Acuerdo de Tratamiento de Datos (APD)
Este documento nuestro papel como Procesador de Datos bajo regulaciones como el GDPR europeo, la LGPD de Brasil, la Ley de Protección de la Privacidad del Consumidor de Canadá y la Ley de Privacidad del Consumidor de California (CCPA) entre otras.
El presente Acuerdo de Procesamiento de Datos ("APD"), que incluye las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea, según corresponda, refleja el acuerdo entre el Cliente y los Clientes con respecto a los términos que rigen el Procesamiento de Datos Personales.
El presente APD constituye una modificación del Acuerdo de Condiciones de Servicio ("el Acuerdo"). La vigencia del presente APD seguirá a la del Acuerdo. Los términos que no se definan de otro modo en el presente documento tendrán el significado establecido en el Acuerdo.
1. DEFINICIONES
"Responsable del Tratamiento": La persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del Tratamiento de Datos Personales.
"Ley de protección de datos" significa toda la legislación aplicable relativa a la protección de datos y la privacidad, incluida, sin limitación, la Directiva 95/46/CE de la UE sobre protección de datos y todas las leyes y normativas locales que modifiquen o sustituyan cualquiera de ellas, incluido el GDPR, junto con cualquier ley nacional de aplicación en cualquier Estado miembro de la Unión Europea o, en la medida aplicable, en cualquier otro país, en su versión modificada, derogada, consolidada o sustituida de vez en cuando. Los términos "procesar", "procesa" y "procesado" se interpretarán en consecuencia.
"Sujeto de los datos" significa la persona física a la que se refieren los Datos Personales.
"GDPR" significa el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
"Instrucción": La instrucción escrita y documentada, emitida por el Responsable del tratamiento al Encargado del tratamiento, y que ordena a éste la realización de una acción específica en relación con los Datos Personales (incluidas, entre otras, la despersonalización, el bloqueo, la supresión, la puesta a disposición).
"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable cuando dicha información esté contenida en los Datos del Cliente y esté protegida de forma similar a los datos personales o a la información de identificación personal en virtud de la Ley de Protección de Datos aplicable.
Por "violación de datos personales" se entenderá una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a datos personales transmitidos, almacenados o tratados de otro modo.
Por "Tratamiento" se entenderá cualquier operación o conjunto de operaciones que se realicen con Datos Personales y que abarquen la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación o supresión de Datos Personales.
"Encargado del tratamiento": Persona física o jurídica, autoridad pública, agencia u otro organismo que trate Datos Personales por cuenta del Responsable del tratamiento.
"Cláusulas contractuales tipo": Las cláusulas que se adjuntan como Apéndice A de conformidad con la Decisión de la Comisión Europea (C(2010)593), de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos.
2. DETALLES DEL TRATAMIENTO
a. Categorías de interesados. Contactos del Controlador y otros usuarios finales, incluidos empleados, contratistas, colaboradores, clientes, clientes potenciales, proveedores y subcontratistas del Controlador. Los Sujetos de Datos también incluyen a las personas que intentan comunicarse o transferir Datos Personales a los usuarios finales del Responsable del Tratamiento.
b. Tipos de datos personales. Información de contacto, cuyo alcance determina y controla el Cliente a su entera discreción, y otros Datos personales como datos de navegación (incluida la información de uso del sitio web), datos de correo electrónico, datos de uso del sistema, datos de integración de aplicaciones y otros datos electrónicos enviados, almacenados, enviados o recibidos por los usuarios finales a través del Servicio de suscripción.
c. Objeto y naturaleza del tratamiento. El objeto del Tratamiento de Datos Personales por el Encargado del Tratamiento es la prestación de los servicios al Responsable del Tratamiento que impliquen el Tratamiento de Datos Personales. Los Datos Personales serán objeto de las actividades de Tratamiento que se especifiquen en el Acuerdo y en un Pedido.
d. Finalidad del tratamiento. Los Datos Personales se tratarán con el fin de prestar los servicios establecidos y acordados en el Contrato y en cualquier Pedido aplicable.
e. Duración del tratamiento. Los Datos Personales serán Tratados durante la vigencia del Acuerdo, con sujeción a lo dispuesto en la Sección 4 de la presente DPA.
