Apéndice sobre el Tratamiento de Datos (DPA)

Última actualización: diciembre 20, 2023

Firmar la versión en línea

Este Apéndice sobre el Procesamiento de Datos (“DPA”) se incorpora por referencia a las Condiciones del Servicio de monday.com disponible en  www.monday.com/terms/tos u otro acuerdo que rija el uso de los servicios de monday.com (“Acuerdo”) suscrito por usted, el Cliente (según lo definido en el Acuerdo) (en conjunto, “usted”, “su”, “Cliente”), y monday.com Ltd. (“ monday.com”, “nos”, “nosotros”, “nuestro(a)”) para reflejar el acuerdo de las partes en relación con el Procesamiento de Datos Personales por parte de monday.com únicamente en nombre del Cliente. Ambas partes se denominarán las “Partes” y cada una, una “Parte”.

Los términos en mayúsculas que no se definan en el presente tendrán el significado que se les atribuya en el Acuerdo.

Al usar los Servicios, el Cliente acepta este DPA, y usted declara y garantiza que tiene capacidad plena para obligar al Cliente en virtud de este DPA. Si no pudiera cumplir este DPA y estar obligado por él o si no está de acuerdo con el DPA o no tiene la capacidad para obligar al Cliente o a cualquier otra entidad, no nos proporcione Datos Personales.

En caso de conflicto entre determinadas disposiciones de este DPA y las disposiciones del Acuerdo, las disposiciones de este DPA prevalecerán sobre todas las demás disposiciones en conflicto del Acuerdo solo en relación con el Procesamiento de Datos Personales.

  1. DEFINICIONES

(a) “Afiliado” hace referencia a cualquier entidad que directa o indirectamente controla la entidad en cuestión, o está controlada por ella o está bajo control común con ella. “Control”, a los efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses de votación de la entidad en cuestión.

(b) “Afiliado autorizado” hace referencia a cualquiera de los Afiliados del Cliente que tenga permiso explícito para usar los Servicios de conformidad con el Acuerdo celebrado entre el Cliente y monday.com, pero que no ha firmado su propio acuerdo con monday.com y no es un “Cliente” según se define en el Acuerdo.

(c) “CCPA” hace referencia a la Ley de Privacidad del Consumidor de California de 2018, artículos 1798.100 et. seq. del Cód. Civ. de California y su reglamentación, según se enmiende oportunamente.

(d) Los términos “Controlador”, “Estado Miembro”, “Procesador”, “Procesamiento” y “Autoridad Supervisora” tendrán el mismo significado que en el RGPD. Los términos “Negocio”, “Fin Comercial”, “Consumidor” y “Proveedor de Servicios” tendrán el mismo significado que en la CCPA.

Para mayor claridad dentro de este DPA, “Controlador” también significará “Negocio” y “Procesador” también significará “Proveedor de Servicios”, en la medida en que aplique la CCPA. De la misma manera, el Subprocesador del Procesador también se referirá al concepto de Proveedor de Servicios.

(e) “Leyes de Protección de Datos” hace referencia a todas las leyes y los reglamentos de privacidad y protección de datos aplicables y vinculantes, incluidas las leyes y los reglamentos de la Unión Europea, el Espacio Económico Europeo y sus Estados Miembro, Suiza, el Reino Unido, Canadá, Israel y los Estados Unidos de América, incluido el RGPD, el RGPD del RU y la CCPA, aplicable y vigente al Procesamiento de Datos Personales en virtud del Acuerdo.

(f) “Sujeto de Datos” hace referencia a la persona identificada o identificable con quien se relacionan los Datos Personales.

(g) “RGPD” hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos.

(h) “Datos Personales” o “Información Personal” hace referencia a toda información que identifique, se relacione con, describa, sea capaz de asociarse o pueda razonablemente vincularse, directa o indirectamente, a una persona física identificada o identificable o un Consumidor, procesada por monday.com solo en nombre del Cliente en virtud de este DPA y el Acuerdo.

