Política de privacidad

Acuerdo de procesamiento de datos Este acuerdo de procesamiento de datos («Acuerdo») forma parte del contrato de servicios («Acuerdo principal») entre

(la «Compañía») y

(el «Procesador de datos»)

(en conjunto como las «Partes»)

MIENTRAS QUE

(A) La Compañía actúa como controlador de datos.

(B) La Compañía desea subcontratar ciertos Servicios, que implican el procesamiento de datos personales, al Procesador de Datos.

(C) Las Partes buscan implementar un acuerdo de procesamiento de datos que cumpla con los requisitos del marco legal actual en relación con el procesamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

(D) Las Partes desean establecer sus derechos y obligaciones.

SE ACUERDA LO SIGUIENTE:

1. Definiciones e interpretación

1.1 A menos que se defina lo contrario en este documento, los términos y expresiones en mayúscula utilizados en este Acuerdo tendrán el siguiente significado:

1.1.1 «Acuerdo» significa este Acuerdo de procesamiento de datos y todos los Anexos;

1.1.2 Por «datos personales de la empresa» se entiende cualquier dato personal procesado por un procesador contratado en nombre de la empresa de conformidad con el Acuerdo principal o en relación con él;

1.1.3 «Procesador contratado» significa un subprocesador

; 1.1.4 «Leyes de protección de datos» se refiere a las leyes de protección de datos de la UE y, en la medida en que sea aplicable, a las leyes de protección de datos o privacidad de cualquier otro país;

1.1.5 «EEE» significa el Espacio Económico Europeo;

1.1.6 Por «Leyes de protección de datos de la UE» se entiende la Directiva 95/46/CE de la UE, transpuesta a la legislación nacional de cada Estado miembro y modificada, sustituida o sustituida de vez en cuando, incluso por el GDPR y las leyes que implementan o complementan el GDPR;

1.1.7 «GDPR» significa el Reglamento General de Protección de Datos de la UE 2016/679; 1.1.8 «Transferencia de datos» significa:

1.1.8.1 una transferencia de datos personales de la empresa de la empresa a un procesador contratado; o

1.1.8.2 una transferencia posterior de los datos personales de la empresa de un procesador contratado a un procesador subcontratado, o entre dos establecimientos de un procesador contratado, en cada caso, cuando dicha transferencia esté prohibida por las leyes de protección de datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las leyes de protección de datos);

1.1.9 «Servicios» se refiere a los servicios que brinda la Compañía.

1.1.10 Por «subprocesador» se entiende cualquier persona designada por o en nombre del Procesador para procesar datos personales en nombre de la Compañía en relación con el Acuerdo.

1.2 Los términos «Comisión», «Controlador», «Interesado», «Estado miembro», «Datos personales», «Violación de datos personales», «Procesamiento» y «Autoridad supervisora» tendrán el mismo significado que en el GDPR, y sus términos afines se interpretarán en consecuencia.

2. Procesamiento de los datos personales de la empresa2.1 El procesador deberá:

2.1.1 cumplir con todas las leyes de protección de datos aplicables al procesamiento de los datos personales de la empresa; y

2.1.2 no procesar los datos personales de la empresa excepto en las instrucciones documentadas de la empresa correspondiente

.2.2 La Compañía ordena al Procesador que procese los datos personales de la Empresa.3. El personal del procesador tomará las medidas razonables para garantizar la confiabilidad de cualquier empleado, agente o contratista de cualquier procesador contratado que pueda tener acceso a los datos personales de la empresa, garantizando en cada caso que el acceso se limite estrictamente a las personas que necesitan conocer o acceder a los datos personales pertinentes de la empresa, según sea estrictamente necesario a los efectos del Acuerdo principal, y para cumplir con las leyes aplicables en el contexto de las obligaciones de esa persona con el procesador contratado, garantizando que todas esas personas estén sujeto a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.

4. Seguridad

4.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de que varíe la probabilidad y la gravedad para los derechos y libertades de las personas físicas, el Procesador implementará, en relación con los datos personales de la empresa, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluidas, según corresponda, las medidas mencionadas en el artículo 32 (1) del GDPR.

4.2 Al evaluar el nivel de seguridad adecuado, el Procesador tendrá en cuenta en particular los riesgos que presenta el Procesamiento, en particular los derivados de una violación de datos personales.

5. Subprocesamiento

5.1 El Procesador no designará (ni divulgará ningún dato personal de la Compañía a) ningún Subprocesador a menos que la Compañía lo requiera o autorice.

