Anexo sobre procesamiento de datos
Este Anexo sobre procesamiento de datos ("DPA") forma parte del acuerdo entre Cision Ltd. y sus
filiales ("Cision") y la entidad que firma el acuerdo como cliente de los Servicios de Cision ("Cliente").
1.
Definiciones
a. Por "Acuerdo" se entiende la suscripción principal o el acuerdo de servicios suscrito por las
partes.
b. Por "Legislación aplicable sobre privacidad" se entiende toda la legislación aplicable
relacionada con la privacidad de los datos, incluido el RGPD, la Directiva de privacidad y
comunicaciones electrónicas de la UE 2002/58/EC, la Ley de protección de datos del Reino
Unido de 2018 (UK Data Protection Act 2018) y la CCPA, cada una según se aplique en cada
jurisdicción, así como cualquier modificación o sustitución referente a esas normas que se
pueda producir.
c. “CCPA” es la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Code
§1798.100 y siguientes y sus reglas de ejecución.
d.
Por "Datos de Cision" se entiende cualquier dato en las bases de datos de Cision que Cision
utiliza para proporcionar servicios, excluyendo los datos del cliente. Esta definición de
datos de Cision está destinada a incluir términos definidos de manera similar en el acuerdo,
como "Datos de la empresa", "Datos del proveedor" o "Datos de Brandwatch".
e. Por “Datos personales de Cision" se entiende cualquier dato personal incluido en Datos de
Cision.
f. Por "Datos del cliente" se entienden los datos que el cliente pone a disposición de Cision
con el fin de que Cision trate esos datos en nombre del cliente.
g. Por "Datos personales del cliente" se entiende cualquier dato incluido entre los datos del
cliente.
h. “EEE” significa el Espacio Económico Europeo.
i. "RGPD" hace referencia al Reglamento General de Protección de Datos (UE) 2016/679.
j. Por "Transferencia restringida" se entiende una transferencia de datos personales desde el
EEE o el Reino Unido, la cual, en ausencia de cláusulas contractuales estándar, estaría
prohibida por las leyes de privacidad aplicables.
k. Por "Controles de seguridad" se entienden las medidas técnicas y organizativas que se
especifican en el acuerdo o, si no se especifican, las medidas descritas en
https://gdpr.cision.com/technicalorgmeasures
l. "CCT" es la abreviatura de Cláusulas Contractuales Tipo (en inglés Standard Contractual
Clauses o SCCs”), las cuales forman parte de este DPA de conformidad con la Decisión de la
Comisión Europea de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para
la transferencia de datos personales a los encargados del tratamiento establecidos en
terceros países, de conformidad con la Directiva 95/46/CE, así como a las cláusulas de
actualizadas o de sustitución que la Comisión Europea pueda aprobar en el futuro.
m. "Subencargado del tratamiento de datos" hace referencia a un tercero al que Cision
contrata para tratar cualquier dato personal que Cision procesa en virtud de este DPA,
como encargado en nombre de Cision.
n. Los términos "responsable del tratamiento de datos", "encargado del tratamiento de
datos", "datos personales", "tratamiento", "categorías especiales de datos" e
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
"interesados" tienen los significados que se les atribuyen en el RGPD o en la Ley de
Protección de Datos del Reino Unido de 2018.
o. Para mayor claridad, esta DPA cubre cualquier tratamiento que tenga lugar de
conformidad con la CCPA. Por lo tanto, las siguientes referencias de la CCPA tienen los
siguientes significados en esta DPA:
i. “Business” (o “negocio”) equivale a “Responsable”
ii. “Service Provider” (o “proveedor de servicios”) equivale a “Encargado”
iii. “Third Party” (o “tercero”) equivale a “Subengargado”
iv. “Personal Information” (o “información personal”) equivale a “Datos
personales”
v. “Consumer” (o “consumidor”) equivale a “Interesado”
2.
Aspectos generales
a. Responsable de tratamiento: Cision y el cliente son responsables independientes de los
datos personales de Cision y cada uno trata estos datos en calidad de responsable. Si el
cliente recibe datos personales de Cision o se le proporciona acceso a estos, se aplicará el
apartado 3.
b. Encargado del tratamiento: El cliente es el responsable y Cision es el encargado del
tratamiento de los datos personales del cliente. Si Cision trata los datos personales del
cliente en nombre del cliente, se aplicará la Sección 4.
c. Cada parte cumplirá con la legislación de privacidad aplicable al tratar datos personales en
virtud de este acuerdo.
d. Si hubiera un conflicto entre este DPA y el acuerdo, prevalecerá este DPA.