(i) “Servicios” son los servicios de monday.com basados en la nube que incluyen nuestras plataformas, productos, servicios, aplicaciones, interfaz de programación de aplicaciones (“API”), herramientas y demás productos y servicios de monday.com auxiliares o complementarios (entre ellos las Ampliaciones [según se definen en el Acuerdo]), ofrecidos en línea y a través de la aplicación móvil (“Plataforma”) y cualquier otro servicio que preste monday.com al Cliente en virtud del Acuerdo.

(j) “Documentación de Seguridad” hace referencia a la documentación de seguridad, actualizada oportunamente y que establece las medidas técnicas y organizativas adoptadas por monday.com que son aplicables al Procesamiento de Datos Personales por parte de monday.com en virtud de este Acuerdo y este DPA, disponible en  www.monday.com/trustcenter/datasecure o que monday.com ponga a disposición del Cliente de cualquier otra forma.

(k) “Datos Sensibles” hace referencia a los Datos Personales protegidos en virtud de una legislación especial y que requieren un tratamiento exclusivo, como “categorías especiales de datos”, “datos sensibles” u otros términos similares en virtud de las Leyes de Protección de Datos aplicables, incluidos los siguientes: (a) número del seguro social, número de identificación fiscal, número de pasaporte, número de licencia de conducir u otro dato (o parte de este) que sirva para identificar a una persona; (b) información financiera o crediticia, número de tarjeta de crédito o débito; (c) información que revele origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, membresía a sindicatos, datos genéticos o biométricos exclusivos para identificar a un individuo, datos sobre la salud de una persona, su vida sexual u orientación sexual, o datos relacionados con antecedentes penales y delitos; (d) Datos Personales sobre niños; y/o (e) contraseñas de cuentas en forma decodificada.

(l) “Cláusulas Contractuales Estándar” se refiere (a) respecto de las transferencias de Datos Personales sujetas al RGPD, las Cláusulas Contractuales Estándar entre los controladores y los procesadores (disponibles aquí), y entre los procesadores y los procesadores (disponibles aquí), aprobadas por la Decisión de Ejecución (UE) de la Comisión Europea 2021/914 del 4 de junio de 2021, incluidos los anexos I, II y V, (“SCC de la UE”); (b) respecto de las transferencias de Datos Personales sujetas al RGPD del RU, el Apéndice sobre Transferencias de Datos Internacionales de las Cláusulas Contractuales Estándar de la Comisión de la UE del 21 de marzo de 2022 (versión B.1.0) (“IDTA”), que se incorporó a las SCC de la UE mediante el Anexo III (“Apéndice de las SCC del RU”); y (c) respecto de las transferencias sujetas a la Ley Federal sobre Protección de Datos (revisada el 25 de septiembre de 2020), los términos establecidos en el Anexo IV de las SCC de la UE (“Apéndice de las SCC de Suiza”).

(m) “Subprocesador” hace referencia a todo tercero que procese Datos Personales según las instrucciones de monday.com.

“(n) “RGPD del RU” hace referencia a la Ley de Protección de Datos de 2018 y al RGPD, ya que forma parte de la legislación de Inglaterra, Gales, Escocia e Irlanda del Norte de conformidad con el artículo 3 de la Ley de la Unión Europea del 2018 (Retirada), con las enmiendas en virtud de los Reglamentos sobre Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 (SI 2019/419).

  1. PROCESAMIENTO DE DATOS PERSONALES

2.1. Responsabilidades de las Partes. Las Partes reconocen y aceptan que, respecto del Procesamiento de Datos Personales exclusivamente por parte de monday.com en representación del Cliente: (a) el Cliente es el Controlador de los Datos Personales y (b) monday.com es el Procesador de dichos Datos Personales. Los términos “Controlador” y “Procesador” a continuación hacen referencia al Cliente y a monday.com, respectivamente.

2.2.  Obligaciones del Cliente. El Cliente, al utilizar los Servicios, y las instrucciones del Cliente para el Procesador, cumplirán con las Leyes de Protección de Datos, el Acuerdo y este DPA. El Cliente establecerá y tendrá todos y cada uno de los motivos legales necesarios para recopilar, Procesar y transferir al Procesador los Datos Personales, y para autorizar las actividades de Procesamiento del Procesador en nombre del Cliente de conformidad con el Acuerdo y este DPA, incluido el Fin Comercial perseguido.

