisito no se aplicará en la medida en que SIA esté obligada por la legislación aplicable a conservar algunos o todos los Datos Personales del Cliente, o los Datos Personales del Cliente que haya archivado en sistemas de copia de seguridad, que SIA aislará de forma segura, protegerá de cualquier tratamiento posterior y finalmente eliminará de conformidad con las políticas de conservación de datos de SIA, salvo en la medida en que lo exija la legislación aplicable.

7. Derechos del interesado y cooperación

   1. Solicitudes de los interesados.. SIA proporcionará una cooperación razonable para ayudar al Cliente a responder a cualquier solicitud de particulares o de las autoridades de protección de datos aplicables en relación con el tratamiento de los Datos Personales del Cliente en virtud del Acuerdo. En el caso de que cualquier solicitud de este tipo se haga a SIA directamente, SIA no responderá a dicha comunicación directamente, excepto cuando sea apropiado (por ejemplo, para dirigir al sujeto de los datos a ponerse en contacto con el Cliente) o se requiera legalmente, sin la autorización previa del Cliente. Si SIA está obligada a responder a dicha solicitud, lo notificará de inmediato al Cliente y le proporcionará una copia de la solicitud, a menos que la ley se lo prohíba. Para evitar dudas, nada de lo dispuesto en el Acuerdo (incluido el presente DPA) restringirá o impedirá que SIA responda a cualquier solicitud del interesado o de la autoridad de protección de datos en relación con los datos personales de los que SIA es responsable.
   2. Evaluación del impacto de la protección de datos. TEn la medida en que lo exijan las Leyes de Protección de Datos aplicables, SIA proporcionará (a expensas del Cliente) toda la información razonablemente solicitada en relación con el Software Autorizado u otros productos o servicios (según corresponda) para que el Cliente pueda llevar a cabo evaluaciones de impacto sobre la protección de datos o consultas previas con las autoridades de protección de datos, según lo exija la ley.

8. Derechos de auditoría

   1. SSujeto a la presente sección 8, SIA pondrá a disposición del Cliente mediante previa solicitud, toda la información necesaria para demostrar el cumplimiento del presente DPA, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o por un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales del Cliente por parte de SIA o de los subprocesadores autorizados.
   2. Los derechos de información y auditoría del Cliente sólo surgen en virtud de la sección 8.1 en la medida en que la DPA no otorgue al Cliente otros derechos de información y auditoría que cumplan con los requisitos pertinentes de la Ley de Protección de Datos.

9. Limitación de la responsabilidad

   1. El Cliente será responsable de, e indemnizará (y mantendrá indemnizada) a SIA con respecto a cualquier acción, procedimiento, responsabilidad, coste, reclamación, pérdida, gasto (incluidos los honorarios y pagos razonables de abogados y clientes), o demanda sufrida o incurrida por, otorgada contra, o acordada para ser pagada por, SIA que surja directamente o en relación con las actividades de procesamiento del Cliente que están sujetas a este DPA:
      1. cualquier incumplimiento por parte del Cliente de las Leyes de Protección de Datos;
      2. cualquier tratamiento llevado a cabo por SIA de acuerdo con las instrucciones dadas por el Cliente que infrinjan las Leyes de Protección de Datos; o
      3. cualquier incumplimiento por parte del Cliente de sus obligaciones en virtud del Acuerdo;
      excepto en la medida en que SIA sea responsable en virtud de la Sección 9.3.
   2. SIA será responsable de, e indemnizará (y mantendrá indemnizado) al Cliente con respecto a cualquier acción, procedimiento, responsabilidad, coste, reclamación, pérdida, gasto (incluidos los honorarios y pagos razonables de abogados y clientes), o demanda sufrida o incurrida por, otorgada contra, o acordada para ser pagada por, el Cliente que surja directamente o en relación con las actividades de procesamiento de SIA que están sujetas a este DPA.
      1. sólo en la medida en que se deriven de la violación o el incumplimiento por parte de SIA del presente Acuerdo, de las instrucciones del Cliente o de las leyes de protección de datos; y
      2. no en la medida en que las mismas sean, o contribuyan a ser, por cualquier incumplimiento de la DPA por parte del Cliente.
   3. El Cliente no tendrá derecho a reclamar a SIA ninguna cantidad pagada en concepto de indemnización por el Cliente en relación con cualquier daño en la medida en que el Cliente esté obligado a indemnizar a SIA en virtud de la Sección 9.2.
   4. Cualquier reclamación contra SIA o sus Afiliadas en virtud de este DPA o en relación con el mismo (incluyendo, en su caso, los CCE) se presentará únicamente contra la entidad que sea parte del Acuerdo.
   5. En ningún caso, ninguna de las Partes limitará su responsabilidad con respecto a los derechos de protección de datos de cualquier persona en virtud del presente DPA o de otro modo.

10. Relación con el Acuerdo

    1. El presente DPA seguirá en vigor mientras SIA lleve a cabo operaciones de procesamiento de Datos Personales del Cliente en nombre del Cliente o hasta la terminación del Acuerdo (y todos los Datos Personales del Cliente hayan sido devueltos o eliminados de acuerdo con la sección 6.1).
    2. Las Partes acuerdan que el presente DPA sustituirá a cualquier acuerdo de procesamiento de datos existente o documento similar que las Partes puedan haber celebrado previamente en relación con el Acuerdo.
    3. En caso de conflicto o discrepancia entre este DPA y el Acuerdo, prevalecerán las disposiciones de los siguientes documentos (en orden de prioridad): (a) las nuevas cláusulas contractuales estándar; luego (b) este DPA; y después (c) el Acuerdo.
    4. Sin perjuicio de cualquier disposición contraria en el Acuerdo (incluyendo este DPA), SIA tendrá derecho a recopilar, utilizar y divulgar los datos relacionados con el uso, el apoyo y/o el funcionamiento de los Productos ("Datos de uso") para sus fines comerciales legítimos. En la medida en que dichos Datos de uso se consideren datos personales en virtud de las Leyes de Protección de datos, SIA será responsable y procesará dichos datos de acuerdo con la Política de privacidad de SIA, que se encuentra en https://signinapp.com/privacy-policy, y con las Leyes de Protección de datos. Para evitar dudas, este DPA no se aplicará a los Datos de uso.
    5. Nadie más que una de las partes de este DPA, sus sucesores y cesionarios permitidos tendrán derecho a hacer cumplir cualquiera de sus términos.
    6. El presente DPA se regirá y se interpretará de acuerdo con las disposiciones sobre legislación y jurisdicción del Acuerdo, a menos que las leyes de protección de datos aplicables exijan lo contrario.

