Este Acuerdo de Procesamiento de Datos (“Acuerdo”) forma parte del Contrato de Servicios (“Acuerdo Principal”) entre TeleRetro (la “Compañía”) y el cliente de TeleRetro identificado en el documento de pedido aplicable para los servicios de TeleRetro (el “Procesador de Datos”) (juntos como las “Partes”).
CONSIDERANDO
(A) La Compañía actúa como un Controlador de Datos.
(B) La Compañía desea subcontratar ciertos Servicios, que implican el procesamiento de datos personales, al Procesador de Datos.
(C) Las Partes buscan implementar un acuerdo de procesamiento de datos que cumpla con los requisitos del marco legal actual en relación con el procesamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas con respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
(D) Las Partes desean establecer sus derechos y obligaciones.
SE ACUERDA LO SIGUIENTE:
1. Definiciones e Interpretación
1.1 A menos que se defina de otro modo en este documento, los términos y expresiones en mayúsculas utilizados en este Acuerdo tendrán el siguiente significado:
1.1.1 “Acuerdo” significa este Acuerdo de Procesamiento de Datos y todos sus Anexos;
1.1.2 “Datos Personales de la Compañía” significa cualquier Dato Personal Procesado por un Procesador Contratado en nombre de la Compañía de acuerdo con o en conexión con el Acuerdo Principal;
1.1.3 “Procesador Contratado” significa un Subprocesador;
1.1.4 “Leyes de Protección de Datos” significa las Leyes de Protección de Datos de la UE y, en la medida en que sea aplicable, las leyes de protección de datos o privacidad de cualquier otro país;
1.1.5 “EEE” significa el Espacio Económico Europeo;
1.1.6 “Leyes de Protección de Datos de la UE” significa la Directiva de la UE 95/46/EC, según se transponga en la legislación doméstica de cada Estado miembro y según se modifique, reemplace o derogue de vez en cuando, incluyendo por el GDPR y las leyes que implementan o complementan el GDPR;
1.1.7 “GDPR” significa el Reglamento General de Protección de Datos 2016/679 de la UE;
1.1.8 “Transferencia de Datos” significa:
1.1.8.1 una transferencia de Datos Personales de la Compañía a un Procesador Contratado; o
1.1.8.2 una transferencia subsiguiente de Datos Personales de la Compañía desde un Procesador Contratado a un Subprocesador Contratado, o entre dos establecimientos de un Procesador Contratado, en cada caso, donde dicha transferencia estaría prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);
1.1.9 “Servicios” significa los servicios de retrospección ágil en línea que proporciona la Compañía.
1.1.10 “Subprocesador” significa cualquier persona nombrada por o en nombre del Procesador para procesar Datos Personales en nombre de la Compañía en conexión con el Acuerdo.
1.2 Los términos, “Comisión”, “Controlador”, “Sujeto de Datos”, “Estado Miembro”, “Datos Personales”, “Violación de Datos Personales”, “Procesamiento” y “Autoridad Supervisora” tendrán el mismo significado que en el GDPR, y sus términos cognados se interpretarán en consecuencia.
2. Procesamiento de Datos Personales de la Compañía
2.1 El Procesador deberá:
2.1.1 cumplir con todas las Leyes de Protección de Datos aplicables en el Procesamiento de Datos Personales de la Compañía; y
2.1.2 no Procesar Datos Personales de la Compañía de otra manera que no sea en las instrucciones documentadas de la Compañía relevante.
2.2 La Compañía instruye al Procesador para procesar Datos Personales de la Compañía.
3. Personal del Procesador
El Procesador deberá tomar medidas razonables para asegurar la fiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales de la Compañía, asegurando en cada caso que el acceso esté estrictamente limitado a aquellos individuos que necesiten conocer/acceder los Datos Personales de la Compañía relevantes, estrictamente necesario para los propósitos del Acuerdo Principal, y para cumplir con las Leyes Aplicables en el contexto de las obligaciones de ese individuo hacia el Procesador Contratado, asegurando que todos dichos individuos estén sujetos a compromisos de confidencialidad o a obligaciones profesionales o estatutarias de confidencialidad.
4. Seguridad
4.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo de variabilidad en la probabilidad y severidad para los derechos y libertades de las personas físicas, el Procesador deberá en relación con los Datos Personales de la Compañía implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado para ese riesgo, incluyendo, según corresponda, las medidas referidas en el Artículo 32(1) del GDPR.
4.2 Al evaluar el nivel adecuado de seguridad, el Procesador deberá tener en cuenta en particular los riesgos que presentan el Procesamiento, en particular de una Violación de Datos Personales.
5. Subprocesamiento
5.1 El Procesador no nombrará (ni divulgará ningún Dato Personal de la Compañía a) ningún Subprocesador a menos que sea requerido o autorizado por la Compañía.
6. Derechos del Sujeto de Datos
6.1 Teniendo en cuenta la naturaleza del Procesamiento, el Procesador ayudará a la Compañía implementando medidas técnicas y organizativas apropiadas, en la medida en que esto sea posible, para el cumplimiento de las obligaciones de la Compañía, según lo entienda razonablemente la Compañía, para responder a las solicitudes de ejercer los derechos del Sujeto de Datos bajo las Leyes de Protección de Datos.