2.3.  Procesamiento de los Datos Personales por parte del Procesador. El Procesador procesará los Datos Personales para los siguientes fines: (a) de conformidad con el Acuerdo y este DPA; (b) en relación con su prestación de los Servicios; (c) para cumplir las instrucciones razonables y documentadas del Cliente, siempre y cuando dichas instrucciones sean coherentes con los términos del Acuerdo y este DPA, y con respecto a cómo se ejecutará el Procesamiento; (d) para compartir Datos Personales de terceros o recibirlos según las instrucciones del Cliente o de acuerdo con el uso de los Servicios por parte del Cliente (p. ej., integraciones entre los Servicios y otros servicios de terceros según los configure el Cliente o alguien en su representación); (e) para que los Datos Personales sean Información Anónima (según se define en el Acuerdo); y (f) según lo exigido por las leyes aplicables al Procesador y/o según lo requiera un tribunal competente u otra autoridad gubernamental o semigubernamental, siempre que el Procesador informe al Cliente sobre el requisito legal antes del Procesamiento, salvo que la ley prohíba divulgar dicha información.

El Procesador deberá informar al Cliente sin demora injustificada si, en la opinión razonable del Procesador, una instrucción para el Procesamiento de Datos Personales dada por el Cliente infringe las Leyes de Protección de Datos aplicables, salvo que el Procesador tenga prohibido notificar al Cliente en virtud de las Leyes de Protección de Datos aplicables. Queda aclarado por el presente que el Procesador no tiene la obligación de evaluar si las instrucciones del Cliente infringen alguna disposición de las Leyes de Protección de Datos.

2.4.  Detalles del Procesamiento. El objeto del Procesamiento de Datos Personales por el Procesador es la prestación de los Servicios de conformidad con el Acuerdo y este DPA. Los detalles sobre la duración del Procesamiento, la naturaleza y el propósito de este, los tipos de Datos Personales y las categorías de los Sujetos de Datos Procesados en virtud de este DPA se especifican en el Anexo 1 (Detalles del Procesamiento) de este DPA.

2.5.  Datos Sensibles. Las Partes aceptan que los Servicios no están diseñados para el Procesamiento de Datos Sensibles y que, si el Cliente desea usar los Servicios para procesar Datos Sensibles, debe obtener primero el consentimiento explícito y por escrito de monday.com y celebrar los acuerdos adicionales necesarios según lo requiera monday.com.

2.6. Norma de la CCPA sobre protección; prohibición de venta o intercambio de la Información Personal. El Procesador reconoce y confirma que no recibe ni procesa ninguna Información Personal como contraprestación por los servicios u otros elementos que el Procesador proporciona al Cliente en virtud del Acuerdo o de este DPA. El Procesador certifica que comprende las reglas, los requisitos y las definiciones de la CCPA y acepta abstenerse de vender o intercambiar (según se definen dichos términos en la CCPA) toda Información Personal Procesada en virtud del presente, sin el consentimiento previo por escrito del Cliente, ni tomar ninguna acción que pueda hacer que una transferencia de Información Personal al Procesador o desde este según el Acuerdo o este DPA califique como “venta” y/o «intercambio» de dicha Información Personal en virtud de la CCPA. El Procesador reconoce que el Cliente divulga Información Personal al Procesador solo para fines específicos establecidos en este DPA y en el Acuerdo. El Procesador procesará toda la Información Personal únicamente (a) para dichos fines específicos y (b) de conformidad con las secciones aplicables de la CCPA. El Procesador no podrá (i) retener, usar o divulgar Información Personal fuera de la relación comercial directa de las Partes, según se describe en el Acuerdo, o para ningún fin comercial que no sea el fin comercial específico de llevar a cabo los Servicios o según permita la CCPA, el Acuerdo y/o este DPA; ni (ii) combinar, por separación lógica, información personal que el Procesador procese en representación de otras Partes con Información Personal del Cliente, salvo que lo autorice expresamente la CCPA, sus reglamentos, el Acuerdo y/o este DPA entre las Partes. El Procesador reconoce que el Cliente tiene derecho, previa notificación, a seguir los pasos razonables y apropiados que corresponda para detener y remediar el uso no autorizado de la Información Personal por parte del Procesador. El Procesador deberá notificar al Cliente si determina que ya no puede cumplir sus obligaciones en virtud de la CCPA.

