Acuerdo de procesamiento de datos

Última actualización:
January 17, 2025
Términos y condiciones
Acuerdo de procesamiento de datos
Tabla de contenido
h2
Ejemplo H2
h3
Ejemplo H3
h4
Ejemplo H4
h5
Ejemplo H5
h6
Ejemplo H6

Este anexo sobre procesamiento de datos (»Apéndice») al Acuerdo maestro de suscripción (»Acuerdo») establece las obligaciones de privacidad, protección de datos y seguridad de datos aplicables a Loop Now Technologies, Inc. y sus filiales (colectivamente»Proveedor de servicios») Procesamiento (definido a continuación) de datos personales (definidos a continuación) en nombre del Cliente y de cualquiera de sus Filiales (colectivamente,»Controlador de datos») que reciben Servicios de procesamiento (definidos a continuación) en virtud del Acuerdo.

1. Procesamiento de datos personales

  1. El controlador de datos es y seguirá siendo el controlador de toda la información proporcionada por el controlador de datos al proveedor de servicios o recopilada por el proveedor de servicios en virtud del Acuerdo que identifique o pueda usarse directa o indirectamente para identificar, describir, contactar, localizar o estar relacionada o asociada de otro modo con una persona u hogar (»Datos personales») en virtud de las leyes y reglamentos aplicables en materia de privacidad, protección y seguridad de datos que rigen el procesamiento de datos personales (en conjunto, «Leyes de protección de datos aplicables»). Los datos personales no incluyen los datos personales procesados por el proveedor de servicios en calidad de controlador del proveedor de servicios. El controlador de datos mantiene los derechos y obligaciones para determinar los fines para los que se procesan los datos personales (lo que incluye, entre otros, la recopilación, el registro, el almacenamiento, el uso, el acceso, la transmisión y los medios por los que los datos personales pueden transferirse a un tercer país u organización internacional) (»Proceso» o»Procesamiento»). Nada de lo dispuesto en este Anexo restringirá o limitará en modo alguno los derechos u obligaciones del Controlador de Datos como Controlador de Datos Personales para tales fines.
  2. El proveedor de servicios solo procesará los datos personales de acuerdo con las instrucciones del controlador de datos y en su nombre, según sea necesario para llevar a cabo los fines del acuerdo de conformidad con el anexo A, o según lo autorice el controlador de datos por escrito (»Servicios de procesamiento»), y para ningún otro propósito. El proveedor de servicios no se dedicará a la venta de datos personales. Cuando una ley de protección de datos aplicable exija que el proveedor de servicios procese datos personales en términos distintos a los de este anexo u otras instrucciones escritas del controlador de datos, el proveedor de servicios notificará al controlador de datos dicho requisito legal antes del procesamiento de acuerdo con el requisito legal, a menos que la ley aplicable prohíba la divulgación. Además, el proveedor de servicios notificará al controlador de datos si, según la evaluación del proveedor de servicios, alguna de las instrucciones del controlador de datos infringe las leyes de protección de datos aplicables, a menos que la ley aplicable prohíba la divulgación.
  3. El proveedor de servicios notificará sin demora y por escrito al controlador de datos cualquier solicitud, queja, reclamación u otra comunicación recibida por el proveedor de servicios, así como por los agentes, subcontratistas u otros terceros autorizados por el controlador de datos para procesar datos personales (»Subprocesador (es)») con respecto a los datos personales: (i) de una persona que es (o afirma ser) el sujeto de los datos personales; (ii) de cualquier autoridad de protección de datos, agencia policial u otra autoridad gubernamental; y/o (iii) de los empleados del Controlador de datos u otros terceros, distintos de los establecidos en este Anexo. A menos que lo prohíba la ley aplicable, el Proveedor de servicios notificará al Controlador de datos sobre cualquier solicitud de este tipo y obtendrá el consentimiento expreso por escrito del Controlador de datos antes de divulgar o compartir cualquier dato personal en respuesta a dichas solicitudes, y el Proveedor de servicios responderá a dichas solicitudes solo cuando el Controlador de datos lo autorice para hacerlo. Sujeto a la ley aplicable, en caso de que el Proveedor de servicios reciba una solicitud de una autoridad gubernamental en cualquier jurisdicción que exija la divulgación de Datos personales a dicha autoridad gubernamental, el Proveedor de servicios intentará redirigir a la autoridad gubernamental para que solicite dichos Datos personales directamente al Controlador de datos. Sin embargo, sin perjuicio de cualquier disposición en contrario, el Proveedor de servicios también cooperará razonablemente con el Controlador de datos y sus filiales, agentes, subprocesadores y representantes para responder a las solicitudes, consultas, reclamaciones y quejas relacionadas con el procesamiento de datos personales.
  4. El proveedor de servicios garantiza que todas las personas autorizadas a procesar datos personales se han comprometido a mantener la confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada.
  5. Previa solicitud, el proveedor de servicios brindará una cooperación y asistencia razonables al controlador de datos para garantizar el cumplimiento de las obligaciones de seguridad de los datos, así como para llevar a cabo cualquier evaluación de impacto en materia de protección de datos o actividad similar, lo que incluye, entre otros, proporcionar una descripción sistémica de las operaciones de procesamiento previstas, una asistencia razonable para evaluar los riesgos para los derechos y libertades de los interesados a los que se refieren los datos personales y/o una asistencia razonable para evaluar la necesidad y proporcionalidad de las operaciones de procesamiento en relación con el propósito subyacente. El proveedor de servicios también cooperará de manera razonable y proporcionará cualquier asistencia o información que se solicite y necesite razonablemente para que el controlador de datos inicie consultas con las autoridades reguladoras o responda de otro modo a las solicitudes de información de dichas autoridades.

