Contrato de Procesamiento de Datos para los Servicios de Oracle
Contrato de Procesamiento de Datos para los Servicios de Oracle
(“Contrato de Procesamiento de Datos”)
Versión del 1.° de enero de 2023
1. Alcance y Aplicabilidad
El presente Contrato de Procesamiento de Datos se aplica al Procesamiento de Información Personal por parte de Oracle en Su nombre en carácter de Encargado del Tratamiento para la prestación de los Servicios especificados en Su Contrato de Servicios. A menos que se establezca expresamente lo contrario en Su Contrato de Servicios, esta versión del Contrato de Procesamiento de Datos entrará en vigencia y permanecerá en vigor durante el plazo de Su Contrato de Servicios.
2. Responsabilidad por el Procesamiento de Información Personal y Descripción de las Actividades de Procesamiento
2.1 Usted es un Responsable del Tratamiento y Oracle es un Encargado del Tratamiento para el Procesamiento de Información Personal como parte de la prestación de los Servicios. Cada parte es responsable del cumplimiento de sus respectivas obligaciones conforme a la Ley de Protección de Datos Aplicable.
2.2 Oracle Procesará Información Personal durante el plazo del Contrato de Servicios con la exclusiva finalidad de prestar los Servicios de conformidad con el Contrato de Servicios y el presente Contrato de Procesamiento de Datos.
2.3 En particular, y en función de los Servicios, Oracle podrá Procesar Información Personal con fines de alojamiento y almacenamiento; copia de seguridad y recuperación ante desastres; gestión de cambios en el servicio; resolución de problemas; aplicación de nuevas versiones de productos o sistemas, parches, actualizaciones y mejoras; monitoreo y pruebas del uso y rendimiento del sistema; fines de seguridad de TI, incluida la gestión de incidentes; mantenimiento y rendimiento de sistemas de soporte técnico e infraestructura de TI; y pruebas de migración, implementación, configuración y rendimiento.
2.4 Como parte de la prestación de los Servicios y en función de los mismos, Oracle podrá Procesar Información Personal relativa a Sus Individuos, incluidos Sus usuarios finales, empleados, solicitantes de empleo, contratistas, colaboradores, partners, proveedores, clientes y consumidores.
2.5 La Información Personal relativa a Sus Individuos puede incluir, sin limitación, información personal de contacto como nombre, dirección particular, teléfono particular o número de teléfono móvil, número de fax, dirección de correo electrónico y contraseñas; información relativa a circunstancias familiares, del estilo de vida y sociales, tales como edad, fecha de nacimiento, estado civil, número de hijos y nombre(s) del cónyuge y/o los hijos; datos laborales, tales como nombre del empleador, cargo y función de cargo, historial de empleo, sueldo y otros beneficios, rendimiento laboral y otras capacidades,
educación/calificación, números de identificación y datos de contacto comerciales; datos financieros; bienes y servicios provistos; identificadores únicos recopilados de dispositivos móviles, operadores de servicios redes o proveedores de datos; datos de geolocalización; direcciones IP así como datos sobre intereses y comportamiento en línea.
2.6 Salvo que se especifique lo contrario en el Contrato de Servicios, Usted no podrá proporcionar a Oracle ningún dato que imponga a Oracle obligaciones específicas de seguridad o protección de datos que sean adicionales o diferentes de las especificadas en el Contrato de Procesamiento de Datos o en el Contrato de Servicios (p. ej., cierta información regulada de salud o de tarjetas de pago). Si estuvieran disponibles para los Servicios, Usted podrá adquirir de Oracle servicios adicionales (p. ej., Servicios Oracle Payment Card Industry Compliance) diseñados para cumplir con requisitos específicos relacionados con la seguridad de los datos o la protección de los datos que resulten aplicables a datos sensibles o especiales que Usted desee incluir en Su Contenido. Usted sigue siendo responsable del cumplimiento de Sus obligaciones específicas de carácter reglamentario, legal o del sector relativas a la seguridad de los datos que sean aplicables a dichos datos.
2.7 Podrán incluirse descripciones adicionales o más específicas de las actividades de Procesamiento en el Contrato de Servicios.
