Descargar PDF

Apéndice sobre procesamiento de los datos

El presente Apéndice sobre procesamiento de los datos (Data Processing Addendum, “DPA”) forma parte del MSA celebrado entre las partes que en el Pedido están identificadas como “Proveedor” y “Cliente”. Los términos en mayúsculas que se utilizan en el presente instrumento deberán tener el significado que se les atribuye en el MSA, salvo que el presente DPA los defina de alguna otra manera.

1.      Definiciones

a.      “Agreement” (Acuerdo) significa el acuerdo maestro de suscripción o servicios celebrado entre las partes.

b.      “Applicable Privacy Laws” (Leyes de privacidad aplicables) significa todas las leyes aplicables que se relacionan con la privacidad de los datos, incluyendo el RGPD, la Directiva de privacidad y comunicaciones electrónicas 2002/58/EC de la UE, el RGPD del RU, la Ley de Protección de Datos del RU de 2018, SFDPA y la CCPA, cada una tal como se implementa en cada jurisdicción y cualquier legislación de enmienda o reemplazo eventual.

c.      “C2C SCC” significa el Módulo 1 de las SCC.

d.      “C2P SCC” significa el Módulo 2 de las SCC.

e.      “CCPA” significa California Consumer Privacy Act (Ley de Privacidad del Consumidor de California) de 2018, Cód. Civ. de Cal. §1798.100 y siguientes, y sus reglamentos de implementación.

f.       “Supplier Data” (Datos del proveedor) significa los datos en las bases de datos del Proveedor que el Proveedor utiliza al prestar los Servicios, excepto los Datos del Cliente. La definición de Datos del proveedor pretende incluir los términos que se definen de manera similar en el Acuerdo como “Company Data” (Datos de la compañía), “Cision Data” (Datos de Cision), o “Brandwatch Data” (Datos de Brandwatch).

g.      “Supplier Personal Data” (Datos personales del proveedor) significa los datos que se incluyen en los Datos del proveedor.

h.      “Customer Data” (Datos del Cliente) significa los datos que el Cliente pone a disposición del Proveedor para los efectos de que el Proveedor procese esos datos en nombre del Cliente.

i.       “Customer Personal Data” (Datos personales del Cliente) significa los Datos personales que se incluyen en los Datos del Cliente.

j.       “EEE” significa el Espacio Económico Europeo.

k.      “RGPD” significa el Reglamento general de protección de datos ((UE) 2016/679).

l.       “Order” (Orden) significa un documento de orden que establece los productos o servicios que el Proveedor proporcionará al Cliente.

m.    “Restricted Transfer” (Transferencia restringida) significa una transferencia de los Datos personales desde el EEE, RU, Suiza o cualquier otro país donde tal transferencia, en ausencia de las SCC, estaría prohibida por la Leyes de privacidad aplicables.

n.      “Security Controls” (Controles de seguridad) significa las medidas técnicas y organizacionales que se especifican en el Acuerdo o en caso de que no estén especificadas, entonces, las medidas que se describen en https://gdpr.cision.com/technicalorgmeasures.

o.      “SCC” significa las Standard Contractual Clauses (Cláusulas contractuales estándar) que forman parte del presente DPA de conformidad con la Decisión de implementación de la

Comisión Europea (UE) 2021/914 del 4 de junio de 2021 para la transferencia de datos personales a controladores o procesadores establecidos en terceros países en virtud del RGPD, que se encuentran en https://ec.europa.eu/info/law/law-topic/data- protection/international-dimension-data-protection/standard-contractual-clauses-scc_en y cuando corresponda, según las modificaciones del Apéndice del RU, y tales cláusulas de actualización o reemplazo según pueda aprobar la Comisión Europea de manera periódica o la versión más reciente de las cláusulas contractuales que rigen las transferencias internacionales de datos personales por parte de cualquier país para las transferencias relevantes en virtud del Acuerdo.

p.      “SFDPA” significa la Swiss Federal Data Protection Act (Ley Federal de Protección de Datos de Suiza).

q.      “Sub-processor” (Subprocesador) significa un tercero que el Proveedor contrata para procesar los Datos personales que el Proveedor procesa en virtud del presente DPA, en calidad de procesador en nombre del Proveedor.

r.       “UK Addendum” (Apéndice del RU) significa el apéndice de las SCC que cubren la transferencia de los Datos personales desde el RU a terceros países según lo aprobado por el Comisionado de información del RU, que se encuentra en https://ico.org.uk/media/for- organisations/documents/4019539/international-data-transfer-addendum.pdf

s.      “UK GDPR” (RGPD del RU) significa el RGPD ya que el mismo forma parte de la ley de Reino