  1. SOLICITUDES DE LOS SUJETOS DE DATOS

El Procesador deberá notificar al Cliente o remitir al Sujeto de Datos o el Consumidor al Cliente, según sea el caso, si el Procesador recibe una solicitud de un Sujeto de Datos o Consumidor para ejercer sus derechos (en la medida en que sea posible según las Leyes de Protección de Datos aplicables), entre ellos el derecho de acceso, rectificación, restricción del Procesamiento, eliminación, portabilidad de datos, objeción al Procesamiento, a no estar sujeto a una toma de decisiones individual automatizada, optar por no participar de la venta de Información Personal o a no ser discriminado (“Solicitud del Sujeto de Datos”). Según la naturaleza del Procesamiento, el Procesador asistirá al Cliente, en la medida de lo posible y razonable, para habilitar al Cliente a responder a una Solicitud del Sujeto de Datos. El Procesador puede remitir a los Sujetos de Datos o Consumidores al Administrador del Cliente – para que procese dicha solicitud o les indique cómo usar las funciones que pueden usar por sí mismos que están disponibles dentro de la Plataforma.

  1. CONFIDENCIALIDAD

El Procesador se asegurará de que su personal y sus contratistas involucrados en el Procesamiento de Datos Personales se comprometa con la confidencialidad o estén sujetos de otra manera a una obligación legal de confidencialidad.

  1. SUBPROCESADORES

5.1. Designación de Subprocesadores
El Cliente reconoce y acepta que (a) los Afiliados del Procesador pueden estar involucrados como Subprocesadores; y (b) el Procesador y los Afiliados del Procesador pueden involucrar Subprocesadores externos en relación con la prestación de los Servicios.

5.2. Lista de Subprocesadores Actuales y Notificación de Subprocesadores Nuevos

5.2.1.  A partir de la Fecha de Entrada en Vigencia, el Cliente por el presente otorga al Procesador autorización general por escrito para involucrarse con los Subprocesadores que se indican en www.monday.com/terms/subprocessors (“Página de Subprocesadores”), que son los que usa actualmente el Procesador para procesar los Datos Personales.

5.2.2. La Página de Subprocesadores ofrece un mecanismo para suscribirse a notificaciones si se involucra un Subprocesador nuevo o si se reemplaza uno actual (“Notificación de Subprocesadores”), y el Cliente reconoce que deberá suscribirse a este mecanismo luego de firmar este DPA y que con las notificaciones enviadas a través de dicho mecanismo el Procesador cumple con su obligación de notificar al Cliente sobre la designación de un Subprocesador nuevo o el reemplazo de uno actual.

5.3  Objeción a Subprocesadores Nuevos. Ante la publicación de una Notificación de Subprocesador Nuevo, el Cliente puede objetar razonablemente el uso por parte del Procesador de un Subprocesador Nuevo o el reemplazo de un Subprocesador, por razones relacionadas con la protección de Datos Personales que dicho Subprocesador debe procesar. Debe enviarse tal objeción de inmediato mediante notificación escrita al Procesador a privacy@monday.com dentro de los siete (7) días posteriores a la publicación de la Notificación de Subprocesador Nuevo, en la que el Cliente detallará los motivos de la objeción al uso de dicho Subprocesador Nuevo. Si el Cliente no envía su objeción dentro del periodo indicado de siete (7) días y de la manera establecida anteriormente, se considerará que acepta al Subprocesador Nuevo. Si el Cliente se opone razonablemente a un Subprocesador Nuevo, según lo permitido arriba, el Procesador deberá hacer todos los esfuerzos razonables para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable a la configuración del Cliente o el uso de los Servicios para evitar el Procesamiento de Datos Personales por parte del Subprocesador Nuevo objetado sin cobrarle al Cliente de manera irrazonable. Si el Procesador no puede poner a disposición dicho cambio dentro de los treinta (30) días luego de recibida la objeción, el Cliente puede, como único recurso, rescindir el Acuerdo y este DPA con respecto solo a aquellos Servicios y/o componentes de los Servicios que el Procesador no puede proporcionar sin el uso del Subprocesador Nuevo objetado, mediante notificación por escrito al Procesador. Los montos adeudados en virtud del Acuerdo antes de la fecha de rescisión con respecto al Procesamiento en cuestión se deben pagar en su totalidad al Procesador. Hasta que se tome una decisión con respecto al Subprocesador Nuevo, el Procesador puede suspender temporalmente el Procesamiento de los Datos Personales afectados o suspender el acceso a los Servicios respectivos. El Cliente no tendrá más reclamos contra el Procesador debido a la rescisión del Acuerdo (que incluyen, entre otros, la solicitud de reembolsos) y/o del DPA en la situación que se describe en este párrafo.