2.8 Oracle es un Proveedor de Servicios con respecto a la Información Personal procesada durante la prestación de los Servicios. Oracle no: (a) Venderá ni Compartirá Información Personal de ninguna especie; (b) retendrá, utilizará ni revelará Información Personal de ninguna especie (i) para fines distintos de las Finalidades de Negocio especificadas en el Contrato de Servicios, incluida cualquier Finalidad Comercial, o (ii) fuera de la relación comercial directa entre Oracle y Usted; ni (c) combinará Información Personal recibida de Usted o en Su nombre con Información Personal recibida de terceros o en nombre de estos últimos, o recopilada a partir de la propia interacción de Oracle con Individuos, salvo para llevar a cabo una Finalidad de Negocio permitida por la CCPA y el Contrato de Servicios. Oracle le notificará en caso de que recurra a Afiliadas de Oracle y a Subencargados del Tratamiento de conformidad con lo establecido en la Sección 5 de este Contrato de Procesamiento de Datos; y se asegurará de que las Afiliadas de Oracle y los Subencargados del Tratamiento estén sujetos a los pertinentes contratos por escrito conforme a la Sección 5 del presente Contrato de Procesamiento de Datos. Las partes reconocen que la Información Personal que Usted revele a Oracle se proporciona únicamente para las Finalidades de Negocio limitadas y específicas establecidas en el Contrato de Servicios. Oracle deberá proporcionar a la Información Personal el mismo nivel de protección que el exigido por la CCPA y que se describe con mayor detalle en el Contrato de Servicios. Usted podrá adoptar las medidas razonables que sean necesarias (a) para subsanar el uso no autorizado de Información Personal por parte de Oracle, y (b) para garantizar que la Información Personal se utilice de conformidad con las condiciones del presente Contrato de Procesamiento de Datos, mediante el ejercicio de Sus derechos en virtud de la Sección 8 del presente Contrato de Procesamiento de Datos. Oracle le notificará a Usted si determina que no puede cumplir con sus obligaciones en virtud de la CCPA en relación con la prestación de los Servicios por parte de Oracle.
3. Sus Instrucciones
3.1 Además de Sus instrucciones incorporadas al Contrato de Servicios, Usted podrá proporcionar instrucciones adicionales por escrito a Oracle con respecto al Procesamiento de Información Personal de conformidad con la Ley de Protección de Datos Aplicable. Oracle cumplirá sin demora con la totalidad de tales instrucciones en la medida de lo necesario para que Oracle (i) cumpla con sus obligaciones en
carácter de Encargado del Tratamiento conforme a la Ley de Protección de Datos Aplicable; o (ii) le brinde asistencia para cumplir con Sus obligaciones en carácter de Responsable del Tratamiento conforme a la Ley de Protección de Datos Aplicable que correspondan al uso que Usted hace de los Servicios.
3.2 Oracle cumplirá con Sus instrucciones sin costo adicional para Usted y dentro de los plazos que sean razonablemente necesarios para que Usted cumpla con sus obligaciones en virtud de la Ley de Protección de Datos Aplicable. Oracle le informará de inmediato si, en su opinión, Sus instrucciones infringen la Ley de Protección de Datos Aplicable. Oracle no es responsable de brindarle a Usted asesoramiento jurídico.
3.3 En la medida en que Oracle prevea incurrir en cargos o tarifas adicionales no cubiertos por las tarifas de los Servicios pagaderas conforme al Contrato de Servicios, tales como tarifas adicionales de licencia o de terceros contratistas, así se lo notificará a Usted sin demora tras recibir Sus instrucciones. Sin perjuicio de la obligación de Oracle de cumplir con Sus instrucciones, las partes negociarán entonces de buena fe con respecto a dichos cargos o tarifas.
4. Consultas sobre Privacidad y Solicitudes de Individuos
4.1 En caso de que Usted reciba una solicitud o consulta de un Individuo en relación con Información Personal Procesada por Oracle en virtud del Contrato de Servicios, incluidas las solicitudes de un Individuo de acceso, supresión o borrado, restricción, rectificación, recepción y transmisión (portabilidad de datos), bloqueo del acceso u objeción al Procesamiento de Información Personal específica, Usted podrá acceder de forma segura a Su entorno de Servicios que contenga Información Personal para atender la solicitud. Se ofrece información adicional sobre cómo acceder a los Servicios para atender solicitudes o consultas de Individuos sobre la privacidad en la documentación aplicable de Orientación sobre Características de los Productos o Servicios de Oracle disponible en My Oracle Support (u otra herramienta de soporte principal aplicable o contacto de soporte proporcionado para los Servicios).