e. Ambas partes implementarán y mantendrán las medidas técnicas y organizativas
adecuadas para garantizar la seguridad de los datos personales, incluida la protección
contra la pérdida, destrucción, alteración y divulgación no autorizada o ilegal, o el acceso a
no autorizado a los datos personales.
f. Ambas partes tomarán medidas razonables para garantizar que el personal que autoriza el
tratamiento de los datos personales se haya comprometido con las obligaciones de
confidencialidad correspondientes y que el acceso a los datos personales se limite a
aquellas personas que necesitan tener acceso para los fines del acuerdo.
g. Modificaciones: Cision puede, en cualquier momento y con un aviso de no menos de 30
días, revisar este Anexo para incorporar cualquier CCT obligatoria u otros términos que
sean requeridos por cualquier autoridad de protección de datos competente en la UE o el
Reino Unido. Las partes acuerdan adoptar cualquier CTT de reemplazo o complementaria
necesaria que la CE y / o la ICO del Reino Unido puedan adoptar en el futuro. Si el Cliente
no ejecuta dichas cláusulas a petición de Cision, Cision tendrá derecho a notificar por
escrito la rescisión del acuerdo con al menos 30 días de antelación.
3.
Datos de Cision (relación de responsable a responsable)
a. Tratamiento para los fines del acuerdo: Cada parte tratará los datos personales de Cision
con el fin de ejercer sus derechos y obligaciones en virtud del acuerdo. Los detalles de las
categorías de Datos personales de Cision, el propósito del tratamiento por parte de Cision y
la duración del tratamiento se establecen en el Anexo 1, Parte 1
b. Transferencias internacionales de datos:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
i. Si hubiera una transferencia restringida desde el EEE, el cliente estará obligado por las
CCT de responsable a responsable, que se incorporan en este Apéndice y empezarán a
tener efectos al comienzo de la transferencia restringida correspondiente.
ii. Si hubiera una transferencia restringida desde el Reino Unido, las partes acuerdan usar
cualquier CCT del Reino Unido aplicable cuando la Oficina del Comisionado de
Información del Reino Unido ("ICO") apruebe dichas cláusulas. En espera de la
aprobación de la ICO, las partes acuerdan quedar vinculadas a las CCT de responsable a
responsable de acuerdo con la cláusula 3.b.i.
iii. Para los fines de las CCT, los datos personales transferidos serán los requeridos por el
acuerdo y se entenderán tal y como se establece en el Anexo 2, Parte 1 de este DPA.
c. Filtración de datos: cada parte notificará a la otra sin demora indebida al tener
conocimiento de una filtración de datos personales que afecte a datos personales de Cision
o al recibir una solicitud o queja de un interesado que afecte a datos personales de Cision.
4.
Datos del cliente: relación entre responsable y encargado
a. Instrucciones escritas: Cision tratará los datos personales del cliente únicamente siguiendo
las instrucciones escritas del cliente, como se establece en este DPA. Cuando la legislación
de privacidad aplicable diga lo contrario, Cision informará al cliente sobre el requisito legal
antes del tratamiento, a menos que la ley prohíba esta información por motivos
importantes de interés público. Los detalles de las categorías de datos personales del
cliente, el propósito del procesamiento por parte de Cision y la duración del tratamiento se
establecen en el Anexo 1, Parte II.
b. Uso legal e instrucciones: el cliente se asegurará de que su uso de los servicios y sus
instrucciones con respecto al tratamiento de los datos personales de conformidad con este
DPA cumplirán con toda la legislación de privacidad aplicable, y que el tratamiento de
Cision de acuerdo con las instrucciones del cliente no hará que Cision infrinja la legislación
de privacidad aplicable. Cision informará al cliente si, en opinión de Cision, las instrucciones
del cliente infringen la legislación aplicable.
c. Categorías especiales de datos: el cliente notificará a Cision si se incluye alguna categoría
especial de datos dentro de los datos personales del cliente. Cision puede negarse a
procesar dichos datos o imponer las restricciones que sean necesarias, a cargo del cliente,
para permitir que Cision cumpla con sus obligaciones legales y contractuales.
d. Transferencias internacionales de datos:
i. Si se produjera una transferencia del cliente en el EEE (como responsable) a Cision en
cualquier tercer país (como encargado), las partes acuerdan estar vinculadas por las
CCT de responsable a encargado, que se incorporan en este DPA y entran en vigor si se
produjera una transferencia restringida.
ii. Si se produjera una transferencia restringida desde el Reino Unido, las partes
acuerdan usar cualquier CCT estándar del Reino Unido aplicable cuando la ICO del
Reino Unido apruebe dichas cláusulas. A la espera de la aprobación de la ICO, las
partes acuerdan aplicar las CCT de responsable a encargado de acuerdo con la cláusula
4.d.i.
iii. Para los fines de las CCT, los datos personales transferidos serán los requeridos por el
acuerdo y son los establecidos en el Anexo 2, Parte II de este DPA.