5.4.  Acuerdos con los Subprocesadores. El Procesador o un Afiliado del Procesador ha celebrado un acuerdo por escrito con cada Subprocesador actual, y celebrará un acuerdo por escrito con cada Subprocesador Nuevo, que incluye las mismas obligaciones, o de similar naturaleza, sobre la protección de datos que se definen en este DPA, en particular las relacionadas con implementar las medidas técnicas y organizativas adecuadas para que el Procesamiento cumpla con los requisitos del RGPD. Cuando el Subprocesador no cumpla sus obligaciones de protección de datos aplicables a su Procesamiento de Datos Personales, el Procesador seguirá siendo completamente responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador.

  1. SEGURIDAD Y AUDITORÍAS

6.1.  Controles para la Protección de Datos Personales. El Procesador deberá mantener medidas técnicas y organizativas estándar de la industria para la protección de los Datos Personales procesados en virtud del presente (incluidas las medidas contra el Procesamiento no autorizado o ilegal y contra la destrucción, pérdida o alteración o daño accidental o ilegal, divulgación o acceso no autorizado a los Datos Personales, confidencialidad e integridad de los Datos Personales). Previa solicitud razonable por parte del Cliente, el Procesador deberá ayudar al Cliente, a costa del Cliente y con sujeción a las disposiciones de la Sección ‎11.1 a continuación, a garantizar el cumplimiento de las obligaciones en virtud de los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para el Procesador.

6.2. Auditorías e Inspecciones. Previa solicitud por escrito con 14 días de antelación por parte del Cliente en intervalos razonables (pero no más de una vez cada 12 meses), y sujeto a estrictos compromisos de confidencialidad por parte del Cliente, el Procesador deberá poner a disposición del Cliente que no sea un competidor del Procesador (o de un auditor independiente, de buena reputación y externo del Cliente que no sea un competidor del Procesador y no está en conflicto con el Procesador, sujeto a compromisos de confidencialidad y no competencia) toda la información necesaria para demostrar el cumplimiento de este DPA y permitir las auditorías y contribuir con ellas, incluidas las inspecciones realizadas. El Procesador podrá cumplir sus obligaciones en virtud de esta sección respondiendo a las auditorías del Cliente basadas en cuestionarios o proporcionando al Cliente declaraciones, certificaciones y resúmenes de informes de auditoría realizadas por auditores externos acreditados únicamente en relación con el cumplimiento por parte del Procesador de este DPA. Toda información relacionada con auditorías, inspecciones y los resultados de estas, incluidos los documentos que reflejan el resultado de aquellas, las usará el Cliente únicamente para evaluar el cumplimiento del Procesador de este DPA, y no deberán usarse con ningún otro fin o divulgarse a ningún tercero sin la aprobación previa y por escrito del Procesador. A solicitud del Procesador, el Cliente le transferirá inmediatamente todos los registros o la documentación proporcionada por el Procesador o recolectada y/o generada por el Cliente (o cualquiera de sus auditores asignados) en el contexto de la auditoría y/o inspección correspondiente.

