| Nombre | Región de procesamiento | Descripción del procesamiento de | mecanismo de transferencia |
|---|---|---|---|
| Servicios web de Amazon (AWS), Inc. | EU / US | Hosting | Privacidad del marco de datos |
| Atlassian Pty Ltd. | USA | Hosting | Privacidad del marco de datos |
| Plataforma en la nube de Google LLC | EU / US | Hosting | Privacidad del marco de datos |
| microsoft Azure | EU / US | Hosting | Privacidad del marco de datos |
| twilio inc. | USA | plataforma de comunicación en la nube | Marco de Privacidad de Datos o SCC |
Acuerdo de Procesamiento de Datos
Este acuerdo define los términos bajo los cuales Encryption Consulting procesa datos personales en nombre de sus clientes. Describe las funciones, responsabilidades y medidas de seguridad para garantizar el cumplimiento de las leyes de protección de datos, como el RGPD. El DPA garantiza que los datos se gestionen de forma legal, segura y únicamente según las instrucciones del cliente.
Última actualización el 14 de enero de 2025
Este Acuerdo de Procesamiento de Datos (“DPA”) se rige y se adjunta por la presente al Acuerdo Marco de Servicio, los Términos de Servicio o cualquier otro acuerdo (“Acuerdo”) ejecutado por y entre Encryption Consulting LLC (“Encryption Consulting"), y usted, cliente, usuario o particular (“El cliente”). Encryption Consulting y el Cliente se denominarán “fiesta" y colectivamente como "partes.
Todos los términos en mayúscula no definidos aquí tendrán el significado establecido en el Acuerdo.
CONSIDERANDOEncryption Consulting es un proveedor líder de servicios y productos criptográficos que ayuda a las organizaciones a proteger identidades, datos y generar confianza digital. (“Consultoría de cifrado”), todo según lo acordado por las partes en el formulario de pedido correspondiente u otros documentos de pedido que se incorporan al Acuerdo (colectivamente el “Servicios)");
CONSIDERANDO, los Servicios pueden requerir que Encryption Consulting procese Datos Personales (según se definen dichos términos a continuación) en nombre del Cliente, que el Cliente divulga a Encryption Consulting solo para los fines limitados y específicos establecidos en este documento, y sujeto a los términos y condiciones de este DPA; y
CONSIDERANDOLas partes desean complementar este DPA para lograr el cumplimiento de las leyes de protección de datos del Reino Unido, la UE, Suiza, Estados Unidos y otras leyes de protección de datos y acuerdan lo siguiente:
DEFINICIONES
- "País adecuado" es un país que recibió una decisión de adecuación de la Comisión Europea u otra autoridad de protección de datos aplicable.
- Los términos "Empresa","Propósito de negocio" "Consumidor", "Control","Sujeto de datos","Datos personales","Violación de datos personales“, “Procesabilidad" (y "Proceso“), “Procesador","Holder" “Datos Sensibles”, “Proveedor de Servicios”, “Venta” (o “Vender”) y “Compartir”, "Categorías especiales de datos personales" y "Autoridad supervisora“, tendrán el mismo significado que se les atribuye en las Leyes de Protección de Datos aplicables. Además, en virtud de este DPA “Sujeto de datos" también significará y se referirá a un "Consumidor"Y"Datos personales" también significará y se referirá a "Información Personal", y "Categorías especiales de datos" o "Datos altamente sensibles" también significará y se referirá a "Informacion delicada".
- "Datos de los clientes” significa Datos del Cliente (según se define en el Acuerdo) y cualquier Dato Personal procesado por Encryption Consulting en el curso de la prestación de sus Servicios al Cliente, todo como se detalla en Anexo I adjunto en el presente.
- "Marco de privacidad de datos” o “DPF” significa el Marco de Privacidad de Datos UE-EE. UU. y la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE. UU. operado por el Departamento de Comercio de EE. UU., operado por el Departamento de Comercio de EE. UU.; según pueda ser modificado, reemplazado o sustituido.
- "Principios del marco de privacidad de datos" significa los Principios y Principios Complementarios contenidos en el Marco de Privacidad de Datos pertinente disponible en: Requisitos de participación Principios del Marco de Privacidad de Datos (MPD) según pueda ser modificado, reemplazado o sustituido.