Unido de conformidad con la Sección 3 de la Ley (de retirada) de Europa de 2018.

t.       Los términos “Controller” (Controlador), “Personal Data” (Datos personales), “procesamiento”, “categorías especiales de datos” y “sujeto de los datos” tiene los significados que se otorga a los mismos en el RGPD o el RGPD del RU.

u.      Como aclaración, el presente DPA abarca cualquier procesamiento que tenga lugar de conformidad con la CCPA. Por lo tanto, las siguientes referencias a la CCPA tienen los siguientes significados en el presente DPA:

i.       “Business” (Negocio) significa “Controller” (Controlador)

ii.      “Service Provider” (Proveedor de servicios) significa “Processor”

(Procesador)

iii.     “Third Party” (Tercero) significa “Sub-Processor” (Subprocesador)

iv.     “Personal Information” (Información personal) significa “Personal Data”

(Datos personales)

v.      “Consumer” (Consumidor) significa “Data Subject” (Sujeto de los datos)

2.      General

a.      Datos del controlador: El Proveedor y el Cliente son controladores independientes de los Datos personales del Proveedor y cada uno procesa estos datos como un controlador. Cuando el Cliente recibe, o se le proporciona acceso a, los Datos personales del Proveedor de parte de o por el Proveedor, se aplica la Sección 3.

b.      Datos del procesador: El Cliente es el controlador y el Proveedor es el procesador de los Datos personales del Cliente. Cuando el Proveedor procesa los Datos personales del Cliente en nombre del Cliente, se aplica la Sección 4.

c.      Cada parte cumplirá con las Leyes de privacidad aplicables al procesar datos personales en virtud de Acuerdo.

d.      Si hay un conflicto entre el presente DPA y el Acuerdo, prevalecerá el presente DPA.

e.      Ambas partes implementarán y mantendrán las medidas técnicas y organizacionales adecuadas para garantizar la seguridad de los Datos personales, incluyendo el hecho de proteger contra pérdida, destrucción, alteración no autorizada o ilegal, acceso a o divulgación no autorizada de los Datos personales.

f.       Ambas partes llevarán a cabo los pasos razonables para garantizar que el personal que cada una autoriza para procesar los Datos personales haya asumido las obligaciones de confidencialidad apropiadas y que el acceso a los Datos personales esté limitado a aquellas personas que deben tener acceso para los efectos del Acuerdo.

g.      Enmiendas: El Proveedor puede, en cualquier momento según una notificación no menor a 30 días, revisar el presente Apéndice de forma de incorporar cualquier SCC u otros términos requeridos por cualquier autoridad de protección de datos competente en la UE, Suiza o el RU. Las partes aceptan adoptar cualquier SCC de reemplazo o complementaria necesaria que la CE o la ICO del RU u otros países aplicables puedan adoptar de forma periódica. Si el Cliente no firma dichas cláusulas a petición del Proveedor, el Proveedor tendrá derecho a otorgar una notificación previa por escrito no menor a 30 días para rescindir el Acuerdo

3.      Datos del proveedor (relación entre controladores)

a.      Procesamiento a los efectos del Acuerdo: Cada parte procesará los Datos personales del Proveedor para los efectos de ejercer sus derechos y cumplir con sus obligaciones en virtud del Acuerdo. Los detalles de las categorías de los Datos personales del Proveedor, el propósito del procesamiento por parte del Proveedor y la duración del procesamiento se establecen en el Anexo 1, Parte 1

b.      Transferencias internacionales de los datos:

i)       Si hay una Transferencia restringida desde el EEE, las partes estarán obligadas por las C2C SCC, las cuales son incorporadas al presente Apéndice sujeto a la Cláusula 5.

ii)      Si hay una Transferencia restringida desde el RU, las partes estarán obligadas por el Apéndice del RU, además de las C2C SCC, y las C2C SCC (sujeto a la Cláusula 5) y el Apéndice del RU (sujeto a la Cláusula 6) se incorporan al presente DPA en esas circunstancias.

iii)    Si una Transferencia restringida desde Suiza, las partes estarán obligadas por las C2C SCC, sujeto a la Cláusula 5 y según las enmiendas por parte de la Cláusula 7, y las C2C SCC se incorporan al presente DPA en esas circunstancias y sobre esa base.

iv)    Si hay una Transferencia restringida desde cualquier otro país, las partes estarán obligadas por las C2C SCC, las cuales son incorporadas al presente DPA sujeto a la Cláusula 5 en esas circunstancias.

c.      Filtración de datos: Cada parte notificará a la otra sin ningún tipo de retraso indebido al tener conocimiento de una filtración de los Datos personales que involucre a los Datos personales del Proveedor o tras recibir una solicitud o queja de un Sujeto de los datos que involucre a los Datos personales del Proveedor.