4.2 En la medida en que el acceso a los Servicios no esté disponible para Usted o no responda de otra manera a la solicitud o consulta, Usted podrá presentar una "solicitud de servicio" a través de My Oracle Support (u otra herramienta de soporte principal aplicable o contacto de soporte proporcionado para los Servicios, como Su gerente de proyectos) con instrucciones detalladas por escrito dirigidas a Oracle acerca de cómo brindarle asistencia con dicha solicitud.
4.3 Si Oracle recibe directamente alguna solicitud o consulta de Individuos que lo hayan identificado a Usted como Responsable del Tratamiento, le transmitirá sin demora dichas solicitudes sin responderle al Individuo. De lo contrario, Oracle le indicará al Individuo que identifique y se comunique con el (los) responsable(s) del tratamiento que corresponda(n).
5. Afiliadas de Oracle y Terceros Subencargados del Tratamiento
5.1 Usted otorga a Oracle una autorización general por escrito para contratar a Afiliadas de Oracle y a Terceros Subencargados del Tratamiento según sea necesario para colaborar en la prestación de los Servicios.
5.2 En la medida en que Oracle contrate a tales Terceros Subencargados del Tratamiento y/o a Afiliadas de Oracle, se requiere que dichas entidades estén sujetas al mismo nivel de protección y seguridad de los datos que Oracle de conformidad con las condiciones del presente Contrato de Procesamiento de Datos y la Ley de Protección de Datos Aplicable. Usted tendrá derecho, previa solicitud por escrito, a
recibir copias de las condiciones pertinentes de seguridad y privacidad del contrato de Oracle con cualquier Tercero Subencargado del Tratamiento y Afiliada de Oracle que pueda Procesar Información Personal. Oracle sigue siendo responsable del cumplimiento de las obligaciones que las Afiliadas de Oracle y los Terceros Subencargados del Tratamiento tienen a su cargo de conformidad con las condiciones del Contrato de Servicios.
5.3 Oracle mantiene listas de las Afiliadas de Oracle y los Terceros Subencargados del Tratamiento que pueden Procesar Información Personal. Estas listas se encuentran disponibles a través de My Oracle Support, Documento ID 2121811.1 (u otra herramienta de soporte principal, interface de usuario o contacto aplicable que se ofrezca para los Servicios, como por ejemplo NetSuite Support Portal o Su gerente de proyectos de Oracle). Para recibir la notificación de cualquier cambio previsto a estas listas de Afiliadas de Oracle y Terceros Subencargados del Tratamiento, Usted puede (i) registrarse siguiendo las instrucciones indicadas en My Oracle Support, Documento ID 2288528.1; o bien (ii) Oracle le notificará los cambios previstos en caso de que no se disponga de un mecanismo de registro. Para los Servicios de Consultoría y ACS, todo Tercero Subencargado del Tratamiento adicional que Oracle pretenda utilizar se enumerará en Su orden de Servicios de ACS o Consultoría, o bien en una “Notificación sobre Subencargados del Tratamiento de Oracle” posterior, que Oracle le enviará a usted por correo electrónico según sea necesario.
5.4 Dentro de los treinta (30) días calendario siguientes a la notificación que Oracle le envíe a Usted conforme a la Sección 5.3 precedente, Usted podrá objetar la participación prevista de un Tercero Subencargado del Tratamiento o de una Afiliada de Oracle en la prestación de los Servicios mediante la presentación una “solicitud de servicio” a través de (i) My Oracle Support (u otra herramienta de soporte principal aplicable) o bien (ii) para los Servicios de Consultoría y ACS, del gerente de proyectos para los Servicios. Usted y Oracle trabajarán en forma conjunta de buena fe a fin de hallar una solución aceptable para ambas partes destinada a abordar dicha objeción, incluyendo, sin limitación, el análisis de documentación adicional que acredite el cumplimiento del Contrato de Procesamiento de Datos o la Ley de Protección de Datos Aplicable por parte xxx Xxxxxxx Subencargado del Tratamiento o la Afiliada de Oracle, o la prestación de los Servicios sin la intervención de dicho Tercero Subencargado del Tratamiento. En caso de que Usted y Oracle no llegaran a una solución aceptable para ambas partes dentro de un plazo razonable, Usted tendrá el derecho de dar por terminados los Servicios en cuestión (i) mediante previa notificación enviada con treinta (30) días de anticipación; (ii) sin que ello genere responsabilidad para Usted ni para Oracle, y (iii) sin que ello lo exima a Usted de Sus obligaciones de pago conforme al Contrato de Servicios hasta la fecha de la terminación. En caso de que la terminación de acuerdo con esta Sección 5.4 solo se refiera a una parte de los Servicios contemplados en una orden, Usted suscribirá una enmienda o un pedido de reemplazo a fin de reflejar dicha terminación parcial.