2. TMedidas de seguridad técnicas y organizativas

El proveedor de servicios debe implementar y mantener un programa escrito de seguridad de la información (»Programa de seguridad de la información») que incluye las medidas de seguridad administrativas, técnicas, organizativas y físicas adecuadas para proteger los datos personales, incluidas, según proceda: (i) la seudonimización y el cifrado de los datos personales electrónicos en tránsito y el hash de los datos personales electrónicos en reposo; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento, incluso contra el acceso, el uso, la divulgación, la alteración o la destrucción no autorizados de los datos personales; (iii) el capacidad de restaurar oportunamente la disponibilidad y el acceso a los datos personales en caso de un incidente físico o técnico; y (iv) un proceso para evaluar y evaluar periódicamente la eficacia de las medidas administrativas, técnicas, organizativas y físicas para garantizar la seguridad del procesamiento.

3. Incidente de seguridad

  1. Sin perjuicio de cualquier disposición en contrario de este Anexo o del Acuerdo, el Proveedor de Servicios notificará al Controlador de Datos sin demora por escrito, pero a más tardar cuarenta y ocho (48) horas después del descubrimiento (a menos que la Ley de Protección de Datos Aplicable exija un período de tiempo más corto) en caso de que: (i) el Proveedor de servicios se dé cuenta de que el Proveedor de servicios procesa cualquier dato personal (incluidos sus subprocesadores) en violación de este Anexo o la Ley de Protección de Datos Aplicable; (ii) (incluidos sus subprocesadores) descubre, recibe una notificación o sospecha razonablemente de una violación de la seguridad que conduce o puede conducir a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales de forma accidental o ilegal; o (iii) el proveedor de servicios se entera de que ha habido alguna queja formal sobre las prácticas de privacidad, protección de datos o seguridad de datos del proveedor de servicios (incluidos sus subprocesadores) (colectivamente,»Incidente de seguridad»).
  2. El proveedor de servicios cooperará de manera razonable en la investigación y la solución del incidente de seguridad y tomará las medidas razonables para limitar la divulgación o el procesamiento no autorizados adicionales de datos personales en relación con el incidente de seguridad.

4. Subprocesadores

Las partes acuerdan que el Proveedor de Servicios tiene autorización general para utilizar subprocesadores y para que esos subprocesadores utilicen subprocesadores. El anexo C de este anexo incluye una lista actual de subprocesadores utilizados por el proveedor de servicios. El proveedor de servicios informará al controlador de datos si hay algún cambio relacionado con la adición o el reemplazo de dichos subprocesadores. El proveedor de servicios será en todo momento responsable y totalmente responsable ante el controlador de datos por el cumplimiento de sus obligaciones por parte de los subprocesadores. El proveedor de servicios también se asegurará de que cada subprocesador sea capaz de proporcionar el nivel de protección de los datos personales requerido en este anexo y celebrar un acuerdo vinculante por escrito con cada subprocesador que imponga las mismas o mayores obligaciones que las obligaciones del proveedor de servicios según lo establecido en este anexo.