- "Ley de protección de datos" significa todas y cada una de las leyes y regulaciones de privacidad y protección de datos aplicables (incluidas, cuando corresponda, la Ley de Protección de Datos de la UE, las Leyes de Protección de Datos del Reino Unido, las Leyes de Protección de Datos de Suiza y las Leyes de Protección de Datos de los EE. UU., según puedan modificarse o reemplazarse ocasionalmente).
- "EEA”significa el Espacio Económico Europeo.
- "Leyes europeas de protección de datos" significa colectivamente, las leyes y regulaciones de la Unión Europea, el EEE, sus estados miembros y el Reino Unido, aplicables al Procesamiento de Datos Personales, incluyendo (cuando corresponda):
- (i) Reglamento General de Protección de Datos de la UE (Reglamento 2016/679) (“RGPD UE“); el Reglamento 2018/1725; y la Directiva sobre privacidad electrónica (Directiva 2002/58/CE), en su versión modificada (Ley de privacidad electrónica);
- (ii) “Leyes de protección de datos del Reino Unido" – la Ley de Protección de Datos de 2018 (DPA 2018), en su versión modificada, y el RGPD de la UE, tal como se incorporó a la legislación del Reino Unido en su versión modificada (“Reino Unido GDPR" y, en conjunto con el RGPD de la UE, se denominarán en este documento como "GDPR");
- (iii) "Leyes suizas de protección de datos" o"FADP” – la Ley Federal Suiza de Protección de Datos (de 19 de junio de 1992, a partir del 1 de marzo de 2019) (“FDPA“) y la Ordenanza sobre la Ley Federal de Protección de Datos (“FODP");
- (iv) Cualquier ley nacional de protección de datos elaborada en virtud de, de conformidad con, que reemplace o suceda al RGPD de la UE o la Ley de Privacidad Electrónica;
- (v) Cualquier modificación o legislación que sustituya o actualice cualquiera de las anteriores; y
- (vi) Cualquier interpretación judicial o administrativa de cualquiera de los puntos anteriores, incluida cualquier interpretación judicial o administrativa vinculante de cualquiera de los puntos anteriores, o mecanismos de certificación aprobados emitidos por cualquier Autoridad de Supervisión pertinente.
- "Instrucciones para la impresión en alta definición" significa las instrucciones escritas y documentadas emitidas por el Cliente a Encryption Consulting ordenando a Encryption Consulting realizar una acción específica o general con respecto a los Datos del Cliente (incluidas, entre otras, las instrucciones para proporcionar los Servicios bajo el Acuerdo y las instrucciones bajo este DPA).
- "Incidente de seguridad"" se refiere a cualquier destrucción, pérdida, alteración, divulgación o acceso no autorizado, ya sea accidental o ilícito, a los Datos del Cliente. Cualquier Violación de Datos Personales se considerará un Incidente de Seguridad.
- "Cláusulas contractuales estándar" o "SCCSignifica
- (i) Las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo adoptado por la Decisión 2021/914 de la Comisión Europea, de 4 de junio de 2021, que se pueden encontrar aquí,
- (ii) El “Apéndice de transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión Europea” del Reino Unido disponible en: Anexo sobre transferencia internacional de datos e incorporado aquí por referencia (“UK SCC”); o
- (iii) Las cláusulas estándar de protección de datos aplicables emitidas, aprobadas o reconocidas por el Comisionado Federal Suizo de Protección de Datos e Información (“CFE Suiza”).