6. Transferencias Transfronterizas de Datos
6.1 En el caso de los Servicios en la Nube, la Información Personal se almacenará en la región del centro de datos especificada en Su orden relativa a dichos Servicios o, si correspondiera, en la región geográfica que Usted haya seleccionado al activar la instancia de producción de tales Servicios.
6.2 Sin perjuicio de lo dispuesto en la Sección 6.1 precedente, Oracle podrá Procesar Información Personal a nivel mundial según sea necesario para prestar los Servicios, por ejemplo, con fines de soporte, gestión de incidentes o recuperación de datos.
6.3 En la medida en que dicho acceso mundial implique una transferencia de Información Personal sujeta a restricciones a la transferencia transfronteriza en virtud de la Ley de Protección de Datos Europea Aplicable a países fuera de Europa que no estén cubiertos por una decisión de adecuación, dichas transferencias se encuentran sujetas a (a) las Normas Corporativas Vinculantes de Oracle para Encargados del Tratamiento o BCR-p (también denominadas Código de Oracle para Encargados del Tratamiento) y (ii) las condiciones del Módulo 2 (Responsable del Tratamiento a Encargado del Tratamiento) de las Cláusulas Contractuales Tipo de la UE 2021/914 del 4 xx xxxxx de 2021.
La versión más actualizada de las Normas Corporativas Vinculantes de Oracle para Encargados del Tratamiento (Código de Oracle para Encargados del Tratamiento) puede consultarse en xxxxx://xxx.xxxxxx.xxx/xxxxxxxxx/xxxxxxxxx/xxxxx-xxxxxxxx/xxxxxxxxx.xxxx#xxxx-xxxxxxxxxx, y se incorpora por referencia al Contrato de Servicios y al presente Contrato de Procesamiento de Datos. Oracle ha obtenido la autorización del EEE para sus Normas Corporativas Vinculantes para Encargados del Tratamiento (Código para Encargados del Tratamiento) y mantendrá dicha autorización durante la vigencia del Contrato de Servicios. Las transferencias a Terceros Subencargados del Tratamiento estarán sujetas a requisitos en materia de seguridad y privacidad de los datos acordes con las Normas Corporativas Vinculantes de Oracle para Encargados del Tratamiento (Código de Oracle para Encargados del Tratamiento), las condiciones del Módulo 2 (Responsable del Tratamiento a Encargado del Tratamiento) de las Cláusulas Contractuales Tipo de la UE 2021/914 del 4 xx xxxxx de 2021, el presente Contrato de Procesamiento de Datos y el Contrato de Servicios.
6.4 En la medida en que dicho acceso mundial implique una transferencia de Información Personal sujeta a restricciones a la transferencia transfronteriza en virtud de la Ley de Protección de Datos xxx Xxxxx Unido Aplicable, a países fuera xxx Xxxxx Unido que no estén cubiertos por una Decisión de Adecuación por parte de la ICO xxx Xxxxx Unido, dichas transferencias se encuentran sujetas a (i) las condiciones del Módulo 2 (Responsable del Tratamiento a Encargado del Tratamiento) de las Cláusulas Contractuales Tipo de la UE 2021/914 del 4 xx xxxxx de 2021, complementadas por el Apéndice de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión Europea versión B1.0 (el “IDTA”), que quedan incorporadas al presente por referencia; y (ii) cuando sean aprobadas por la ICO xxx Xxxxx Unido, las Normas Corporativas Vinculantes xxx Xxxxx Unido para Encargados del Tratamiento, en la forma que la ICO xxx Xxxxx Unido las apruebe para ser utilizadas en el Xxxxx Unido y que se publicarán en los sitios web públicos de Oracle. El IDTA se leerá conjuntamente con el Contrato de Servicios y el Contrato de Procesamiento de Datos.