5. Derechos del sujeto de datos

El proveedor de servicios notificará de inmediato al controlador de datos si el proveedor de servicios recibe una solicitud de un sujeto de datos con respecto a sus datos personales y el proveedor de servicios ayudará razonablemente al controlador de datos mediante la implementación de las medidas administrativas, técnicas y organizativas apropiadas para responder a dichas solicitudes. El controlador de datos determinará si un sujeto de datos tiene derecho o no a ejercer los derechos del sujeto de datos mencionados anteriormente o en virtud de la ley de protección de datos aplicable con respecto a sus datos personales, y dará instrucciones al proveedor de servicios en la medida en que se requiera una asistencia razonable.

6. Derechos de auditoría

El proveedor de servicios mantendrá registros completos y precisos relacionados con todo el procesamiento de datos personales en nombre del controlador de datos como parte de los servicios de procesamiento, y el controlador de datos puede solicitar, con diez (10) días de notificación por escrito al proveedor de servicios, una auditoría, por sí mismo o a través de un auditor externo independiente. La auditoría puede llevarse a cabo una vez en cualquier año calendario. Las auditorías estarán sujetas a todas las obligaciones de confidencialidad aplicables acordadas por el controlador de datos y el proveedor de servicios, y cualquier auditor independiente deberá celebrar un acuerdo de confidencialidad con el proveedor de servicios, que contenga disposiciones de confidencialidad sustancialmente similares a las establecidas en el acuerdo para proteger la información confidencial y de propiedad del proveedor de servicios. Las auditorías se llevarán a cabo de manera que se minimice cualquier interrupción en el desempeño de los servicios y otras operaciones normales por parte del proveedor de servicios. Para evitar cualquier duda, cualquier información divulgada por el Proveedor de servicios en relación con este Anexo estará sujeta a las disposiciones de confidencialidad (incluida la no utilización) del Acuerdo.

7. Transferencias transfronterizas desde el EEE

  1. UE Cláusulas contractuales estándar. En la medida en que lo exijan las leyes de protección de datos aplicables, las partes acuerdan que las cláusulas anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (»SCC de la UE») se aplicará a los datos personales que se transfieran en virtud del Acuerdo desde el Espacio Económico Europeo o Suiza, ya sea directamente o mediante transferencia posterior, a cualquier país o destinatario fuera del Espacio Económico Europeo o Suiza que no esté reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente de Suiza) como proveedor de un nivel adecuado de protección de los datos personales (»Transferencia restringida«). En el caso de las transferencias de datos desde el Espacio Económico Europeo que estén sujetas a las SCC de la UE, las SCC de la UE, módulo 2 (del controlador al procesador), se considerarán iniciadas (e incorporadas a esta adenda mediante esta referencia) y se completarán de la siguiente manera:
    1. En la cláusula 7, se aplicará la cláusula de acoplamiento opcional;
    2. En la cláusula 9, se aplicará la opción 2 y el período de tiempo para la notificación de los cambios del subprocesador será el establecido en la sección 4 (Subprocesadores) de este anexo;
    3. En la cláusula 11, no se aplicará el lenguaje de recurso opcional;
    4. En la cláusula 13 (a), las tres opciones pueden conservarse y aplicarse, según las circunstancias y, según proceda, cuando la transferencia entre dentro del ámbito territorial del Reglamento (UE) 2016/679;
    5. En la cláusula 17, las SCC de la UE se regirán por la legislación irlandesa;
    6. En la Cláusula 18 (b), las disputas se resolverán ante los tribunales de Irlanda; y
    7. El anexo A (Descripción del procesamiento) de esta adenda sirve como anexo I de las SCC de la UE; el anexo B (Medidas de seguridad técnicas y organizativas implementadas por el proveedor de servicios) de esta adenda sirve como anexo II de las SCC de la UE y el anexo C (lista de subprocesadores) sirve como anexo III de las SCC de la UE.