- "Leyes de protección de datos de EE. UU." significa cualquier ley y regulación federal y estatal de privacidad de los EE. UU. vigente a partir de la fecha de entrada en vigor de este DPA y se aplica al procesamiento de datos del cliente de Encryption Consulting, y cualquier regulación de implementación y enmienda a la misma, incluyendo, sin limitación, la
- (i) Ley de Privacidad del Consumidor de California (Código Civil de California §§ 1798.100 – 1798.199) de 2018, incluida la modificada por la Ley de Derechos de Privacidad de California, así como todas las reglamentaciones promulgadas en virtud de la misma de vez en cuando (“CCPA"),
- (ii) La Ley de Privacidad de Colorado CRSA § 6-1-1301 y siguientes (SB 21-190) (“CPA"), el
- (iii) La Ley de Privacidad de Datos de Connecticut, SB 6 (Connecticut 2022) (“CTDPA");
- (iv) La Declaración de Derechos Digitales de Florida SB 262 (“FDBR");
- (v) Ley de Privacidad de Datos del Consumidor de Montana 68.ª Legislatura 2023, SB 0384 (“MTCDPA");
- (vi) La Ley de Privacidad de Datos del Consumidor de Oregón ORS 646A.570-646A.589 (“TOCPA");
- (vii) La Ley de Privacidad y Seguridad de Datos de Texas, Tex. Bus. & Com. Code Ann. § 541.001 et seq (“TDPSA");
- (viii) La Ley de Privacidad del Consumidor de Utah, Código de Utah Ann. § 13-61-101 et seq (“UCPA");
- (ix) La Ley “Mi Salud, Mis Datos” de Washington, Wash. Rev. Code § 19.373.005 et seq., y Nev. Rev. Stat. § 603A, enmendada por Nevada SB 370 (en conjunto, la “Leyes de datos de salud del consumidor de Washington y Nevada“); y
- (x) La Ley de Protección de Datos del Consumidor de Virginia, Va. Code Ann. § 59.1-575 et seq. (SB 1392) (“VCDPA“). Todo ello modificado o reemplazado periódicamente, incluyendo cualquier reglamento de aplicación y sus modificaciones.
Cualquier otro término no definido en este documento tendrá el significado que se le atribuye en el Acuerdo o en la Ley de Protección de Datos aplicable. La referencia a cualquier término o artículo de la Ley de Protección de Datos se refiere a la versión modificada. Cualquier referencia al RGPD en este DPA se referirá al RGPD o al RGPD del Reino Unido, según la legislación aplicable.
FUNCIONES Y DETALLES DEL TRATAMIENTO
- Las partes acuerdan y reconocen que, en virtud del cumplimiento de sus obligaciones establecidas en el Acuerdo, y con respecto al Procesamiento de Datos del Cliente, y de acuerdo con las Leyes de Protección de Datos aplicables, Encryption Consulting actúa como Procesador de Datos y el Cliente actúa como Controlador de Datos.
- Cada parte será responsable, individual e individualmente, de cumplir con las obligaciones que le corresponden en virtud de la Ley de Protección de Datos aplicable. El Cliente será el único responsable de garantizar que sus Instrucciones cumplan con la Ley de Protección de Datos aplicable y permitan un Tratamiento legítimo de los Datos del Cliente, lo que incluye obtener el consentimiento necesario y proporcionar la información requerida en virtud de la Ley de Protección de Datos aplicable.
- El objeto y la duración del Tratamiento realizado por el Encargado por cuenta del Responsable, la naturaleza y la finalidad del Tratamiento, el tipo de Datos Personales y las categorías de Titulares de Datos se describen en Anexo I adjunto.
- Si se procesan Datos Sensibles, Categorías Especiales de Datos Personales o Datos Altamente Sensibles (según la definición de las Leyes de Protección de Datos), incluyendo cualquier información que constituya "datos de salud del consumidor" según la CTDPA o las Leyes de Datos de Salud del Consumidor de Washington y Nevada, o cualquier información que constituya "información de salud protegida" según la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996, 5 USC § 553 y siguientes, junto con cualquier legislación modificatoria y cualquier reglamento promulgado al amparo de la misma, o cualquier Dato Personal que las autoridades reguladoras estadounidenses consideren que merece un tratamiento sensible según las Leyes de Protección de Datos de EE. UU. o las leyes de protección al consumidor estatales o federales de EE. UU., como información financiera, información demográfica, puntajes crediticios, etc., es responsabilidad del Cliente informar a Encryption Consulting de dicho procesamiento y garantizar el cumplimiento de las obligaciones contractuales adicionales, si es necesario y aplicable. Para evitar cualquier duda, Encryption Consulting no supervisa ni revisa los Datos del Cliente procesados de acuerdo con este DPA, y es posible que no tenga conocimiento de ninguna sensibilidad en los Datos del Cliente.
TRATAMIENTO DE DATOS PERSONALES
- Encryption Consulting declara y garantiza que procesará los datos del cliente, en nombre del cliente, únicamente con el fin de prestar el servicio, de conformidad con las instrucciones escritas del cliente en virtud del Acuerdo y este DPA. No obstante lo anterior, si la legislación aplicable, incluida la Ley de Protección de Datos o cualquier normativa de la Unión o de los estados miembros, exige a Encryption Consulting que procese los datos del cliente de forma distinta a la indicada por el cliente, Encryption Consulting hará todo lo razonablemente posible para informar al cliente de dicho requisito antes de procesar dichos datos, salvo que la legislación aplicable lo prohíba.