3. RESPONSABILIDAD DEL CLIENTE
Dentro del ámbito del Contrato y en su uso de los servicios, el Responsable del Tratamiento será el único responsable de cumplir los requisitos legales relativos a la protección de datos y la privacidad, en particular en lo que respecta a la divulgación y transferencia de Datos Personales al Encargado del Tratamiento y al Tratamiento de Datos Personales. Para evitar cualquier duda, las instrucciones del Responsable del Tratamiento para el Tratamiento de Datos Personales se ajustarán a la Ley de Protección de Datos. Esta DPA es la instrucción completa y final del Cliente a ClicData en relación con los Datos Personales y que las instrucciones adicionales fuera del ámbito de la DPA requerirían un acuerdo previo por escrito entre las partes. Las instrucciones se especificarán inicialmente en el Contrato y, posteriormente, podrán ser modificadas, ampliadas o sustituidas de vez en cuando por el Contralor en instrucciones escritas separadas (como instrucciones individuales).
El Responsable del Tratamiento informará al Encargado del Tratamiento sin demora indebida y de forma exhaustiva sobre cualquier error o irregularidad relacionados con las disposiciones legales sobre el Tratamiento de Datos Personales.
4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
a) Cumplimiento de las instrucciones. Las partes reconocen y acuerdan que el Cliente es el Responsable del Tratamiento de los Datos Personales y ClicData el Encargado del Tratamiento de los mismos. El Procesador recopilará, procesará y utilizará los Datos Personales únicamente en el ámbito de las instrucciones del Controlador y el uso de su software.
Si el encargado del tratamiento considera que una instrucción del responsable del tratamiento infringe la Ley de protección de datos, informará inmediatamente al responsable del tratamiento sin demora.
Si el Encargado del Tratamiento no puede tratar los Datos Personales de conformidad con las Instrucciones debido a un requisito legal en virtud de cualquier legislación aplicable de la Unión Europea o de un Estado miembro, el Encargado del Tratamiento (i) notificar sin demora al Responsable del Tratamiento dicho requisito legal antes del Tratamiento pertinente en la medida en que lo permita la Ley de Protección de Datos; y (ii) cesar todo Tratamiento (salvo el mero almacenamiento y mantenimiento de la seguridad de los Datos Personales afectados) hasta el momento en que el Responsable del Tratamiento emita nuevas instrucciones que el Encargado del Tratamiento pueda cumplir.
Si se invoca esta disposición, el encargado del tratamiento no será responsable ante el responsable del tratamiento en virtud del acuerdo por el incumplimiento de los servicios aplicables hasta el momento en que el responsable del tratamiento emita nuevas instrucciones en relación con el tratamiento.
b) Seguridad. El encargado del tratamiento adoptará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos Personales contra la destrucción accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados a los Datos Personales, descritos en el Apéndice 2 de las Cláusulas Contractuales Tipo. Tales medidas incluyen, pero no se limitan a:
- La prevención del acceso de personas no autorizadas a los sistemas de tratamiento de datos personales (control de acceso físico),
- Impedir que los sistemas de tratamiento de datos personales se utilicen sin autorización (control de acceso lógico),
- Garantizar que las personas autorizadas a utilizar un sistema de Tratamiento de Datos Personales sólo tengan acceso a los Datos Personales a los que tienen derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del Tratamiento o uso y después del almacenamiento, los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización (control de acceso a los datos),
- Garantizar que los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización durante su transmisión electrónica, transporte o almacenamiento en soportes de almacenamiento, y que puedan establecerse y verificarse las entidades destinatarias de cualquier transferencia de Datos Personales mediante instalaciones de transmisión de datos (control de transferencia de datos),
- Garantizar el establecimiento de una pista de auditoría para documentar si se han introducido, modificado o retirado Datos Personales de los sistemas de Tratamiento de Datos Personales y quién lo ha hecho (control de entrada),
- Garantizar que los Datos Personales se Traten únicamente de conformidad con las Instrucciones del Responsable del Tratamiento (control de las instrucciones),
- Garantizar la protección de los Datos Personales contra su destrucción o pérdida accidental (control de disponibilidad).