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
iv. Si Cision designa a un subencargado de conformidad con la Cláusula 4.g y dicha
designación implica una transferencia restringida, Cision puede confiar en las CCT para
legitimar la transferencia de los datos personales del cliente.
e. Registros de cumplimiento: Cision mantendrá información y registros completos y precisos
para demostrar que cumple con lo recogido en este Anexo.
f. Auditoría: Cision respaldará las auditorías que realice el cliente (ya sea por sí mismo o por
medio de un auditor externo), por cuenta y a coste del cliente. Cualquier auditoría
realizada de conformidad con este DPA está sujeta a las siguientes condiciones:
i. El cliente avisará por escrito con al menos 60 días de anticipación a cualquier
auditoría.
ii. Solo se pueden realizar auditorías, sean de la clase que sean, durante el horario
laboral normal de Cision.
iii. El Cliente llevará a cabo la auditoría de forma que cause una interrupción mínima en
las operaciones comerciales normales de Cision.
iv. Cualquier auditor externo contraerá las obligaciones directas de confidencialidad con
CIsion que sean razonablemente aceptables para Cision.
v. Cualquier auditoría se limitará únicamente a las actividades de tratamiento de Cision
como encargado y a la información que sea razonablemente necesaria para que el
cliente evalúe el cumplimiento de los términos de este DPA por parte de Cision.
vi. Como parte de cualquier auditoría, el Cliente (o su auditor externo) no tendrán acceso
a la información confidencial de Cision.
vii. El Cliente reembolsará los costos y gastos razonables y demostrables de Cision
asociados con cualquier auditoría.
viii. El cliente acuerda aceptar un informe de auditoría proporcionado por Cision en lugar
de realizar su propia auditoría:
1. si el alcance de la auditoría solicitada se ha abordado en una auditoría realizada por
un auditor externo independiente reconocido dentro de los doce (12) meses
posteriores a la solicitud del cliente y la empresa proporciona una confirmación por
escrito de que no ha habido cambios materiales en los controles y sistemas que
fueran a ser auditados o
2. si se tiene la intención de que dicha auditoría se lleve a cabo dentro de los seis meses
posteriores a la solicitud y la empresa proporciona el informe al cliente al finalizarla.
g. Subencargados: El cliente autoriza a CIsion a designar subencargados en relación con la
prestación de los servicios. Encontrará una lista de los subencargados actuales de Cision en
https://gdpr.cision.com/Sub-Processors
i. Cision informará al Cliente de cualquier cambio permitido y previsto con respecto a la
adición o reemplazo de cualquier subencargado por un nuevo subencargado y le
ofrecerá al cliente la oportunidad de objetar dichos cambios. Cualquier subencargado
que contrate Cision estará sujeto a condiciones materialmente equivalentes con
respecto a la protección de datos que se imponen a CIsion de conformidad con este
DPA.
ii. Si un subencargado no cumple con sus obligaciones con respecto a la protección de
datos, Cision seguirá siendo responsable del cumplimiento de las obligaciones del
subencargado, teniendo en cuenta las exclusiones y limitaciones de responsabilidad
en virtud del acuerdo.
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
h. Filtración de datos: si se produce una filtración de datos personales del cliente:
i. Cision cooperará de buena fe con el cliente para permitirle cumplir con sus
obligaciones conforme a la legislación de privacidad aplicable.
ii. Cision notificará al cliente dentro de las 36 horas posteriores a tener conocimiento de
una filtración de datos personales (tal y como se defina en la legislación de protección
de datos).
iii. Cision ayudará al cliente a cumplir con cualquier obligación de notificar a una
autoridad supervisora cualquier tipo de filtración de datos.
i. Derechos de los interesados: Teniendo en cuenta la naturaleza del tratamiento y la
información disponible, Cision brindará al cliente asistencia razonable y adecuada (sujeta
al pago de los costos y gastos razonables y demostrables de Cision), siempre que sea
posible y en relación con el cumplimiento por parte del cliente de sus propias obligaciones,
para responder a las solicitudes relacionadas con el ejercicio de los derechos de las
personas en virtud de la legislación de protección de datos, cuando Cision trate los datos
personales de dichas personas de conformidad con este DPA.
j. Rescisión:
i. Si Cision incumple cualquiera de sus obligaciones derivadas de este DPA, el cliente
podrá ordenar a Cision que suspenda temporalmente el tratamiento de los datos
personales del cliente en espera de la solución de dicho incumplimiento y podrá
ordenar a Cision que termine el tratamiento de los datos personales del cliente si
dicho incumplimiento no cesa.
ii. Bien de acuerdo con los requisitos descritos en la política de mantenimiento de
registros de Cision, o bien conforme a las instrucciones por escrito del cliente, Cision
eliminará los datos personales del cliente a menos que la legislación de privacidad
aplicable lo requiera para mantener los datos personales del cliente.