6.3. En caso de auditoría o inspección según se indica más arriba, el Cliente garantizará que dicha auditoría o inspección (y cada uno de sus auditores responsables) no causarán (o si es imposible evitarlo, minimizarán) cualquier daño, lesión o interrupción a las operaciones, instalaciones, equipos, personal y negocio del Procesador, según corresponda, mientras se llevan a cabo dichas auditorías o inspecciones.

6.4. Los derechos de auditoría establecidos en la sección ‎6.2 anterior aplicarán solamente si el Acuerdo no otorga al Cliente otros derechos de auditoría que cumplan los requisitos relevantes de las Leyes de Protección de Datos (incluidos, según corresponda, el artículo 28(3)(h) del RGPD o del RGPD del RU). Si las Cláusulas Contractuales Estándar aplican, y solo en ese caso, ninguna parte de esta Sección 6 varía o modifica las Cláusulas Contractuales Estándar ni afecta los derechos de la Autoridad Supervisora o de los Sujetos de Datos en virtud de las Cláusulas Contractuales Estándar.

  1. NOTIFICACIÓN Y GESTIÓN DE INCIDENTES DATOS

7.1. El Procesador mantiene políticas y procedimientos para la gestión de incidentes de seguridad internos y, según lo requerido por las Leyes de Protección de Datos aplicables, el Procesador deberá informar al Cliente de inmediato en caso de destrucción, pérdida o alteración accidental o ilegal, o divulgación no autorizada de los Datos Personales procesados por el Procesador o en representación del Cliente o en caso de acceso no autorizado a estos (“Incidente de Datos”). El Procesador hará los esfuerzos razonables para identificar y tomar las medidas que el Procesador considere necesarias y razonables para reparar y/o mitigar la causa de dicho Incidente de Datos en la medida en que tal reparación o mitigación se encuentre dentro del control razonable del Procesador. Las obligaciones aquí establecidas no aplicarán a Incidentes de Datos causados por el Cliente, sus Usuarios o cualquiera que use los Servicios en nombre del Cliente.

7.2. El Cliente no llevará a cabo, divulgará, revelará o publicará ningún hallazgo, admisión de responsabilidad, comunicación, notificación, comunicado de prensa o informe respecto de un Incidente Datos que identifique directa o indirectamente al Procesador (incluido cualquier procedimiento legal o en cualquier notificación a autoridades normativas o de supervisión u personas afectadas) sin la aprobación previa y por escrito del Procesador, salvo y exclusivamente en caso de que el Cliente se vea obligado a hacerlo en virtud de las Leyes de Protección de Datos aplicables. En el último caso, salvo que lo prohíban dichas leyes, el Cliente proporcionará al Procesador una notificación escrita para darle la oportunidad de objetar dicha divulgación y, en cualquier caso, el Cliente limitará la divulgación al alcance mínimo requerido por dichas leyes.

  1. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS PERSONALES

Tras la rescisión del Acuerdo y finalización de la prestación de los Servicios, a elección del Cliente (según lo informado a través de la Plataforma o en una notificación por escrito al Procesador), el Procesador deberá eliminar o devolver al Cliente todos los Datos Personales que procese en nombre del Cliente como se describe en el Acuerdo, salvo que las leyes aplicables al Procesador requieran o autoricen lo contrario.

  1. TRANSFERENCIAS INTERNACIONALES DE DATOS

9.1. Transferencias desde el EEE, Suiza y el Reino Unido a países que ofrecen un nivel adecuado de protección de datos. Los Datos Personales pueden transferirse desde los Estados Miembro de la UE, y Noruega, Islandia y Liechtenstein (en conjunto, el “EEE”), Suiza y el Reino Unido (“RU”) a países que ofrecen un nivel adecuado de protección de datos en virtud de las decisiones de adecuación publicadas por las autoridades relevantes del EEE, Suiza y/o el RU según corresponda, incluidos mecanismos y marcos aprobados del mismo modo  (“Decisiones de Adecuación”), según corresponda, sin que sea necesario aplicar ninguna otra medida de seguridad. Para no dejar lugar a dudas, el término “Decisiones de Adecuación” incluye la decisión de adecuación de la Comisión Europea del 10 de julio de 2023, que establece el Marco de Privacidad de Datos UE-EE. UU.