El Procesador facilitará el cumplimiento por parte del Controlador de la obligación del Controlador de implementar medidas de seguridad con respecto a los Datos Personales (incluidas, si corresponde, las obligaciones del Controlador de conformidad con los artículos 32 a 34 (inclusive) del GDPR), al (i) aplicar y mantener las medidas de seguridad descritas en el Apéndice 2, (ii) el cumplimiento de los términos de la Sección 4.4 (Violación de datos personales); y (iii) facilitar al Responsable del Tratamiento información en relación con el Tratamiento de conformidad con la Sección 5 (Auditorías).
c) Confidencialidad. El Procesador se asegurará de que todo el personal al que autorice a procesar Datos Personales en su nombre esté sujeto a obligaciones de confidencialidad con respecto a dichos Datos Personales. El compromiso de confidencialidad se mantendrá una vez finalizadas las actividades mencionadas.
d) Violación de datos personales. El procesador notificará al controlador tan pronto como sea posible después de que tenga conocimiento de cualquier violación de datos personales que afecte a cualquier dato personal. A petición del Responsable del tratamiento, el Encargado del tratamiento prestará sin demora al Responsable del tratamiento toda la asistencia razonable necesaria para que éste pueda notificar las violaciones de datos personales pertinentes a las autoridades competentes y/o a los interesados afectados, si el Responsable del tratamiento está obligado a hacerlo en virtud de la Ley de protección de datos.
e) Solicitudes de los interesados. El Procesador proporcionará asistencia razonable, incluso mediante medidas técnicas y organizativas adecuadas y teniendo en cuenta la naturaleza del Procesamiento, para permitir que el Controlador responda a cualquier solicitud de los Sujetos de Datos que busquen ejercer sus derechos en virtud de la Ley de Protección de Datos con respecto a los Datos Personales (incluido el acceso, la rectificación, la restricción, la eliminación o la portabilidad de los Datos Personales, según corresponda), en la medida permitida por la ley. Si dicha solicitud se presenta directamente al responsable del tratamiento, éste informará de ello sin demora al responsable del tratamiento y aconsejará a los interesados que presenten su solicitud al responsable del tratamiento. El responsable del tratamiento será el único responsable de responder a las solicitudes de los interesados. El responsable del tratamiento reembolsará al encargado del tratamiento los gastos derivados de esta asistencia.
f) Subprocesadores. El Procesador tendrá derecho a contratar sub-Procesadores para cumplir las obligaciones del Procesador definidas en el Acuerdo únicamente con el consentimiento por escrito del Controlador. A estos efectos, el Responsable consiente la contratación como subencargados del tratamiento de las empresas filiales del Encargado del tratamiento y de los terceros enumerados en el Anexo B. Para evitar cualquier duda, la autorización anterior constituye el consentimiento previo por escrito del Responsable al subtratamiento por parte del Procesador a efectos de la Cláusula 11 de las Cláusulas Contractuales Tipo.
Si el encargado del tratamiento tiene intención de contratar a subencargados del tratamiento distintos de las empresas enumeradas en el apéndice B, lo notificará al responsable del tratamiento por escrito (bastará con enviar un correo electrónico a la dirección o direcciones de correo electrónico que consten en la información de la cuenta del encargado del tratamiento correspondiente al responsable del tratamiento) y le dará la oportunidad de oponerse a la contratación de los nuevos subencargados del tratamiento en un plazo de 30 días a partir de la notificación. La oposición debe basarse en motivos razonables (por ejemplo, si el Responsable del tratamiento demuestra que existen riesgos significativos para la protección de sus Datos personales en el subencargado del tratamiento). Si el encargado del tratamiento y el responsable del tratamiento no consiguen resolver dicha objeción, cualquiera de las partes podrá rescindir el Acuerdo mediante notificación por escrito a la otra parte.
Cuando el encargado del tratamiento contrate a subencargados del tratamiento, celebrará un contrato con el subencargado del tratamiento que imponga a éste las mismas obligaciones que se aplican al encargado del tratamiento en virtud del presente APD. Cuando el subencargado del tratamiento incumpla sus obligaciones en materia de protección de datos, seguirá siendo responsable ante el responsable del tratamiento del cumplimiento de dichas obligaciones del subencargado.
Cuando se contrate a un subencargado del tratamiento, deberá concederse al responsable del tratamiento el derecho a supervisar e inspeccionar las actividades del subencargado del tratamiento de conformidad con la presente APD y la Ley de protección de datos, incluido el derecho a obtener información del encargado del tratamiento, previa solicitud por escrito, sobre el contenido del contrato y el cumplimiento de las obligaciones de protección de datos derivadas del contrato de subencargo del tratamiento, en su caso mediante la inspección de los documentos contractuales pertinentes.