6.5 Las partes analizarán cualquier medida complementaria que pueda requerirse en virtud de la Ley de Protección de Datos aplicable para la transferencia de Información Personal a países que no ofrezcan un nivel de protección adecuado. Las partes trabajarán en forma conjunta de buena fe a fin de hallar una solución aceptable para ambas partes destinada a abordar dichas medidas complementarias, incluyendo, sin limitación, la revisión de documentación técnica de los Servicios y el análisis de las garantías técnicas y los servicios de seguridad adicionales que se encuentren disponibles.
6.6 En la medida en que dicho acceso mundial suponga una transferencia de Información Personal sujeta a restricciones a la transferencia transfronteriza en virtud de otras Leyes de Protección de Datos Aplicables a nivel mundial, dichas transferencias estarán sujetas a lo siguiente: (i) para transferencias a Afiliadas de Oracle, las condiciones del Contrato de Mandato y Transferencia de Datos Entre Empresas de Oracle, que exige que todas las transferencias de Información Personal se efectúen en cumplimiento de la Ley de Protección de Datos Aplicable y todas las políticas y normas de Oracle en materia de seguridad y privacidad de los datos aplicables a nivel mundial; y (ii) para transferencias a Terceros Subencargados
del Tratamiento, los requisitos de seguridad y privacidad de los datos acordes con los requisitos pertinentes del presente Contrato de Procesamiento de Datos y la Ley de Protección de Datos Aplicable.
7. Seguridad y Confidencialidad
7.1 Oracle ha implementado y mantendrá medidas de seguridad técnicas y organizativas apropiadas para el Procesamiento de Información Personal destinadas a prevenir toda pérdida, alteración, destrucción accidental o ilícita, o revelación o acceso no autorizados a, la Información Personal. Estas medidas de seguridad rigen todas las áreas de la seguridad aplicables a los Servicios, que incluyen acceso físico, acceso al sistema, acceso, transmisión y cifrado de los datos, entrada, copia de seguridad de datos, segregación de datos y supervisión de la seguridad, ejecución de cumplimiento y otros controles y medidas de seguridad. En las prácticas de seguridad correspondientes a los Servicios que Usted ha ordenado se incluyen detalles adicionales sobre las medidas de seguridad específicas que se aplican a dichos Servicios:
• Para todos los Servicios: las Prácticas de Seguridad Corporativa de Oracle, disponibles en xxxxx://xxx.xxxxxx.xxx/xxxxxxxxx/xxxxxxxx-xxxxxxxxx/;
• Para los Servicios en la Nube: las Políticas de Prestación y Alojamiento de Oracle, disponibles en xxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxx/xxxxxxxxx/xxxxx-xxxxxxxx/xxxxx.xxxx;
• Para los Servicios NetSuite (NSGBU): las Condiciones del Servicio de NetSuite, disponibles en: xxxx://xxx.xxxxxxxx.xxx/xxxxxx/xxxxxxxx/xxxxx-xx-xxxxxxx.xxxxx;
• Para los Servicios de Soporte Global al Cliente: las Prácticas de Seguridad de Soporte Global al Cliente de Oracle, disponibles en: xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxxxxx.xxxx;
• Para los Servicios de Consultoría y Servicios Avanzados de Soporte al Cliente (ACS): las Prácticas de Seguridad de los Servicios de Consultoría y ACS de Oracle, disponibles en: xxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxx/xxxxxxxxx/xxxxxxxxxx-xxxxxxxx/xxxxx.xxxx.
7.2 Todos los empleados de Oracle y de las Afiliadas de Oracle, así como de los Terceros Subencargados del Tratamiento que Procesen Información Personal, se encuentran sujetos a contratos de confidencialidad por escrito apropiados, tales como contratos de confidencialidad, capacitación periódica en materia de protección de la información y cumplimiento de las políticas de Oracle relativas a la protección de la información confidencial.
8. Derechos de Auditoría y Asistencia para las Evaluaciones de Impacto de la Protección de Datos
8.1 Usted podrá auditar el cumplimiento de las obligaciones de Oracle en virtud del presente Contrato de Procesamiento de Datos como máximo una vez al año, incluidas las inspecciones de las instalaciones del correspondiente centro de datos de los Servicios que aloje Información Personal. Asimismo, con el alcance exigido por la Ley de Protección de Datos Aplicable, Usted o Su Organismo Regulador podrán efectuar auditorías más frecuentes.