      Además, la firma de esta adenda constituirá todas las firmas necesarias y exigidas para las SCC de la UE.
  2. Adenda del Reino Unido. En relación con los datos personales que están protegidos por el Reglamento (UE) 2016/679, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Ley de la Unión Europea (Retirada) de 2018 (la»GDPR DEL REINO UNIDO«), la «Adenda del Reino Unido a las cláusulas contractuales tipo de la UE» (»Adenda del Reino Unido«) se aplicará. En la medida en que se aplique la adenda del Reino Unido, también se aplicarán los anexos A, B y C de esta adenda. En el caso de las transferencias de datos desde el Reino Unido que estén sujetas al Anexo del Reino Unido, el Anexo del Reino Unido se considerará suscrito (e incorporado a este Anexo mediante esta referencia) y se completará de la siguiente manera:
    1. Para el cuadro uno, se aplicarán los detalles que figuran en el anexo A de la presente adenda;
    2. En el cuadro dos, se aplicará la casilla de verificación que hace referencia a lo siguiente:
      1. «Los SCC de la UE aprobados, incluida la información del apéndice y solo los módulos, cláusulas o disposiciones opcionales de los SCC de la UE aprobados, entraron en vigor a los efectos de la adenda del Reino Unido».
      2. Dentro de la tabla, se aplicará el módulo 2 y se completará de la misma manera que los SCC de la UE tal como se detallan en la sección 6 (a) (Cláusulas contractuales estándar de la UE) anterior.
    3. Para la tabla tres, se aplicará lo siguiente a las columnas a las que se hace referencia: el anexo A (Descripción del procesamiento) de esta adenda se aplicará a las columnas tituladas anexo IA y anexo IB; el anexo B (Medidas de seguridad técnicas y organizativas implementadas por el proveedor de servicios) de esta adenda se aplicará a la columna titulada anexo II; y el anexo C (Lista de subprocesadores) se aplicará a la columna titulada anexo III.
    4. Para el cuadro cuatro, solo el exportador tendrá derecho a dar por terminada esta adenda.

      Además, la firma de este Anexo constituirá todas las firmas necesarias y requeridas del Anexo del Reino Unido.

8. Después de la terminación

Sin perjuicio de cualquier otra disposición del Acuerdo o de este Anexo que disponga lo contrario, cuando el proveedor de servicios (incluidos sus subprocesadores) deje de prestar servicios de procesamiento para el controlador de datos al rescindir el acuerdo o de otro modo (por ejemplo, por solicitud o instrucción explícita del controlador de datos), el proveedor de servicios deberá, si lo solicita el controlador de datos y dentro de los sesenta (60) días de la solicitud: (i) devolver los datos personales (y todos los medios que contengan copias de los datos personales) al controlador de datos; y/o (ii) purgar, eliminar y destruir de forma segura los datos personales para en la medida de lo posible, a menos que la legislación impuesta al proveedor de servicios le impida devolver o destruir la totalidad o parte de los datos personales transferidos. Los medios electrónicos que contengan datos personales se eliminarán de manera que los datos personales sean irrecuperables.

9. Entrada en la adenda

Cada entidad del controlador de datos que reciba los Servicios de procesamiento en virtud del Acuerdo tendrá derecho y estará sujeta a los derechos y obligaciones de este Anexo y tendrá derecho a ser agregada como firmante de este Anexo, y el Controlador de datos tendrá la autoridad para firmar este Anexo en nombre de sus filiales. Sin perjuicio de cualquier disposición en contrario, cada entidad del controlador de datos ejercerá sus derechos en virtud de este anexo a través de la entidad del controlador de datos que sea signataria original de este anexo, a menos que la ley de protección de datos aplicable exija lo contrario. En cualquier caso, el Proveedor de Servicios está obligado y obligado a cumplir con todas y cada una de las obligaciones de este Anexo con respecto a cada entidad del controlador de datos agregada a este Anexo.

10. Contrapartes

Este Anexo puede ejecutarse en una o más contrapartes, cada una de las cuales se considerará original, pero todas juntas constituirán un mismo acuerdo.