Las disposiciones de esta Sección 4.6 se aplicarán mutuamente si el Procesador contrata a un sub-Procesador en un país fuera del Espacio Económico Europeo ("EEE") no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales. Si, en el marco de la ejecución del presente APD, ClicData transfiere Datos Personales a un subencargado del tratamiento situado fuera del EEE, ClicData se asegurará, con anterioridad a dicha transferencia, de que existe un mecanismo jurídico para lograr la adecuación con respecto a dicho tratamiento.
g) Transferencias de datos. El Controlador reconoce y acepta que, en relación con la prestación de los servicios en virtud del Contrato, algunos datos relacionados con el servicio del Controlador, la suscripción y los metadatos de los datos del Controlador se transferirán a las ubicaciones de los servidores de ClicData en los Estados Unidos. Con el fin de aplicar las garantías adecuadas para dichas transferencias de conformidad con el artículo 46 del RGPD.
Los Datos del Controlador permanecerán en la región elegida por el Controlador al inicio del servicio. Si el Controlador selecciona una ubicación de datos fuera del EEE, se aplicarán las Cláusulas Contractuales Tipo del Apéndice A con respecto a los Datos Personales que se transfieran fuera del EEE, ya sea directamente o mediante transferencia ulterior, a cualquier país que la Comisión Europea no reconozca que proporciona un nivel adecuado de protección de los datos personales (tal como se describe en la Ley de Protección de Datos).
h) Supresión o recuperación de datos personales. Salvo en la medida en que sea necesario para cumplir con la Ley de Protección de Datos, tras la rescisión o expiración del Acuerdo, el Procesador eliminará todos los Datos Personales (incluidas las copias de los mismos) procesados de conformidad con este APD. Si el Procesador no puede eliminar los Datos Personales por razones técnicas o de otro tipo, aplicará medidas para garantizar que los Datos Personales queden bloqueados para cualquier tratamiento posterior.
El Responsable del Tratamiento, tras la rescisión o expiración del Contrato y mediante la emisión de una Instrucción, estipulará, en un plazo fijado por el Encargado del Tratamiento, las medidas razonables para devolver los datos o suprimir los datos almacenados. Cualquier coste adicional derivado de la devolución o eliminación de Datos Personales tras la resolución o expiración del Contrato correrá a cargo del Responsable del Tratamiento.
5. AUDITORÍAS
El responsable del tratamiento podrá auditar, antes del inicio del tratamiento y a intervalos regulares posteriormente, las medidas técnicas y organizativas adoptadas por el encargado del tratamiento.
A tal efecto, el Responsable del tratamiento podrá obtener información del Transformador, solicitar al Transformador que presente al Responsable del tratamiento un atestado o certificado emitido por un experto profesional independiente o, previo acuerdo razonable y oportuno, durante el horario laboral habitual y sin interrumpir las operaciones comerciales del Transformador, realizar una inspección in situ de las operaciones comerciales del Transformador o encargar dicha inspección a un tercero cualificado que no sea competidor del Transformador.
El procesador, previa solicitud por escrito del controlador y dentro de un período razonable de tiempo, proporcionará al controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté bajo el control del procesador y el procesador no esté impedido de revelarla por la ley aplicable, un deber de confidencialidad o cualquier otra obligación debida a un tercero.
6. DISPOSICIONES GENERALES
Con respecto a las actualizaciones y modificaciones del presente APD, se aplicarán los términos que figuran en la sección "Modificación; no renuncia" del apartado "Varios" del Acuerdo.
En caso de conflicto, el presente APD prevalecerá sobre las disposiciones del Acuerdo. Cuando alguna de las disposiciones del presente APD sea inválida o inaplicable, la validez y aplicabilidad de las demás disposiciones del presente APD no se verán afectadas.
Con la incorporación del presente APD al Acuerdo, las partes indicadas en la Sección 7 (Partes del presente APD) aceptan las Cláusulas Contractuales Tipo (en su caso y según proceda) y todos los apéndices adjuntos al mismo. En caso de conflicto o incoherencia entre el presente APD y las Cláusulas Contractuales Tipo del Apéndice A, prevalecerán las Cláusulas Contractuales Tipo.