5.
Varios:
a. Responsabilidad: La responsabilidad de cada parte en virtud de este DPA está sujeta a las
limitaciones y exclusiones de responsabilidad establecidas en el acuerdo.
b. Ley aplicable: La ley que rige el acuerdo se aplica a este DPA, excepto en que las CCT de
responsable a encargado y las CCT de responsable a responsable se rigen por la ley del país
en el que esté establecido el exportador de datos correspondiente.
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Runtime Collective
Limited
Crimson
Hexagon, Inc.
Firma:
Firma:
Nombre:
Nombre:
Puesto:
Puesto:
Fecha:
Fecha:
Cision US Inc.
Canada Newswire
Group Limited
Firma:
Firma:
Nombre:
Nombre:
Puesto:
Puesto:
Fecha:
Fecha:
Cision Group
Limited
Cision France SA
Firma:
Firma:
Nombre:
Nombre:
Puesto:
Puesto:
Fecha:
Fecha:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Dylan Marvin
Chief Legal Officer
Dylan Marvin
July 9, 2021 | 07:46 PDT
Chief Legal Officer
July 9, 2021 | 07:46 PDT
July 9, 2021 | 06:35 PDT
Deputy General Counsel
Matt Royack
July 9, 2021 | 06:35 PDT
Deputy General Counsel
Matt Royack
July 9, 2021 | 06:35 PDT
Matt Royack
Deputy General Counsel
Matt Royack
Deputy General Counsel
July 9, 2021 | 06:35 PDT
Prime Research AG
Cision Portugal
SL
Firma:
Firma:
Nombre:
Nombre:
Puesto:
Puesto:
Fecha:
Fecha:
Cision
Germany GmBH
Prime
Germany GmBH
Firma:
Firma:
Nombre:
Nombre:
Puesto:
Puesto:
Fecha:
Fecha:
PRN Asia
Prime Brazil
Firma:
Firma:
Nombre:
Nombre:
Puesto:
Puesto:
Fecha:
Fecha:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Matt Royack
Deputy General Counsel
Deputy General Counsel
Deputy General Counsel
July 9, 2021 | 06:35 PDT
Deputy General Counsel
Matt Royack
Matt Royack
July 9, 2021 | 06:35 PDT
Matt Royack
Matt Royack
Deputy General Counsel
July 9, 2021 | 06:35 PDT
Matt Royack
Deputy General Counsel
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
Falcon.io US, Inc.
Unmetric Tech.
Private Ltd.
Firma:
Firma:
Nombre:
Nombre:
Puesto:
Puesto:
Fecha:
Fecha:
Falcon.io ApS
Firma:
Nombre:
Puesto:
Fecha:
Nombre del cliente:
Dirección del cliente:
Firma:
Nombre:
Puesto:
Fecha:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
July 9, 2021 | 06:35 PDT
Matt Royack
Deputy General Counsel
Deputy General Counsel
Deputy General Counsel
Matt Royack
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
Matt Royack
Anexo 1 – Tratamiento de información
Tratamiento, datos personales, e interesados
Parte 1: Datos personales de Cision (Cision como responsable de datos)
Naturaleza y
finalidad del
tratamiento
El cliente puede procesar los datos de Cision de la forma requerida para recibir
los servicios y cumplir con sus obligaciones en virtud del acuerdo.
Duración del
tratamiento
El cliente puede procesar los datos de Cision durante la vigencia del acuerdo, a
menos que las partes pacten lo contrario.
Tipos de datos
personales
Nombre, cargo, puesto, dirección de correo electrónico, número de teléfono
de la empresa, número de teléfono móvil, empleador, identificadores de redes
sociales, información que los propios interesados han hecho pública, como
datos de identificación (p. Ej., nombre, nombre de usuario, identificador de
redes sociales, ubicación) y medios audiovisuales (por ejemplo, imágenes,
audio y videos).
Categorías de
interesados
Contactos individuales de medios de comunicación, incluidos periodistas y
otras personas “influyentes” de los medios y personas que difunden
información públicamente en Internet, incluidos usuarios de redes sociales,
blogueros y redactores de contenido web.