6.2 El Procesador deberá:
6.2.1 notificar prontamente a la Compañía si recibe una solicitud de un Sujeto de Datos bajo cualquier Ley de Protección de Datos con respecto a los Datos Personales de la Compañía; y
6.2.2 asegurar que no responda a esa solicitud excepto en las instrucciones documentadas de la Compañía o según lo requieran las Leyes Aplicables a las que está sujeto el Procesador, en cuyo caso el Procesador deberá, en la medida en que lo permitan las Leyes Aplicables, informar a la Compañía de ese requerimiento legal antes de que el Procesador Contratado responda a la solicitud.
7. Violación de Datos Personales
7.1 El Procesador notificará a la Compañía sin demoras indebidas una vez que el Procesador tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales de la Compañía, proporcionando a la Compañía información suficiente para permitir a la Compañía cumplir con cualquier obligación de informar o notificar a los Sujetos de Datos de la Violación de Datos Personales bajo las Leyes de Protección de Datos.
7.2 El Procesador cooperará con la Compañía y tomará pasos comerciales razonables según sean dirigidos por la Compañía para ayudar en la investigación, mitigación y remediación de cada Violación de Datos Personales.
8. Evaluación de Impacto sobre la Protección de Datos y Consulta Previa
8.1 El Procesador proporcionará asistencia razonable a la Compañía con cualquier evaluación de impacto sobre la protección de datos, y consultas previas con Autoridades Supervisoras u otras autoridades competentes de privacidad de datos, que la Compañía razonablemente considere ser requeridas por el artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales de la Compañía por, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para, los Procesadores Contratados.
9. Eliminación o devolución de Datos Personales de la Compañía
9.1 Sujeto a esta sección 9, el Procesador deberá borrar prontamente y en todo caso dentro de los 10 días hábiles a partir de la fecha de cese de cualquier Servicio que involucre el Procesamiento de Datos Personales de la Compañía (la “Fecha de Cese”), eliminar y procurar la eliminación de todas las copias de esos Datos Personales de la Compañía.
10. Derechos de Auditoría
10.1 Sujeto a esta sección 10, el Procesador deberá poner a disposición de la Compañía a solicitud toda la información necesaria para demostrar el cumplimiento con este Acuerdo, y permitirá y contribuirá a auditorías, incluyendo inspecciones, por parte de la Compañía o un auditor mandatado por la Compañía en relación con el Procesamiento de los Datos Personales de la Compañía por los Procesadores Contratados.
10.2 Los derechos de información y auditoría de la Compañía solo surgen bajo la sección 10.1 en la medida en que el Acuerdo de otro modo no les otorgue derechos de información y auditoría que cumplan con los requisitos relevantes de la Ley de Protección de Datos.
11. Transferencia de Datos
11.1 El Procesador no podrá transferir o autorizar la transferencia de Datos a países fuera de la UE y/o del Espacio Económico Europeo (EEE) sin el consentimiento previo por escrito de la Compañía. Si se transfieren datos personales procesados bajo este Acuerdo de un país dentro del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes garantizarán que los datos personales estén protegidos adecuadamente. Para lograr esto, las Partes, a menos que se acuerde lo contrario, se basarán en cláusulas contractuales estándar aprobadas por la UE para la transferencia de datos personales.
12. Términos Generales
12.1 Confidencialidad. Cada Parte debe mantener este Acuerdo e información que recibe sobre la otra Parte y su negocio en conexión con este Acuerdo (“Información Confidencial”) de manera confidencial y no debe usar o divulgar esa Información Confidencial sin el consentimiento previo por escrito de la otra Parte excepto en la medida en que: (a) la divulgación sea requerida por ley; (b) la información relevante ya esté en el dominio público.
12.2 Notificaciones. Todas las notificaciones y comunicaciones dadas bajo este Acuerdo deben ser por escrito y serán entregadas personalmente, enviadas por correo o enviadas por correo electrónico a la dirección o dirección de correo electrónico indicadas en el encabezado de este Acuerdo en tal otra dirección como sea notificada de vez en cuando por las Partes al cambiar de dirección.
13. Ley Aplicable y Jurisdicción
13.1 Este Acuerdo de Procesamiento de Datos se rige y se interpreta de acuerdo con las leyes y la jurisdicción como se indica a continuación:
País o región | Elección de ley | Jurisdicción |
---|---|---|
Todos los otros países y regiones donde TeleRetro está disponible | Leyes de Inglaterra y Gales | Exclusiva |
Estados Unidos | Estado de California, Estados Unidos | Exclusiva; Tribunales Estatales y Federales del Norte de California, California |
13.2 Cualquier disputa surgida en conexión con este Acuerdo de Procesamiento de Datos, que las Partes no sean capaces de resolver de manera amistosa, será sometida a la jurisdicción exclusiva de los tribunales especificados en la tabla anterior, dependiendo del país o región del Cliente.