9.2.  Transferencias directas desde el EEE, Suiza y el Reino Unido a otros países. Si el Procesamiento de los Datos Personales por parte del Procesador incluye una transferencia directa del Cliente a monday.com:

(i) desde el EEE a otros países que no estén sujetos a una Decisión de Adecuación relevante y que no se realice a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (que adopte el Procesador a su entera discreción)  (“Transferencia desde el EEE”), aplicarán los términos establecidos en las SCC de la UE;

(ii)   desde el RU a otros países que no estén sujetos a una Decisión de Adecuación relevante y que no se realice a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (que adopte el Procesador a su entera discreción)  (“Transferencia desde el RU”), aplicarán los términos del Apéndice de las SCC del RU;

(iii) desde Suiza a otros países que no estén sujetos a una Decisión de Adecuación relevante y que no se realice a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (que adopte el Procesador a su entera discreción) (“Transferencia desde Suiza”), aplicarán los términos del Apéndice de las SCC de Suiza;

(iv)  los términos establecidos en el Anexo V de las SCC de la UE (Medidas de Seguridad Adicionales) aplicarán a todas las Transferencias desde el EEE, a las Transferencias desde el RU y a las Transferencias desde Suiza, donde se aplican las Cláusulas Contractuales Estándar.

9.3. Transferencias posteriores desde el EEE, Suiza y el Reino Unido a otros países. Si el Procesador luego transfiere los Datos Personales desde países del EEE, RU y Suiza a Subprocesadores autorizados, entre ellos los Afiliados del Procesador, en países que no están sujetos a una Decisión de Adecuación (respectivamente, las Cláusulas Contractuales Estándar (Módulo 3) establecidas en el Anexo de la Decisión de Ejecución (UE) de la Comisión Europea 2021/914 del 4 de junio de 2021 y cualquier otro anexo aplicable (“SCC”)), aplicará el IDTA y/o las SCC, con las adaptaciones correspondientes según las recomendaciones del Comisionado Federal Suizo de Protección de Datos e Información del 27 de agosto de 2021 entre el Procesador y sus respectivos Subprocesadores y Subsidiarias.

9.4. Transferencias desde otros países: Si el Procesamiento de los Datos Personales por parte del Procesador incluye una transferencia de Datos Personales de parte del Cliente y/o indicada por este a un Procesador de cualquier otra jurisdicción donde se requiera la fijación de un mecanismo de cumplimiento particular para la transferencia legítima de dichos datos, el Cliente notificará al Procesador de dichos requisitos aplicables, y las Partes harán las enmiendas necesarias a este DPA de conformidad con las disposiciones de la Sección 11.2 a continuación.

 

  1. AFILIADOS AUTORIZADOS

10.1.  Relación Contractual. Las Partes reconocen y aceptan que, al suscribir este DPA, el Cliente celebra el DPA en nombre propio y, según corresponda, en nombre y en representación de sus Afiliados Autorizados, en cuyo caso cada Afiliado Autorizado acepta estar obligado por las obligaciones del Cliente en virtud de este DPA, si y en la medida que el Procesador procese Datos Personales en nombre de dichos Afiliados Autorizados, habilitándolos como “Controladores” respecto de los Datos Personales procesados en su nombre. Todo acceso y uso de los Servicios por Afiliados Autorizados debe cumplir los términos y condiciones del Acuerdo y este DPA, y toda violación de sus términos y condiciones por un Afiliado Autorizado se considerará una violación por parte del Cliente.

10.2.  Comunicación. El Cliente seguirá siendo responsable de coordinar todas las comunicaciones con el Procesador en virtud del Acuerdo y este DPA y tendrá derecho a realizar y recibir toda comunicación en relación con este DPA en nombre de sus Afiliados Autorizados.

  1. OTRAS DISPOSICIONES

11.1.  Evaluación del Impacto de la Protección de Datos y Consulta Previa. Previa solicitud razonable por el Cliente, el Procesador deberá proporcionar al Cliente, a costo del Cliente, la cooperación y asistencia razonables necesarias para cumplir la obligación del Cliente en virtud del RGPD o del RGPD del RU (según corresponda) para llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso de los Servicios por el Cliente, en la medida que el Cliente no tenga acceso a la información relevante y que dicha información esté disponible para el Procesador. El Procesador deberá proporcionar, a costo del Cliente, asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Control en el cumplimiento de sus tareas relacionadas con esta cláusula 11.1, en la medida que lo exija el RGPD o el RGPD del RU, según corresponda.