Parte 2: Datos Personales del cliente (Cision como encargado de datos)
Naturaleza y
finalidad del
tratamiento
Cision puede tratar los datos personales del cliente si fuera necesario para
realizar los servicios y cumplir con sus obligaciones en virtud del acuerdo.
Duración del
tratamiento
Cision puede tratar los datos del cliente durante la vigencia del acuerdo, a
menos que las partes pacten lo contrario.
Tipos de datos
personales
Nombre, cargo, puesto, empleador, dirección de correo electrónico, número de
teléfono de la empresa, número de teléfono móvil, identificadores de redes
sociales, datos de la vida profesional (que pueden incluir datos relacionados con
el historial de empleo, datos relacionados con habilidades, premios o intereses,
u otros datos relacionados con la vida profesional), datos de la vida personal,
que pueden incluir datos sobre intereses, gustos, aversiones u otros datos
relacionados con la vida personal), datos de ubicación y medios audiovisuales
(por ejemplo, imágenes, audio y videos).
Categorías de
interesados
Perspectivas propias, clientes, socios o proveedores del cliente; medios de
comunicación individuales o contactos asociados al gobierno proporcionados
por el cliente; empleados o personas de contacto del cliente; autores
individuales que publican datos en plataformas de redes sociales, blogs,
plataformas de mensajería internas o externas y otras partes de Internet.
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Anexo 2 – Transferencia de información
Parte 1 – Datos personales de Cision
El exportador de datos
Cision o cualquier otra filial de Cision que exporte datos en virtud del
acuerdo
El importador de datos
Cliente
Interesados
Los interesados son aquellas personas cuyos datos personales están
incluidos en los datos personales de Cision que el cliente trata como
parte integrante de los servicios que recibe.
Finalidades de la
transferencia
La finalidad de la transferencia es permitir que el cliente trate los
datos personales de Cision de conforme al acuerdo.
Categorías de datos
Las categorías de datos personales se establecen en el anexo 1, parte
II de este DPA
Destinatarios
Los destinatarios de los datos personales son los especificados en el
acuerdo, el cual generalmente incluye a los empleados, contratados
externos, consultores y clientes del cliente.
Categorías especiales de
datos
Las categorías especiales de datos personales se establecen en el anexo
1, parte II de este DPA (nota: las categorías especiales no se recopilan
a propósito)
Ley aplicable
La ley del país en el que está establecido el exportador de datos.
Medidas técnicas de la
empresa (Apéndice 2)
Medidas técnicas y organizativas especificadas en el acuerdo o, si no
las especifica, las medidas descritas en
https://gdpr.cision.com/technicalorgmeasures
Punto de contacto de
Cision para las preguntas
sobre protección de datos
Punto de contacto del
cliente para las preguntas
sobre protección de datos
Tal y como se especifica en el acuerdo.
Parte 2 – Datos personales del cliente
El exportador de datos
Cliente
El importador de datos
Cision o cualquier otra filial de Cision que importe datos conforme al
acuerdo
Interesados
Las categorías de interesados se establecen en el anexo 1, parte I, de
este DPA. El cliente, como exportador de datos, controla el tipo y el
alcance de los Datos personales que procesa Cision.
Finalidades de la
transferencia
Para permitir a Cision procesar los datos personales del cliente
conforme al acuerdo
Categorías de datos
Las categorías de datos personales se establecen en el Anexo 1, Parte
I de este DPA, dado que el cliente reconoce que, como responsable y
exportador controla el tipo y el alcance de los datos personales que
pueden transferirse a Cision como encargado.
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Destinatarios
Los destinatarios de los datos personales son los especificados en el
acuerdo, el cual generalmente incluye a Cision, cualquier otra filial de
Cision y cualquier subencargado de Cision.
Categorías especiales de
datos
El exportador de datos puede enviar categorías especiales de datos
personales a Cision, cuyo alcance es controlado y determinado por el
exportador de datos bajo su exclusivo criterio. Cualquier clase
especial de datos personales se establece en el Anexo 1, Parte I de
este DPA.
Ley aplicable
La ley del país en el que está establecido el exportador de datos.
Medidas técnicas de Cision
Medidas técnicas y organizativas especificadas en el acuerdo o, si no
las especifica, las medidas descritas en
https://gdpr.cision.com/technicalorgmeasures
Punto de contacto de
Cision para las preguntas
sobre protección de datos
Punto de contacto del
cliente para las preguntas
sobre protección de datos
Tal y como se especifica en el acuerdo.
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E