A partir del 25 de mayo de 2018, ClicData tratará los Datos Personales de conformidad con los requisitos del GDPR aquí contenidos que sean directamente aplicables a la prestación de los Servicios de Suscripción por parte de ClicData.
7. PARTES EN EL PRESENTE ACUERDO
El presente APD modifica el Acuerdo y forma parte del mismo. Tras la incorporación del presente APD al Acuerdo (i) el Responsable del Tratamiento y la entidad ClicData que son cada uno parte del Acuerdo también son cada uno parte del presente APD, y (ii) en la medida en que ClicData no sea parte del Acuerdo, ClicData es parte del presente APD, pero sólo en lo que respecta a la aceptación de las Cláusulas Contractuales Tipo del APD, de la presente Sección 7 del APD y de las propias Cláusulas Contractuales Tipo.
Si ClicData no es parte en el Acuerdo, la sección del Acuerdo titulada "Limitación de responsabilidad" se aplicará entre el Controlador y ClicData y, a este respecto, cualquier referencia a "ClicData", "nosotros", "nos" o "nuestro" incluirá tanto a ClicData como a la entidad ClicData que sea parte en el Acuerdo.
La persona jurídica que suscribe el presente APD en calidad de Responsable del tratamiento declara que está autorizada a suscribir el presente APD en nombre del Responsable del tratamiento y que lo suscribe exclusivamente en su nombre.
Apéndice A - Cláusulas Contractuales Tipo (Transformadores)
A efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos,
El Cliente, tal y como se define en las Condiciones de Servicio al Cliente de ClicData (el "exportador de datos") y ClicData SAS, 9 place Rihour, 59800, Lille, Francia (el "importador de datos"), cada uno de ellos una "parte"; conjuntamente "las partes", HAN CONVENIDO en las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de ofrecer garantías adecuadas con respecto a la protección de la intimidad y de los derechos y libertades fundamentales de las personas físicas para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.
Artículo 1 - Definiciones
A efectos de las Cláusulas:
"Datos personales", "categorías especiales de datos", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
"Exportador de datos": el responsable del tratamiento que transfiere los datos personales;
"Importador de datos": el encargado del tratamiento que acepta recibir del exportador de datos los datos personales destinados a ser tratados en su nombre tras la transferencia, de conformidad con sus instrucciones y los términos de las cláusulas, y que no está sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del apartado 1 del artículo 25 de la Directiva 95/46/CE;
"Subencargado del tratamiento": todo encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos datos datos personales destinados exclusivamente a actividades de tratamiento que deban llevarse a cabo por cuenta del exportador de datos tras la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
"Legislación aplicable en materia de protección de datos": la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que está establecido el exportador de datos;
"Medidas de seguridad técnicas y organizativas": las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos por una red, y contra cualquier otra forma ilícita de tratamiento.
Cláusula 2 - Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.
Cláusula 3 - Tercero beneficiario
El interesado puede hacer valer frente al exportador de datos la presente cláusula, la cláusula 4(b) a (i), la cláusula 5(a) a (e), y (g) a (j), la cláusula 6(1) y (2), la cláusula 7, la cláusula 8(2), y las cláusulas 9 a 12 como tercero beneficiario.
El interesado podrá hacer valer frente al importador de datos la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad.
El interesado podrá hacer valer frente al subencargado del tratamiento la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.
Las partes no se oponen a que un interesado esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.
Cláusula 4 - Obligaciones del exportador de datos
El exportador de datos acepta y garantiza:
(a) que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades pertinentes del Estado miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;
(b) que ha dado instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y con las Cláusulas, y que así lo hará mientras duren los servicios de tratamiento de datos personales;
(c) que el importador de datos ofrecerá garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;
(d) que, tras evaluar los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental y la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otra forma de tratamiento ilícito, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos que presente el tratamiento y a la naturaleza de los datos que deban protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
(e) que garantizará el cumplimiento de las medidas de seguridad;
(f) que, si la transferencia afecta a categorías especiales de datos, el interesado haya sido informado o vaya a ser informado antes de la transferencia, o lo antes posible después de la misma, de que sus datos podrían transmitirse a un tercer país que no ofrezca una protección adecuada en el sentido de la Directiva 95/46/CE;
(g) remitir toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la cláusula 5, letra b), y la cláusula 8, apartado 3, a la autoridad de control de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;
(h) poner a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial;
(i) que, en caso de subtratamiento, la actividad de tratamiento sea llevada a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos en virtud de las cláusulas; y
(j) que garantizará el cumplimiento de la cláusula 4(a) a (i).