- Por la presente, Encryption Consulting certifica que comprende las reglas, requisitos y definiciones de las Leyes de Protección de Datos aplicables y no deberá:
- (i) Vender o compartir los Datos del Cliente;
- (ii) Conservar, utilizar o divulgar los Datos del Cliente para cualquier propósito que no sea un Propósito Comercial especificado en el Acuerdo;
- (iii) Recibir o Procesar cualquier Información Personal como contraprestación por cualquier Servicio que proporcione al Cliente; o
- (iv) Combinar los Datos del Cliente con otros Datos Personales que reciba de, o en nombre de, otro cliente.
- Encryption Consulting deberá cumplir con los requisitos establecidos en las Leyes de Protección de Datos aplicables con respecto al procesamiento de datos que no están identificados.
- Encryption Consulting informará al Cliente sin demora indebida si, a su razonable discreción, considera que alguna de sus instrucciones infringe la legislación aplicable. En tal caso, Encryption Consulting tendrá derecho a suspender o cesar inmediatamente cualquier actividad de procesamiento relacionada con la instrucción infractora.
- Encryption Consulting notificará al Cliente si determina que ya no puede cumplir con sus obligaciones bajo este DPA o la Ley de Protección de Datos aplicable.
- Encryption Consulting brindará cooperación y asistencia razonables al Cliente para garantizar el cumplimiento de su obligación de realizar evaluaciones de impacto de protección de datos y consultas previas con las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos en la medida requerida por las Leyes de Protección de Datos aplicables (incluidas las evaluaciones de impacto de protección de datos y las consultas con las autoridades reguladoras), siempre que Encryption Consulting solo esté obligado a ayudar con la información que esté razonablemente disponible para el Cliente.
- Cuando corresponda, Encryption Consulting ayudará al Cliente a garantizar que los Datos del Cliente Procesados sean precisos y estén actualizados, informándole sin demora si toma conocimiento de que los Datos del Cliente que está procesando son inexactos o han quedado obsoletos.
- Encryption Consulting garantizará:
- (i) La confiabilidad de su personal y de cualquier otra persona que actúe bajo su supervisión y que pueda entrar en contacto con, o de otra manera tener acceso a, y procesar Datos del Cliente; y
- (ii) Que las personas autorizadas para Procesar los Datos del Cliente se han comprometido a la confidencialidad o están sujetas a una obligación legal apropiada de confidencialidad.
DERECHOS DE LOS INTERESADOS Y SOLICITUD LEGAL
- Se acuerda que cuando Encryption Consulting recibe una solicitud de un Titular de Datos para ejercer los derechos de un titular de datos o una autoridad aplicable con respecto a los Datos del Cliente, cuando corresponda, Encryption Consulting notificará al Cliente de dicha solicitud de inmediato y dirigirá al Titular de Datos o la autoridad aplicable al Cliente para permitir que el Cliente responda directamente a la solicitud del Titular de Datos o de la autoridad aplicable, a menos que las leyes aplicables requieran lo contrario.
- Las partes se prestarán mutuamente cooperación y asistencia comercialmente razonables para la tramitación y respuesta a las solicitudes del titular de los datos o de la autoridad competente, en la medida permitida por la Ley de Protección de Datos, incluyendo dichas solicitudes en virtud del Marco de Privacidad de Datos. Encryption Consulting proporcionará al Cliente la cooperación y asistencia mencionadas anteriormente, siempre que este no pueda cumplir razonablemente con dichas obligaciones de forma independiente con la ayuda de la información disponible en la documentación, el sitio web o cualquier otra función de autoservicio proporcionada por Encryption Consulting.
SUBTRATAMIENTO
- El Cliente otorga una autorización general para que Encryption Consulting contrate a procesadores de datos de terceros (“Subprocesador”) para procesar los datos del cliente. El cliente autoriza específicamente a Encryption Consulting a contratar y designar a los subprocesadores que se enumeran en Anexo III, para procesar los datos del cliente, así como también permite a cada subprocesador designar un subprocesador en su nombre.