8.2 Si Usted contrata a un auditor externo, dicho tercero deberá ser convenido de mutuo acuerdo entre Usted y Oracle (salvo que dicho tercero sea un Organismo Regulador). Oracle no denegará de manera injustificada su consentimiento respecto de un auditor externo solicitado por Usted. El tercero deberá firmar un contrato de confidencialidad por escrito que resulte aceptable para Oracle o estar sujeto de otro modo a una obligación de confidencialidad legal o normativa.
8.3 Para solicitar una auditoría, Xxxxx debe presentar a Oracle un plan propuesto de auditoría detallado como mínimo dos semanas antes de la fecha propuesta para la auditoría. El plan de auditoría propuesto
deberá describir el alcance, la duración y la fecha de inicio propuestos para la auditoría. Oracle analizará el plan de auditoría propuesto y le hará saber a Usted cualquier pregunta o inquietud. Oracle trabajará en colaboración con Xxxxx para acordar un plan de auditoría definitivo dentro de un plazo razonable.
8.4 La auditoría debe llevarse a cabo durante el horario de oficina habitual en las instalaciones que correspondan, con sujeción al plan de auditoría definitivo acordado y las políticas de salud y seguridad u otras políticas pertinentes de Oracle, y no podrá interferir de manera injustificada en las actividades de negocio de Oracle.
8.5 Una vez finalizada la auditoría, Xxxxx deberá entregar a Oracle una copia del informe de auditoría, que se encuentra sujeto a las condiciones en materia de confidencialidad de Su Contrato de Servicios. Usted podrá utilizar los informes de auditoría únicamente a los efectos de cumplir con Sus requisitos de auditoría reglamentarios y/o a fin de confirmar el cumplimiento de los requisitos de este Contrato de Procesamiento de Datos.
8.6 Cada parte soportará sus propios costos en relación con la auditoría, a menos que Oracle le informe a usted sin demora, tras analizar Su plan de auditoría, que prevé incurrir en cargos o tarifas adicionales para la realización de la auditoría que no están cubiertos por las tarifas pagaderas conforme a Su Contrato de Servicios, tales como tarifas adicionales de licencia o de terceros contratistas. Las partes negociarán de buena fe con respecto a dichos cargos o tarifas.
8.7 Sin perjuicio de los derechos conferidos en la Sección 8.1 precedente, si el alcance de la auditoría solicitada se encuentra abordado en un informe de auditoría SOC, ISO, NIST, PCI DSS, HIPAA o informe de auditoría similar emitido por un auditor externo calificado dentro de los doce meses anteriores y Oracle le suministra a Usted dicho informe que confirma que no existen cambios esenciales conocidos en los controles auditados, Usted se compromete a aceptar las conclusiones presentadas en el informe del auditor externo en lugar de solicitar una auditoría de los mismos controles cubiertos por el informe.
8.8 Usted también podrá solicitar que Oracle audite a un Tercero Subencargado del Tratamiento o que confirme que dicha auditoría se ha llevado a cabo (o, cuando estuviera disponible, obtenga o le ayude a Usted a obtener un informe de auditoría externo referido a las operaciones xxx Xxxxxxx Subencargado del Tratamiento) a fin de verificar el cumplimiento de las obligaciones de dicho Tercero Subencargado del Tratamiento.
8.9 Oracle le proporciona la información y asistencia razonablemente necesarias para que Usted pueda realizar Sus evaluaciones de impacto de la protección de datos o consultar con Su(s) Organismo(s) Regulador(es), brindándole a Usted acceso electrónico a un registro de las actividades de Procesamiento y a las guías de funcionalidad de privacidad y seguridad de los Productos/Servicios de Oracle correspondientes a los Servicios. Esta información está disponible a través de (i) My Oracle Support, Documento ID 111.1 u otra herramienta de soporte principal aplicable proporcionada para los Servicios, como NetSuite Support Portal, o (ii) previa solicitud, si dicho acceso a My Oracle Support (u otra herramienta de soporte principal) no está disponible para Usted.
9. Gestión de Incidentes y Notificación de Incumplimientos
9.1 Oracle ha implementado controles y políticas diseñados para detectar y responder de inmediato a
incidentes que generen sospecha o indiquen destrucción, pérdida, alteración, revelación o acceso no autorizados a Su Contenido (tal como dicho término se define en el Contrato de Servicios) transmitido, almacenado o Procesado de otro modo. Oracle definirá sin demora rutas de remisión a una instancia superior para investigar tales incidentes a fin de confirmar si se ha producido una Violación de Información, así como para adoptar medidas razonables destinadas a identificar la(s) causa(s) fundamental(es) de la Violación de Información, atenuar cualquier posible efecto adverso y prevenir su repetición.