4.     Datos del Cliente: Relación entre controlador y procesador

a.      Instrucciones por escrito: El Proveedor procesará los Datos personales del Cliente únicamente según las instrucciones por escrito del Cliente, tal como se establece en el presente DPA. Cuando las Leyes de privacidad aplicables lo expresen de alguna otra manera, el Proveedor informará al Cliente los requisitos legales antes de llevar a cabo el

Procesamiento, salvo que la ley prohíba esta información según fundamentos importantes de interés público. Los detalles de las categorías de los Datos personales del Cliente, el propósito del procesamiento por parte del Proveedor y la duración del procesamiento se establecen en el Anexo 1, Parte II.

b.      Uso legítimo e instrucciones: El Cliente garantizará que su uso de los Servicios y sus instrucciones con respecto al Procesamiento de los Datos personales de conformidad con el presente DPA cumplirá con todas las Leyes de privacidad aplicables y que el Procesamiento del Proveedor de conformidad con las instrucciones del Cliente no provocará que el Proveedor viole ninguna de las Leyes de privacidad aplicables. El Proveedor informará al Cliente si, a criterio del Proveedor, las instrucciones del Cliente infringen las Leyes aplicables.

c.      Categorías especiales de los datos: El Cliente notificará al Proveedor si cualquiera de las categorías especiales de los datos se incluye en los Datos personales del Cliente. El Proveedor puede rehusarse a procesar dichos datos o puede imponer las restricciones que sean necesarias, a cuenta y gasto del Cliente, de modo de permitir que el Proveedor cumpla con sus obligaciones legales y contractuales.

d.      Transferencias internacionales de los datos:

i)       Si hay una transferencia desde el Cliente (como controlador) en el EEE al Proveedor (como procesador) en cualquier tercer país, las partes aceptan estar obligadas por las C2P SCC, que se incorporan al presente DPA sujeto a la Cláusula 5.

ii)      Si hay una Transferencia restringida desde el RU, las partes estarán obligadas por el Apéndice del RU, además de las C2P SCC, y las C2P SCC (sujeto a la Cláusula 5) y el Apéndice del RU (sujeto a la Cláusula 6) se incorporan al presente DPA en esas circunstancias.

iii)    Si una Transferencia restringida desde Suiza, las partes estarán obligadas por las C2P SCC, sujeto a la Cláusula 5 y según las enmiendas por parte de la Cláusula 7, y las C2P SCC se incorporan al presente DPA en esas circunstancias y sobre esa base.

iv)    Si hay una Transferencia restringida desde cualquier otro país, las partes estarán obligadas por las C2P SCC, las cuales son incorporadas al presente DPA sujeto a la Cláusula 5.

v)      Cuando el Proveedor designe algún Subprocesador de conformidad con la Cláusula 4.g y dicha designación implique una Transferencia restringida, el Proveedor puede depender de las SCC para legitimar la transferencia de los Datos personales del Cliente.

e.      Registros del cumplimiento: El Proveedor mantendrá información y registros completos y precisos para demostrar su cumplimiento del presente Apéndice.

f.       Auditoría: El Proveedor apoyará las auditorías que el Cliente lleve a cabo (ya sea por sí mismo o a través de un auditor externo), a cuenta y gasto del Cliente. Cualquier auditoría llevada a cabo de conformidad con el presente DPA estará sujeta a las siguientes condiciones:

i)       Para cualquier auditoría, el Cliente proporcionará una notificación por escrito con una antelación mínima de 60 días.

ii)      Cualquier auditoría solo puede ser llevada a cabo durante el horario laboral normal del Proveedor.

iii)    El Cliente llevará a cabo la auditoría de forma tal que cause interrupciones mínimas a las operaciones comerciales normales del Proveedor.

iv)    Cualquier auditor externo celebrará obligaciones de confidencialidad directas con el Proveedor que sean razonablemente aceptables para el Proveedor.

v)      Cualquier auditoría estará limitada únicamente a las actividades de Procesamiento del Proveedor en su calidad de Procesador y a la información que sea razonablemente necesaria para que el Cliente evalúe el cumplimiento por parte del Proveedor de los términos del presente DPA.

vi)    Como parte de cualquier auditoría, el Cliente (o su auditor externo) no tendrá acceso a la Información confidencial del Proveedor.

vii)   El Cliente reembolsará al Proveedor los costos y gastos razonables y demostrables que estén asociados con cualquier auditoría.