Anexo A

Detalles del procesamiento de datos

1. Objeto: El objeto del tratamiento de datos en virtud de esta DPA son los Datos Personales del Cliente.
2. Duración: entre SIA y el Cliente, la duración del procesamiento de datos en virtud del presente DPA es hasta la expiración o terminación del Acuerdo de acuerdo con sus términos.
3. Propósito: SIA solo procesará los Datos Personales del Cliente para los siguientes propósitos: (i) el procesamiento para cumplir con sus obligaciones en virtud del Acuerdo; y (ii) procesamiento para cumplir con cualquier otra instrucción razonable proporcionada por el Cliente (por ejemplo, a través de correo electrónico o tickets de soporte) que sea consistente con los términos del Acuerdo (individual y colectivamente, el "Propósito").
4. Naturaleza del tratamiento:: SIA proporciona apoyo al Cliente en su uso del Software con Licencia como se describe más particularmente en el Acuerdo.
5. Categorías de sujetos de datos: Empleados y Usuarios del Cliente (según se define dicho término en el Acuerdo).
6. Tipos de datos personales del cliente: El Cliente puede cargar, enviar o proporcionar de otro modo ciertos datos personales a SIA, cuyo alcance suele ser determinado y controlado por el Cliente a su entera discreción, y puede incluir los siguientes tipos de datos personales: Empleados y Usuarios del Cliente: Datos de identificación y contacto (nombre, cargo, datos de contacto, incluida la dirección de correo electrónico) e información informática (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de localización, datos del navegador) y, con sujeción a la cláusula 2.3 de la presente DPA, Datos sensibles.
7. Operaciones de procesamiento: los Datos Personales del Cliente serán procesados de acuerdo con el Acuerdo (incluyendo este DPA) y pueden estar sujetos a las siguientes actividades de procesamiento: Almacenamiento y otros procesamientos necesarios para proporcionar, mantener y mejorar los Productos y Servicios Profesionales prestados al Cliente de conformidad con el Acuerdo; y/o divulgaciones de conformidad con este DPA y/o según lo exija la legislación aplicable.

Anexo B

Medidas de seguridad

SIA deberá:

1. Proporcionar un nivel de seguridad (incluyendo las medidas de seguridad apropiadas en relación con las categorías o la naturaleza de los Datos del Licenciatario) adecuado para proteger contra el daño que podría resultar de una violación de los datos, que incluirá, no será limitado a:
   1. garantizar que el acceso basado en funciones se conceda únicamente a aquellas personas que necesiten acceso para el suministro del Software Autorizado,
   2. garantizar que se establezcan y utilicen procesos de autenticación adecuados y eficaces para proteger los Datos del Licenciatario (por ejemplo, autenticación multifactorial para el acceso privilegiado o la información restringida),
   3. realizar copias de seguridad de los Datos del Licenciatario de forma periódica, según lo requiera el Licenciatario, y garantizar que cualquier copia de seguridad de los datos esté sujeta a las medidas de seguridad adecuadas, según sea necesario, para proteger la confidencialidad, la integridad y la disponibilidad de los Datos del licenciatario,
   4. encriptar, utilizando herramientas de encriptación estándar de la industria y claves fuertes, todos los registros y archivos que contengan Datos del Licenciatario que SIA:
      1. transmita o envíe (incluso de forma inalámbrica) a través de redes públicas,
      2. almacene en ordenadores portátiles o medios de almacenamiento, o
      3. almacene en dispositivos portátiles.
   5. salvaguardar la seguridad y confidencialidad de todas las claves de cifrado asociadas a los Datos del Licenciatario cifrados.
2. Establecer, mantener y hacer cumplir un programa integral de seguridad de la información, que incluya políticas de seguridad de la información, políticas de contratación, políticas de privacidad y procedimientos de tratamiento de datos coherentes con los estándares de la industria y las Medidas de Seguridad apropiadas o según lo exija la Ley Aplicable, para proteger la seguridad, la integridad y la confidencialidad de los Datos del Licenciatario contra una violación de datos, lo que incluirá, no será limitado a:
   1. proporcionar programas de concienciación y formación en materia de seguridad de la información que abarquen sus políticas y prácticas a todos los agentes, empleados u otro personal que tenga acceso a los Datos Personales,
   2. contar con un plan de continuidad de negocio completo, actualizado y probado para proteger la confidencialidad, integridad y disponibilidad de los Datos del Licenciatario, y
   3. prohibir a los empleados, agentes u otro personal el acceso o el almacenamiento de los Datos del Licenciatario de forma remota (por ejemplo, desde casa o a través de su propio dispositivo electrónico o portal de Internet) que no sea a través de una red electrónica segura y de acuerdo con una política de trabajo de la organización.
3. No utilizar los Datos del Licenciatario en sistemas en desarrollo o en pruebas en los que los controles de seguridad sean menos protectores que los controles identificados en este anexo.