- Encryption Consulting puede contratar un Subprocesador adicional o reemplazar uno existente para procesar los Datos del Cliente, sujeto a la provisión de un aviso previo con treinta (30) días de su intención de hacerlo al Cliente (dicho aviso puede proporcionarse a través de la cuenta del Cliente o mediante correspondencia por correo electrónico) (“aviso " y "Plazo de aviso” respectivamente). Si el Cliente no se ha opuesto a la incorporación o sustitución de un Subprocesador dentro del Plazo de Preaviso, dicho Subprocesador se considerará aprobado por el Cliente. En caso de que el Cliente se oponga a la incorporación o sustitución de un Subprocesador, dentro de dicho Plazo de Preaviso, Encryption Consulting podrá, a su entera discreción, sugerir la contratación de un Subprocesador diferente para la misma prestación de servicios, o permitir al Cliente rescindir el Contrato cuando los Servicios no puedan prestarse razonablemente en dichas circunstancias, sin incurrir en responsabilidad alguna para el Cliente.
- Encryption Consulting, al contratar a un subencargado del tratamiento, impondrá, mediante un contrato legalmente vinculante entre ambos, obligaciones de protección de datos que no sean menos onerosas y proporcionen, como mínimo, el mismo nivel de protección que las establecidas en este DPA. Encryption Consulting se asegurará de que dicho contrato exija al subencargado del tratamiento ofrecer garantías suficientes para implementar las medidas técnicas y organizativas adecuadas, de modo que el tratamiento cumpla con los requisitos de la legislación en materia de protección de datos. Los subencargados del tratamiento estarán obligados contractualmente a cooperar razonablemente con Encryption Consulting, el cliente o la autoridad reguladora pertinente en caso de investigación o incidente de seguridad.
- Encryption Consulting seguirá siendo responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador de conformidad con este DPA.
MEDIDAS TÉCNICAS Y ORGANIZATIVAS
- Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, y sin perjuicio de cualquier otro estándar de seguridad acordado por las partes, Encryption Consulting protegerá la seguridad, confidencialidad, integridad y disponibilidad de los Datos del Cliente y los protegerá contra Incidentes de Seguridad.
- Las medidas técnicas y organizativas actuales implementadas y mantenidas por Encryption Consulting se detallan con más detalle en Anexo II a este DPA, según se actualice periódicamente (siempre que dichas modificaciones no tengan un efecto negativo material en el nivel de protección brindado a los Datos del Cliente).
INCIDENTE DE SEGURIDAD
- Encryption Consulting notificará al Cliente sin demora indebida, en un plazo máximo de 72 horas, tras tener conocimiento de cualquier Incidente de Seguridad que afecte a sus Datos. La notificación o respuesta de Encryption Consulting respecto a un Incidente de Seguridad, según la Sección 7, no se interpretará como un reconocimiento por parte de Encryption Consulting de cualquier culpa o responsabilidad con respecto al Incidente de Seguridad.
- Encryption Consulting se encargará de:
- (i) Tomar las medidas razonablemente necesarias para remediar, minimizar los efectos e investigar cualquier Incidente de Seguridad e identificar su causa;
- (ii) A solicitud del Cliente, cooperar con él y proporcionarle la asistencia e información razonables en relación con la contención, investigación, remediación o mitigación del Incidente de Seguridad, si corresponde, y la obligación de notificar a los Titulares de Datos afectados. A solicitud del Cliente, y teniendo en cuenta la naturaleza del Tratamiento y la información de que dispone Encryption Consulting, Encryption Consulting proporcionará un informe o una notificación por escrito que detalle el Incidente de Seguridad, los Datos Personales afectados y los Titulares de Datos.
DERECHOS DE AUDITORIA
- Encryption Consulting mantendrá registros escritos precisos de todas y cada una de las actividades de procesamiento de los datos del cliente realizadas en virtud de este DPA, en cumplimiento de sus obligaciones en virtud de este DPA, y pondrá dichos registros a disposición del cliente mediante solicitud escrita previa de este con treinta (30) días de antelación, sin embargo, no más de una vez cada doce (12) meses de compromiso (“Los informes de auditoríaUn resumen de la certificación ISO27001/ISO27701, el informe SOCII o las pruebas de penetración recientes, así como la información proporcionada a través del cuestionario del Cliente, se considerarán Informes de Auditoría suficientes. El Informe de Auditoría proporcionado se considerará Información Confidencial de Encryption Consulting y estará sujeto a las obligaciones de confidencialidad correspondientes en virtud del Acuerdo o requerirá la firma de un acuerdo de confidencialidad.