viii)  El Cliente acepta recibir un informe de auditoría suministrado por el Proveedor en lugar de llevar a cabo su propia auditoría:

1.      Si el alcance de la auditoría solicitada fue abordado en una auditoría llevada a cabo por un auditor externo independiente reconocido en un lapso de doce (12) meses de la solicitud del Cliente y el Proveedor brinda información por escrito de que no ha habido ningún cambio sustancial en los controles y los sistemas a ser auditados; o bien

2.      Si se tiene la intención de que dicha auditoría sea llevada a cabo en un lapso de seis meses de la solicitud y el Proveedor brinda al Cliente el informe sobre dicha auditoría al momento de su finalización.

g.      Subprocesadores: El Cliente autoriza al Proveedor para que designe Subprocesadores en relación con la prestación de los Servicios. Una lista de los Subprocesadores actuales del Proveedor está disponible en https://gdpr.cision.com/Sub-Processors.

i)       El Proveedor informará al Cliente de cualquier cambio previsto con relación a la incorporación o el reemplazo de cualquier Subprocesador permitido con un nuevo Subprocesador con una antelación mínima de 30 días y brindará al Cliente la oportunidad de objetar dichos cambios. Cualquier Subprocesador que el Proveedor contrate estará sujeto a términos sustancialmente equivalentes relacionados con la protección de datos que se encuentren impuestos al Proveedor de conformidad con el presente DPA.

ii)      Cuando cualquier Subprocesador no cumpla con sus obligaciones relacionadas con la protección de datos, el Proveedor seguirá siendo responsable del cumplimiento de las obligaciones del Subprocesador, sujeto a las exclusiones y limitaciones de responsabilidad en virtud del Acuerdo.

h.      Filtración de datos: Si hay una filtración de datos personales en relación con los Datos personales del Cliente:

i)       El Proveedor cooperará en buena fe con el Cliente para permitir que el Cliente cumpla con sus obligaciones en virtud de las Leyes de privacidad aplicables.

ii)      El Proveedor notificará al Cliente en un lapso de 36 horas después de tener conocimiento de una filtración de datos personales (según lo definido en la Legislación de protección de datos).

iii)    El Proveedor ayudará al Cliente en el cumplimiento de cualquier obligación de notificar cualquier filtración de datos a una autoridad de supervisión.

i.       Asistencia: Tomando en cuenta la naturaleza del Procesamiento y la información disponible, el Proveedor brindará asistencia razonable y adecuada al Cliente (sujeto al pago

de los costos y gastos razonables y demostrables del Proveedor), cuando sea posible, en relación con (i) el cumplimiento del Cliente de las obligaciones del Cliente de responder a solicitudes relacionadas con el ejercicio de los derechos de las personas en virtud de la Legislación de protección de datos donde el Proveedor procese los Datos personales de dichas personas en virtud del presente DPA; y (ii) las obligaciones del Cliente en virtud de los Artículos 32 al 36 del RGPD o del RGPD del RU (según corresponda).

j.       Rescisión:

i)       Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud del presente DPA, el Cliente puede ordenar al Proveedor que suspenda temporalmente el procesamiento de los Datos personales del Cliente pendiente de la subsanación de dicho incumplimiento y puede ordenar al Proveedor que termine el procesamiento de los Datos personales del Cliente si dicho incumplimiento no es subsanado.

ii)      Después de la rescisión del presente DPA, el Proveedor eliminará los Datos personales del Cliente salvo que sea obligatorio conservar los Datos personales del Cliente de acuerdo con las Leyes de privacidad aplicables en la UE, los Estados Miembros de la UE o (si corresponde al procesamiento) en el RU o Suiza.

5.      SCC

a.      Cuando las C2C SCC o las C2P SCC son incorporadas al presente DPA en virtud de las Cláusulas 3.b. o 4.d.:

i)       Las mismas entrarán en vigencia al inicio de la Transferencia restringida pertinente;

ii)      cualquier cláusula que sea enteramente opcional no será incluida;

iii)    para los propósitos de la Cláusula 13 se incluye la primera opción;

iv)    para los propósitos de las Cláusulas 17 y 18, el Estado Miembro para los efectos de la Ley y jurisdicción vigentes es el Estado Miembro donde el Cliente está establecido. Si el Cliente no está establecido en un Estado Miembro, el Estado Miembro especificado deberá ser Irlanda;

v)      para los propósitos del Anexo 1.A de las SCC, el “importador de datos” y el