Cláusula 5 - Obligaciones del importador de datos
El importador de datos acepta y garantiza:
(a) procesar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar dicha conformidad por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
(b) que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará sin demora el cambio al exportador de datos tan pronto como tenga conocimiento del mismo, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;
(c) que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos;
(d) que lo notificará sin demora al exportador de datos:
(i) cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del Derecho penal para preservar la confidencialidad de una investigación policial;
(ii) cualquier acceso accidental o no autorizado; y
(iii) cualquier solicitud recibida directamente de los interesados, sin responder a dicha solicitud, a menos que se le haya autorizado a hacerlo de otro modo;
(e) atender rápida y adecuadamente todas las consultas del exportador de datos relativas a su tratamiento de los datos personales objeto de la transferencia y acatar las recomendaciones de la autoridad de control en relación con el tratamiento de los datos transferidos;
(f) a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento cubiertas por las Cláusulas, que será realizada por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujetos a un deber de confidencialidad, seleccionados por el exportador de datos, en su caso, de acuerdo con la autoridad de control;
(g) poner a disposición del interesado que lo solicite una copia de las cláusulas o de cualquier contrato de subtratamiento existente, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial, con excepción del apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;
(h) que, en caso de subtratamiento, ha informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;
(i) que los servicios de tratamiento por parte del subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;
(j) enviar sin demora al exportador de datos una copia de cualquier acuerdo de subprocesador que celebre en virtud de las Cláusulas.
Cláusula 6 - Responsabilidad
Las partes acuerdan que cualquier interesado que haya sufrido daños como consecuencia de cualquier incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquiera de las partes o subencargados del tratamiento tendrá derecho a recibir una indemnización del exportador de datos por los daños sufridos.
Si un interesado no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por el importador de datos o su subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, debido a que el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente, el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad.
El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.
3. Si un interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por el subencargado del tratamiento de cualquiera de sus obligaciones a que se refieren la cláusula 3 o la cláusula 11, debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes, el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento en relación con sus propias operaciones de tratamiento con arreglo a las cláusulas como si fuera el exportador o el importador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.
Cláusula 7 - Mediación y jurisdicción
El importador de datos acepta que si el interesado invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:
(a) someter el litigio a la mediación de una persona independiente o, en su caso, de la autoridad de control;
(b) someter el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.
Las partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales a interponer recursos de conformidad con otras disposiciones de la legislación nacional o internacional.
Cláusula 8 - Cooperación con las autoridades de control
El exportador de datos se compromete a depositar una copia del presente contrato ante la autoridad de control si ésta así lo solicita o si dicho depósito es obligatorio en virtud de la legislación aplicable en materia de protección de datos.
Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos, y de cualquier subencargado del tratamiento, que tendrá el mismo alcance y estará sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable en materia de protección de datos.
El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, con arreglo al apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la cláusula 5(b).
Cláusula 9 - Ley aplicable
Las Cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
Cláusula 10 - Modificación del contrato
Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.
Artículo 11 - Subtratamiento
El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos con arreglo a las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, deberá hacerlo únicamente mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Cuando el subencargado del tratamiento incumpla sus obligaciones en materia de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.
El contrato escrito previo entre el importador de datos y el subencargado del tratamiento deberá prever asimismo una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.
Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
El exportador de datos mantendrá una lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la cláusula 5 j), que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.
Cláusula 12 - Obligación tras la finalización de los servicios de tratamiento de datos personales
Las partes acuerdan que, a la finalización de la prestación de servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruir todos los datos personales y certificar al exportador de datos que así lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que no volverá a tratar activamente los datos personales transferidos.
El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas contempladas en el apartado 1.
ANEXO 1 a las Cláusulas Contractuales Tipo
Este Anexo forma parte de las Cláusulas. Los Estados miembros podrán completar o especificar, con arreglo a sus procedimientos nacionales, cualquier información adicional necesaria que deba figurar en el presente apéndice.
Exportador de datos: El exportador de datos es el Cliente, tal y como se define en las Condiciones de Servicio al Cliente de ClicData ("Acuerdo").