- En caso de que el Informe de Auditoría se determine razonablemente como insuficiente para demostrar el cumplimiento, Encryption Consulting pondrá a disposición, únicamente mediante previo aviso razonable por escrito y no más de una vez por año calendario, de un auditor de buena reputación designado por el Cliente, la información necesaria para demostrar razonablemente el cumplimiento de este DPA o cuando lo requiera la Ley de Protección de Datos Aplicable o una autoridad aplicable, y permitirá auditorías, incluidas inspecciones, por parte de dicho auditor de buena reputación únicamente en relación con el Procesamiento de los Datos del Cliente (“Auditoría“) de conformidad con los términos y condiciones del presente documento. El auditor estará sujeto a las obligaciones estándar de confidencialidad (incluso frente a terceros). Encryption Consulting podrá oponerse a un auditor designado por el Cliente si considera razonablemente que no está debidamente cualificado o es un competidor de Encryption Consulting. El Cliente asumirá todos los gastos relacionados con la Auditoría y, durante el transcurso de dicha Auditoría, se asegurará de que esta se realice en horario laboral y evitará causar daños, lesiones o interrupciones a las instalaciones, equipos, personal y operaciones de Encryption Consulting mientras este se encuentre en dichas instalaciones durante la misma. Encryption Consulting aceptará una Auditoría únicamente bajo los siguientes términos:
- (i) Se proporcionó aviso por escrito con treinta (30) días de antelación; y
- (ii) Restringir sus hallazgos únicamente a la información relevante a los Datos del Cliente o a un Incidente de Seguridad aplicable.
- Nada de lo dispuesto en este DPA requerirá que Encryption Consulting revele al Cliente o a su auditor externo, o que permita al Cliente o a su auditor externo acceder a:
- (i) Cualquier dato de cualquier otro cliente de Encryption Consulting o datos internos de Encryption Consulting, incluidos, entre otros, los datos procesados en el rol de Encryption Consulting como Controlador;
- (ii) Información contable o financiera interna de Encryption Consulting;
- (iii) Cualquier secreto comercial de Encryption Consulting o sus Afiliadas;
- (iv) Cualquier información que, en la opinión razonable de Encryption Consulting, pudiera comprometer la seguridad de cualquier sistema de Encryption Consulting o causar cualquier incumplimiento de sus obligaciones bajo la ley aplicable o sus obligaciones de seguridad, privacidad o confidencialidad con cualquier tercero; o
- (v) Cualquier información a la que el Cliente o su auditor externo intente acceder por cualquier motivo que no sea el cumplimiento de buena fe de sus obligaciones conforme a las Leyes de Protección de Datos. No se permitirá el acceso a ninguna parte de los sistemas o la infraestructura informática de Encryption Consulting (incluidas, entre otras, las pruebas prácticas o intrusivas).
TRANSFERENCIAS TRANSFRONTERIZAS DE DATOS PERSONALES
- Encryption Consulting participa y certifica el cumplimiento del Marco de Privacidad de Datos. Según lo exige dicho marco, Encryption Consulting
- (i) Proporciona al menos el mismo nivel de protección de la privacidad que exigen los Principios del Marco de Privacidad de Datos;
- (ii) Notificará al Cliente si Encryption Consulting determina que ya no puede cumplir con su obligación de proporcionar el mismo nivel de protección que exigen los Principios del Marco de Privacidad de Datos, y
- (iii) Tomará, mediante notificación por escrito, medidas razonables y apropiadas para remediar cualquier procesamiento no autorizado de datos personales.
- El Cliente reconoce y acepta que, para la prestación de los Servicios, Encryption Consulting podrá procesar, e incluso transferir, los Datos del Cliente a diversas jurisdicciones donde Encryption Consulting, sus filiales o subencargados operen. Encryption Consulting garantizará que las transferencias se realicen de conformidad con la Ley de Protección de Datos.