6. Derechos del sujeto de datos

6.1 Teniendo en cuenta la naturaleza del procesamiento, el procesador ayudará a la Compañía a implementar las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con las obligaciones de la Compañía, según lo razonablemente entendido por la Compañía, de responder a las solicitudes para ejercer los derechos de los sujetos de datos en virtud de las leyes de protección de datos.

6.2 El procesador deberá:

6.2.1 notificar de inmediato a la Compañía si recibe una solicitud de un interesado en virtud de cualquier ley de protección de datos con respecto a los datos personales de la Compañía; y

6.2.2 asegúrese de no responder a esa solicitud, excepto siguiendo las instrucciones documentadas de la Compañía o según lo exijan las leyes aplicables a las que esté sujeto el Procesador, en cuyo caso, el Procesador, en la medida en que lo permitan las leyes aplicables, informará a la Compañía de ese requisito legal antes de que el Procesador contratado responda a la solicitud.

7. Violación de datos personales

7.1 El Procesador notificará a la Compañía sin demora indebida cuando el Procesador tenga conocimiento de una violación de datos personales que afecte a los datos personales de la Compañía, proporcionando a la Compañía información suficiente para que la Compañía pueda cumplir con cualquier obligación de informar o informar a los interesados sobre la violación de datos personales en virtud de las leyes de protección de datos.

7.2 El Procesador cooperará con la Compañía y tomará las medidas comerciales razonables que le indique la Compañía para ayudar en la investigación, mitigación y remediación de cada una de estas violaciones de datos personales.

8. El procesador de la evaluación del impacto en la protección de datos y la consulta previa proporcionará asistencia razonable a la Compañía en cualquier evaluación de impacto en materia de protección de datos y en las consultas previas con las autoridades supervisoras u otras autoridades de privacidad de datos competentes, que la Compañía considere razonablemente exigibles en virtud de los artículos 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra ley de protección de datos, en cada caso únicamente en relación con el procesamiento de datos personales de la empresa por parte de, y teniendo en cuenta la naturaleza del procesamiento y la información disponibles para, Los procesadores contratados.

9. Eliminación o devolución de los datos personales de la empresa

9.1 Sujeto a esta sección 9, el Procesador deberá eliminar y solicitar la eliminación de todas las copias de esos datos personales de la Compañía sin demora y, en cualquier caso, dentro de los 10 días hábiles siguientes a la fecha de cese de cualquier servicio que implique el procesamiento de datos personales de la Compañía (la «Fecha de cese»).

10. Derechos de auditoría

10.1 Sujeto a esta sección 10, el Procesador pondrá a disposición de la Compañía, previa solicitud, toda la información necesaria para demostrar el cumplimiento de este Acuerdo, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, por parte de la Compañía o un auditor designado por la Compañía en relación con el procesamiento de los datos personales de la Compañía por parte de los Procesadores contratados.

10.2 Los derechos de información y auditoría de la Compañía solo surgen en virtud de la sección 10.1 en la medida en que el Acuerdo no les otorgue derechos de información y auditoría que cumplan con los requisitos pertinentes de la Ley de Protección de Datos.

11. Transferencia de datos

11.1 El Procesador no puede transferir ni autorizar la transferencia de datos a países fuera de la UE y/o del Espacio Económico Europeo (EEE) sin el consentimiento previo por escrito de la Compañía. Si los datos personales procesados en virtud del presente Acuerdo se transfieren de un país del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes se asegurarán de que los datos personales estén adecuadamente protegidos. Para ello, las Partes, a menos que se acuerde lo contrario, se basarán en las cláusulas contractuales tipo aprobadas por la UE para la transferencia de datos personales.

12. Condiciones generales

12.1 Confidencialidad. Cada Parte debe mantener la confidencialidad de este Acuerdo y la información que reciba sobre la otra Parte y sus negocios en relación con este Acuerdo («información confidencial») y no debe usar ni divulgar esa información confidencial sin el consentimiento previo por escrito de la otra Parte, excepto en la medida en que: (a) la divulgación sea exigida por ley ;( b) la información relevante ya sea de dominio público.

12.2 Avisos. Todas las notificaciones y comunicaciones presentadas en virtud del presente Acuerdo deben hacerse por escrito y se entregarán personalmente, por correo postal o por correo electrónico a la dirección o dirección de correo electrónico que figura en el encabezado de este Acuerdo y a cualquier otra dirección que las Partes notifiquen periódicamente al cambiar de dirección.

13. Ley aplicable y jurisdicción

13.1 Este Acuerdo se rige por las leyes del Reino Unido.

13.2 Cualquier disputa que surja en relación con este Acuerdo, que las Partes no puedan resolver de manera amistosa, se someterá a la jurisdicción exclusiva de los tribunales del Reino Unido