Importador de datos: El importador de datos es ClicData, Inc. un proveedor mundial de software de marketing y ventas inbound.
Titulares de los datos: Categorías de interesados establecidas en la Sección 2 del Acuerdo de Tratamiento de Datos al que se adjuntan las Cláusulas.
Categorías de datos: Categorías de datos personales establecidas en la Sección 2 del Acuerdo de Tratamiento de Datos al que se adjuntan las Cláusulas.
Categorías especiales de datos (si procede): Las partes no prevén la transferencia de categorías especiales de datos.
Operaciones de tratamiento: Las actividades de tratamiento establecidas en la Sección 2 del Acuerdo de Tratamiento de Datos al que se adjuntan las Cláusulas.
Apéndice 2 de las cláusulas contractuales tipo
Este Anexo forma parte de las Cláusulas.
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjuntos):
ClicData observa actualmente las prácticas de seguridad descritas en este Apéndice 2. No obstante cualquier disposición en contrario acordada por el exportador de datos, ClicData podrá modificar o actualizar estas prácticas a su discreción siempre que dicha modificación y actualización no suponga una degradación material de la protección ofrecida por estas prácticas. Todos los términos en mayúsculas que no se definan de otro modo en el presente documento tendrán el significado que se establece en el Acuerdo.
a) Control de acceso
i) Prevención del acceso no autorizado a los productos
Procesamiento externalizado: ClicData aloja su Servicio con proveedores externalizados de infraestructuras en la nube. Además, ClicData mantiene relaciones contractuales con proveedores para prestar el Servicio de conformidad con nuestro Acuerdo de Procesamiento de Datos. ClicData confía en los acuerdos contractuales, las políticas de privacidad y los programas de cumplimiento de los proveedores para proteger los datos procesados o almacenados por estos proveedores.
Seguridad física y medioambiental: ClicData aloja la infraestructura de sus productos con proveedores de infraestructuras externalizadas multiarrendamiento. Los controles de seguridad física y medioambiental se someten a auditorías de conformidad con las normas SOC 2 Tipo II e ISO 27001, entre otras certificaciones.
Autenticación: ClicData implantó una política de contraseñas uniforme para los productos de sus clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.
Autorización: Los datos de los Clientes se almacenan en sistemas de almacenamiento multiusuario accesibles a los Clientes únicamente a través de interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no pueden acceder directamente a la infraestructura de aplicaciones subyacente. El modelo de autorización de cada uno de los productos ClicData está diseñado para garantizar que sólo las personas debidamente asignadas puedan acceder a las funciones, vistas y opciones de personalización pertinentes. La autorización a los conjuntos de datos se realiza mediante la validación de los permisos del usuario frente a los atributos asociados a cada conjunto de datos.
Acceso a la interfaz de programación de aplicaciones (API): Se puede acceder a las API públicas de los productos utilizando una clave API o mediante autorización Oauth.
ii) Prevención del uso no autorizado del producto
ClicData implementa controles de acceso estándar de la industria y capacidades de detección para las redes internas que soportan sus productos.
Controles de acceso: Los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados llegue a la infraestructura del producto. Las medidas técnicas aplicadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de cortafuegos tradicionales.
Detección y prevención de intrusiones: ClicData implantó una solución de cortafuegos de aplicaciones web (WAF) para proteger los sitios web alojados de los clientes y otras aplicaciones accesibles desde Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles al público.
Análisis estático de código: Se realizan revisiones de seguridad del código almacenado en los repositorios de código fuente de ClicData, comprobando las mejores prácticas de codificación y los fallos de software identificables.
Pruebas de penetración: ClicData mantiene relaciones con proveedores de servicios de pruebas de penetración reconocidos en el sector para realizar cuatro pruebas de penetración anuales. El objetivo de las pruebas de penetración es identificar y resolver los vectores de ataque previsibles y los posibles escenarios de abuso.