- Dónde se aplican las leyes europeas de protección de datos:
- Encryption Consulting no transferirá Datos de Clientes procedentes del EEE, el Reino Unido o Suiza a ningún país o destinatario que no esté reconocido como proveedor de un nivel adecuado de protección para dichos Datos Personales (en el sentido de la Ley Europea de Protección de Datos), a menos que primero adopte todas las medidas necesarias para garantizar que la transferencia cumpla con la Ley de Protección de Datos aplicable. Dichas medidas pueden incluir (sin limitación):
- (i) Transferir dichos Datos del Cliente a un destinatario que esté cubierto por un marco adecuado u otro mecanismo de transferencia legalmente adecuado reconocido por las autoridades o tribunales pertinentes como proveedor de un nivel adecuado de protección de los Datos Personales, incluido un País Adecuado o marcos de transferencia y privacidad de datos;
- (ii) A un destinatario que haya obtenido la autorización de normas corporativas vinculantes de conformidad con la Ley de Protección de Datos aplicable; o
- (iii) A un destinatario que haya ejecutado las Cláusulas Contractuales Estándar.
- Cuando el Cliente y Encryption Consulting, o Encryption Consulting y/o su Subprocesador se basen en las Cláusulas Contractuales Estándar para facilitar una transferencia a un tercer país, se aplicará lo siguiente:
- Para la transferencia de datos de clientes desde el EEE, se aplicarán las Cláusulas Contractuales de la UE y se completarán de la siguiente manera: (1) Se aplicará el Módulo II (De Responsable a Encargados); (2) En la cláusula 7 no se aplicará la cláusula de atraque opcional; (3) En la Cláusula 9, la opción 2 (autorización general por escrito) se aplicará a los Subprocesadores enumerados en Anexo III y el método para designar al Subprocesador será el establecido en la Sección de Subprocesamiento del DPA; (4) En la cláusula 11, el lenguaje opcional no se aplicará y los interesados no podrán presentar una queja ante un organismo independiente de resolución de disputas; (5) En la cláusula 17, se aplicará la opción 1 y las CCC de la UE se regirán por la legislación de la República de Irlanda; (6) En la cláusula 18(b) las partes eligen los tribunales competentes de la República de Irlanda, como su elección de foro y jurisdicción; (7) Anexo I(A) de las CCC de la UE se completa de la siguiente manera: el Cliente es el Exportador de Datos, Encryption Consulting es el Importador de Datos, los datos de contacto de las partes Fecha de vigencia del Acuerdo; Anexo I(B) del CCC de la UE se completa según lo establecido en el Anexo I de este DPA; Anexo I(C) del CCC de la UE identificará a la(s) autoridad(es) de control competente(s) como la autoridad de control de la República de Irlanda;(8) Anexo II de las CCC de la UE se considerará completado con la información establecida en el Anexo III de este DPA;(9) Anexo III de las CCC de la UE se completará con la lista de Subencargados del Tratamiento que figura en el Anexo II del presente DPA.
- Para la transferencia de Datos de Clientes desde el Reino Unido, se aplicarán las Condiciones Generales de Contratación del Reino Unido y se completarán de la siguiente manera: (1) Tabla 1 se completará como se establece en la sección (i)(7) anterior; (2) Tabla 2 se completará como se establece en las Secciones (i)(1) – (i)(4) anteriores;(3) Tablas 3 se completará de la siguiente manera: Anexo 1A deberá completarse con la información pertinente establecida en la Sección (i)(7) anterior; Anexo 1B se completará con la información pertinente establecida en Anexo I de este DPA; , Anexo II se completará con la información pertinente establecida en el Anexo III del presente DPA; Anexo III se completará con la lista de subencargados del tratamiento que figura en el Anexo II del presente DPA; (4) Tabla 4 se completará con la opción “ninguna de las partes”; y (5) Cualquier conflicto entre los términos de las CCC de la UE y las CCC del Reino Unido se resolverá de conformidad con las Secciones 10 y 11 de las CCC del Reino Unido.
- Para la transferencia de Datos de Clientes desde Suiza, se aplicarán las Cláusulas Suizas de Protección de Datos (SCC) con las siguientes modificaciones: (i) las referencias al “Reglamento (UE) 2016/679” se interpretarán como referencias a la DPA suiza; (ii) las referencias a “UE”, “Unión” y “derecho de los Estados miembros” se interpretarán como referencias al derecho suizo; y (iii) las referencias a la “autoridad de control competente” y a los “tribunales competentes” se sustituirán por “el Comisionado Federal Suizo de Protección de Datos e Información” y los “tribunales competentes en Suiza”.