“exportador de datos” se establecen en la Parte 1 o Parte 2 (según corresponda) del Anexo 2 del presente DPA;

vi)    para los propósitos del Anexo 1.B de las SCC, la descripción de la transferencia se establece en la Parte 1 o Parte 2 (según corresponda) del Anexo 2 del presente DPA;

vii)   para los propósitos del Anexo 1.C de las SCC, la autoridad de supervisión competente deberá ser la autoridad de supervisión competente en el país donde el Cliente está establecido; y

viii)  para los propósitos del Anexo 2 de la SCC, las medidas técnicas y organizacionales son los Controles de seguridad.

b.      Cuando las C2P SCC son incorporadas al presente DPA en virtud de la Cláusula 4.d.:

i)       Se selecciona la Opción 2 (“Autorización general por escrito”) de la Cláusula 9.

ii)      El periodo de tiempo para la incorporación o el reemplazo de los Subprocesadores deberá ser según lo descrito en la Cláusula 4.g.1 del presente DPA.

6.      Apéndice del RU

Cuando el Apéndice del RU es incorporado al presente DPA en virtud de las Cláusulas 3.b. o 4.d.:

a.      El mismo entrará en vigencia al inicio de la Transferencia restringida pertinente;

b.      Para los propósitos de la Tabla 1, la Fecha de inicio deberá ser el inicio de la Transferencia restringida pertinente, los detalles de las Partes y del Contacto clave se establecen en el Anexo 2 del presente DPA y la cláusula de las partes del Acuerdo;

c.      Para los propósitos de la Tabla 1 no se requiere de ninguna firma;

d.      Se selecciona la primera opción en la Tabla 2, las SCC de la UE aprobadas se definen en la Cláusula 1 del presente DPA y las SCC empezarán al inicio de la Transferencia restringida pertinente;

e.      La información del Suplemento en la Tabla 3 se establece en el Anexo 1 y 2 del presente DPA; y

f.       En la Tabla 4 se seleccionan las primeras dos opciones (“Importador” y “Exportador”).

7.      Transferencias restringidas desde Suiza

Cuando las C2C o C2P SCC son incorporadas al presente DPA en virtud de las Cláusulas 3.b. o 4.d., y hay una Transferencia restringida desde Suiza, las C2C SCC o las C2P SCC (según corresponda) deberán ser enmendadas para cumplir con las leyes de protección de datos de Suiza, incluyendo, sin limitaciones, las siguientes enmiendas:

a)       Cualquier referencia a que el “Reglamento (UE) 2016/679” o “que el Reglamento” es

reemplazada por la SFDPA y las referencias a Artículos específicos del “Reglamento (UE) 2016/679” son reemplazadas con el Artículo o la Sección equivalente de la SFDPA;

b)     Todas las definiciones de las SCC deberán ser interpretados de conformidad con la SFDPA;

c)      Se eliminan las referencias al Reglamento (UE) 2018/1725;

d)     Las referencias a la “Unión”, “UE” y “Estado Miembro de la UE” se reemplazan en su

totalidad con “Suiza”;

e)     No se utilizan la Cláusula 13(a) y la Parte C del Anexo II;

f)       La “autoridad de supervisión competente” es el Comisionado federal de información y protección de datos;

g)      La Cláusula 17 se reemplaza para expresar “Estas Cláusulas se rigen por las leyes de Suiza”;

y

h)     La Cláusula 18 se reemplaza para expresar “Cualquier disputa que surja de estas Cláusulas deberá ser resuelta por los tribunales de Suiza. Un sujeto de los datos también puede interponer procedimientos legales contra el exportador de datos o el importador de datos ante los tribunales de Suiza Las Partes aceptan someterse a la jurisdicción de dichos

tribunales”.

8.      Misceláneo:

a.      Responsabilidad: La responsabilidad de cada parte en virtud del presente DPA está sujeta a las limitaciones y exclusiones de responsabilidad que se establecen en el Acuerdo.

b.      Ley vigente: La ley vigente con respecto al Acuerdo se aplica al presente DPA, excepto que las SCC se rigen por la ley que se especifica en la Cláusula 5.a.iv.

Anexo 1: Información de procesamiento Procesamiento, Datos personales y Sujetos de datos

Parte 1: Datos personales del Proveedor (Proveedor como el Controlador de los datos)

Parte 2: Datos personales del Cliente (Proveedor como el Procesador de los datos)

Categorías de los sujetos de los datos

Los clientes potenciales, clientes, socios o proveedores del Cliente; contactos individuales en los medios o con afiliación gubernamental (incluyendo el personal de administraciones públicas y personalidades del mundo de las asociaciones) proporcionados por el Cliente, los empleados o las personas de contacto del Cliente.

Anexo 2: Información de la transferencia Parte 1: Datos personales del Proveedor

Parte 2: Datos personales del Cliente