Recompensas por fallos: Un programa de recompensas por fallos invita e incentiva a investigadores de seguridad independientes a descubrir y divulgar éticamente fallos de seguridad. ClicData puso en marcha un programa de recompensas por fallos en un esfuerzo por ampliar las oportunidades disponibles para colaborar con la comunidad de seguridad y mejorar las defensas del producto frente a ataques sofisticados.
iii) Limitaciones del privilegio y requisitos de autorización
Acceso a los productos: Un subconjunto de empleados de ClicData tiene acceso a los productos y a los datos de los clientes a través de interfaces controladas. La intención de proporcionar acceso a un subconjunto de empleados es proporcionar una asistencia eficaz al cliente, solucionar posibles problemas, detectar y responder a incidentes de seguridad y aplicar la seguridad de los datos. El acceso se habilita mediante solicitudes de acceso "justo a tiempo"; todas estas solicitudes quedan registradas. A los empleados se les concede acceso por función, y diariamente se inician revisiones de las concesiones de privilegios de alto riesgo. Las funciones de los empleados se revisan al menos una vez cada seis meses.
Verificación de antecedentes: Todos los empleados de ClicData se someten a una verificación de antecedentes de terceros antes de que se les extienda una oferta de empleo, de conformidad con las leyes aplicables. Todos los empleados deben comportarse de acuerdo con las directrices de la empresa, los requisitos de confidencialidad y las normas éticas.
b) Control de la transmisión
En tránsito: ClicData pone a su disposición el cifrado HTTPS (también denominado SSL o TLS) en cada una de sus interfaces de acceso y de forma gratuita en cada sitio de cliente alojado en los productos ClicData. La implementación HTTPS de ClicData utiliza algoritmos y certificados estándar de la industria.
En reposo: ClicData almacena las contraseñas de los usuarios siguiendo políticas que siguen las prácticas estándar de la industria en materia de seguridad. ClicData ha implementado tecnologías para garantizar que los datos almacenados estén encriptados en reposo.
c) Control de entrada
Detección: ClicData diseñó su infraestructura para registrar amplia información sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos agregaban datos de registro y alertaban a los empleados correspondientes de actividades maliciosas, no intencionadas o anómalas. El personal de ClicData, incluido el personal de seguridad, operaciones y apoyo, responde a los incidentes conocidos.
Respuesta y seguimiento: ClicData mantiene un registro de los incidentes de seguridad conocidos que incluye la descripción, las fechas y horas de las actividades relevantes y la disposición del incidente. Los incidentes de seguridad sospechosos y confirmados son investigados por el personal de seguridad, operaciones o apoyo, y se identifican y documentan los pasos de resolución apropiados. Para cualquier incidente confirmado, ClicData tomará las medidas apropiadas para minimizar los daños al producto y al Cliente o la divulgación no autorizada.
Comunicación: Si ClicData tiene conocimiento de un acceso ilícito a los datos del Cliente almacenados en sus productos, ClicData: 1) Notificar el incidente a los Clientes afectados; 2) proporcionar una descripción de las medidas que ClicData está adoptando para resolver el incidente; y 3) proporcionar actualizaciones de estado al contacto del Cliente, cuando ClicData lo considere necesario. La(s) notificación(es) de incidencias, en su caso, se entregará(n) a uno o varios de los contactos del Cliente en la forma que ClicData elija, que podrá ser por correo electrónico o por teléfono.
d) Control de disponibilidad
Disponibilidad de la infraestructura: Los proveedores de infraestructura realizan esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen una redundancia mínima de N+1 en los servicios de alimentación, red y climatización.
Tolerancia a fallos: Las estrategias de copia de seguridad y replicación están diseñadas para garantizar la redundancia y las protecciones de conmutación por error durante un fallo de procesamiento importante. Se realizan copias de seguridad de los datos de los clientes en varios almacenes de datos duraderos y se replican en varias zonas de disponibilidad.
Réplicas y copias de seguridad en línea: Siempre que sea factible, las bases de datos de producción están diseñadas para replicar datos entre no menos de 1 base de datos primaria y 1 secundaria. Todas las bases de datos tienen copias de seguridad y se mantienen utilizando, como mínimo, los métodos estándar del sector.
Los productos ClicData están diseñados para garantizar la redundancia y la conmutación por error sin fisuras. Las instancias de servidor que dan soporte a los productos también están diseñadas con el objetivo de evitar puntos únicos de fallo. Este diseño ayuda a las operaciones de ClicData a mantener y actualizar las aplicaciones de productos y el backend, limitando al mismo tiempo el tiempo de inactividad.
Apéndice B - Lista de subprocesadores
Microsoft, Inc.
Braintree, Inc.
SendGrid, Inc.
Cualquier otra sociedad y filial al 100% de ClicData.