- Encryption Consulting no transferirá Datos de Clientes procedentes del EEE, el Reino Unido o Suiza a ningún país o destinatario que no esté reconocido como proveedor de un nivel adecuado de protección para dichos Datos Personales (en el sentido de la Ley Europea de Protección de Datos), a menos que primero adopte todas las medidas necesarias para garantizar que la transferencia cumpla con la Ley de Protección de Datos aplicable. Dichas medidas pueden incluir (sin limitación):
PLAZO, TERMINACIÓN Y CONFLICTO
- Este DPA entrará en vigor a partir de la Fecha de entrada en vigor (según se define en el Acuerdo) y permanecerá vigente hasta que el Acuerdo finalice o mientras Encryption Consulting procese los datos del cliente.
- Encryption Consulting tendrá derecho a rescindir este DPA o a cesar el Tratamiento de los Datos del Cliente en caso de que dicho Tratamiento, según las Instrucciones del Cliente o este DPA, infrinja los requisitos legales aplicables, siempre que el Cliente no haya proporcionado instrucciones actualizadas para subsanar dicha infracción en un plazo de diez (10) días a partir de la recepción de la notificación correspondiente de Encryption Consulting. Alternativamente, Encryption Consulting podrá, a su entera discreción, suspender el Tratamiento de los Datos del Cliente hasta que se subsane dicha infracción, sin responsabilidad para el Cliente y sin perjuicio de los gastos en los que hubiera incurrido antes de la fecha de suspensión.
- Tras la rescisión o vencimiento de este DPA, Encryption Consulting, a elección del Cliente, eliminará todos los Datos del Cliente procesados en nombre del Cliente y certificará al Cliente que lo ha hecho. Hasta que los Datos del Cliente se eliminen o devuelvan, las partes seguirán garantizando el cumplimiento de este DPA. La elección del Cliente se notificará por escrito a Encryption Consulting tras la rescisión. No obstante lo anterior, Encryption Consulting podrá conservar los Datos del Cliente.
- (i) Según lo requieran las leyes aplicables; o
- (ii) De conformidad con sus políticas estándar de respaldo o retención de registros, siempre que, en cualquier caso, Encryption Consulting mantenga la confidencialidad y cumpla con las disposiciones aplicables de este DPA con respecto a los Datos del Cliente retenidos y no los procese más excepto según lo requiera la Ley de Protección de Datos.
- En caso de conflicto entre los términos y condiciones de este DPA y el Acuerdo, prevalecerá este DPA. Para evitar cualquier duda, si se han suscrito cláusulas contractuales estándar entre las partes, los términos de estas últimas prevalecerán sobre los de este DPA.
ANEXO I
DETALLES DEL TRATAMIENTO
Este Anexo incluye ciertos detalles del Procesamiento de Datos del Cliente según lo exigen las Leyes de Protección de Datos.
Categorías de interesados:
Tal como lo cargó el Cliente al utilizar los Servicios.
Categorías de datos personales tratados:
Tal como lo cargó el Cliente al utilizar los Servicios.
Categorías especiales de datos personales:
Ninguna. El cliente tiene prohibido específicamente proporcionar a Encryption Consulting datos confidenciales o categorías especiales de datos, salvo acuerdo escrito de Encryption Consulting.
Naturaleza del tratamiento:
Recopilación, almacenamiento, organización, comunicación, transferencia, alojamiento y otros tipos de Tratamiento con el fin de prestar los Servicios establecidos en el Acuerdo.
Finalidad(es) del Tratamiento:
Para proporcionar el Servicio.
Periodo de retención:
Durante el tiempo que sea necesario para proporcionar el Servicio por parte de Encryption Consulting; siempre que no exista obligación legal de conservar los Datos del Cliente después de la terminación o a menos que el Cliente solicite lo contrario.
Frecuencia del proceso:
Base continua
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS
Por favor revise la política de seguridad de Encryption Consulting aquí para conocer más sobre las medidas técnicas y organizativas implementadas por éste con el fin de garantizar un nivel de seguridad adecuado para su Tratamiento de Datos de Clientes.
ANEXO III
LISTA DE SUBPROCESADORES
A partir de la fecha de vigencia mencionada anteriormente, Encryption Consulting utiliza los siguientes subprocesadores:
- Definiciones
- Roles y detalles del procesamiento
- Tratamiento de datos de carácter personal
- Derechos de los interesados y solicitud legal
- Subprocesamiento
- Medidas técnicas y organizativas
- incidente de seguridad
- Derechos de auditoría
- Transferencias transfronterizas de datos personales
- Plazo, terminación y conflicto
- Anexo I
- Anexo ii
- Anexo iii