11.2.  Modificaciones. Cada Parte puede, con notificación de al menos cuarenta y cinco (45) días calendario a la otra Parte, solicitar por escrito cualquier variación a este DPA que se requiere a causa de un cambio en las Leyes de Protección de Datos para permitir que el Procesamiento de los Datos Personales del Cliente se haga (o se siga haciendo) sin violar dichas Leyes de Protección de Datos. De conformidad con tal notificación, las Partes harán todos los esfuerzos comercialmente razonables para adaptarse a dicha modificación requerida y negociarán de buena fe para aceptar e implementar los cambios diseñados para cumplir con los requisitos en virtud de las Leyes de Protección de Datos aplicables identificados en la notificación del Cliente o del Procesador lo antes posible según sea posible implementarlos. Además, el Procesador podrá enmendar este DPA oportunamente sin mediar notificación, siempre que dichos cambios no vayan sustancialmente en contra de los derechos del Cliente o de las obligaciones del Procesador (por ejemplo, corrección de errores de escritura, ajustes técnicos u otras modificaciones que el Procesador considere necesarias). Para mayor claridad, si el Procesador hace un cambio que vaya en contra de los derechos del Cliente o de las obligaciones del Procesador, este notificará al Cliente mediante la publicación de un anuncio en el sitio, a través de la Plataforma y/o de un e-mail.

ANEXO 1 – DETALLES DEL PROCESAMIENTO

Naturaleza y propósito del tratamiento

  1. Prestar los Servicios al Cliente;
  2. Ejecutar el Acuerdo, este DPA y/u otros contratos celebrados por y entre las Partes;
  3. Actuar según las instrucciones del Cliente, cuando dichas instrucciones sean coherentes con los términos del Acuerdo;
  4. Compartir Datos Personales con terceros en virtud de las instrucciones del Cliente o de conformidad con el uso de los Servicios por parte del Cliente (por ejemplo, integraciones entre los Servicios y cualquier servicio de terceros, según estén configuradas por el Cliente o en su nombre para facilitar el intercambio de Datos Personales entre los Servicios y dichos servicios de terceros);
  5. Presentar los Datos Personales como Información Anónima;
  6. Cumplir con las leyes y normativas aplicables;
  7. Todas las tareas relacionadas con cualquiera de las anteriores.

Duración del tratamiento

Sujeto a cualquier cláusula del DPA y/o del Acuerdo que establezca la duración del Procesamiento y las consecuencias del vencimiento o la rescisión de este, el Procesador procesará los Datos Personales mientras dure el Acuerdo y la prestación de los Servicios en virtud del presente, salvo que se acuerde lo contrario por escrito.

Tipo de Datos Personales

El Cliente puede enviar Datos Personales a los Servicios, del tipo y con el alcance que determine y controle el Cliente a su exclusivo criterio.

Categorías de Sujetos de Datos

Las Categorías de Sujetos de Datos en relación con los Datos Personales que procesará el Procesador dependen del Cliente y pueden incluir, a título enunciativo, cualquiera de las siguientes categorías:

  • Empleados, agentes, asesores, freelancers del Cliente (que sean personas físicas).
  • Clientes potenciales y actuales, partners comerciales y proveedores del Cliente (que sean personas físicas).
  • Empleados o personas de contacto de clientes potenciales, clientes actuales, partners comerciales y proveedores del Cliente.
  • Cualquier otro tercero externo cuyos Datos Personales se procesen a través de los Servicios.

 

AVISO LEGAL: Esta es una traducción al español de la versión original en inglés y se proporciona solo para fines de conveniencia. La versión original en inglés es la oficial y legalmente vinculante, misma que prevalecerá en caso de discrepancia.

Empoderamos a los equipos para que logren más, juntos

Prueba gratuita de 14 días | No se necesita tarjeta de crédito