9.2 Oracle le notificará a usted acerca de una Violación de Información confirmado sin demora injustificada pero, como máximo, en un lapso de 24 horas. A medida que se recabe información respecto de la Violación de Información o esta se ponga de otro modo a disposición de Oracle en forma razonable, Oracle también le proporcionará a Usted (i) una descripción de la naturaleza y de las consecuencias razonablemente previstas de la Violación de Información; (ii) las medidas adoptadas para atenuar los posibles efectos adversos y prevenir su repetición; y (iii) cuando resulte posible, información acerca de los tipos de información que fueron objeto de la Violación de Información. Usted se compromete a coordinar con Oracle el contenido de Sus declaraciones públicas o notificaciones requeridas a los Individuos afectados y/o las notificaciones a los Organismos Reguladores competentes que Usted pretenda efectuar acerca de la Violación de Información.
10. Devolución y Eliminación de Información Personal
10.1 Tras la terminación de los Servicios, Oracle devolverá sin demora, incluso proporcionando una funcionalidad de recuperación de datos disponible, y posteriormente eliminará toda copia remanente de la Información Personal que se encuentre en entornos de Servicios o sistemas de Oracle, salvo que se establezca lo contrario en el Contrato de Servicios.
10.2 En el caso de la Información Personal que se mantenga en Sus sistemas o entornos, o en el caso de Servicios para los que Oracle no proporcione ninguna funcionalidad de recuperación de datos como parte de los Servicios, se le recomienda adoptar medidas adecuadas para realizar copias de seguridad o almacenar de otro modo por separado cualquier Información Personal mientras el entorno de Servicios de producción aún se encuentre activo antes de la terminación.
11. Requisitos Legales
11.1 Oracle puede estar obligada por la ley a brindar acceso a Información Personal, por ejemplo, para cumplir con una citación u otra diligencia judicial, o para responder a solicitudes gubernamentales, incluso de autoridades públicas y del gobierno para propósitos relacionados con la seguridad nacional y/o la aplicación de la ley.
11.2 Oracle le informará a Usted sin demora acerca de las solicitudes de acceso a Información Personal y realizará esfuerzos razonables para que la autoridad que efectuó la solicitud se dirija a Usted, salvo que la ley exija lo contrario.
11.3 En la medida en que Oracle esté obligada a responder a la solicitud, primero evaluará caso por caso si la solicitud es legalmente válida y vinculante para Oracle, por ejemplo, si la solicitud se ajusta a la Ley de Protección de Datos Aplicable. Toda solicitud que no sea legalmente válida y vinculante para Oracle será objetada de conformidad con la ley aplicable.
12. Responsable de Protección de Datos
12.2 Si Usted ha designado a un Responsable de Protección de Datos, podrá solicitar a Oracle que incluya los datos de contacto de Su Responsable de Protección de Datos en la correspondiente orden de Servicios.
13. Definiciones
“Ley de Protección de Datos Aplicable” se refiere a todas las leyes o reglamentaciones en materia de privacidad de los datos o de protección de los datos aplicables a nivel mundial al Procesamiento de Información Personal conforme a este Contrato de Procesamiento de Datos, incluida la Ley de Protección de Datos Europea Aplicable, la Ley de Protección de Datos xxx Xxxxx Unido Aplicable, la Ley de Privacidad del Consumidor de California ("CCPA”), con sus modificaciones, y otras leyes estatales de los EE. UU.
“Ley de Protección de Datos Europea Aplicable” se refiere (i) al Reglamento General de Protección de Datos de la Unión Europea UE/2016/679, complementado por las leyes aplicables de los Estados Miembros de la UE e incorporado al Contrato del EEE; y (ii) a la Ley Federal Suiza del 19 xx xxxxx de 1992 sobre Protección de Datos, con sus modificaciones.
"Ley de Protección de Datos xxx Xxxxx Unido Aplicable" significa (i) el GDPR xxx Xxxxx Unido, es decir, el Reglamento General de Protección de Datos de la Unión Europea UE/2016/679, que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud del artículo 3 de la Ley de (Salida de) la Unión Europea de 2018 de conformidad con las enmiendas al Reglamento General de Protección de Datos de la Unión Europea UE/2016/679 introducidas por los Reglamentos de 2019 y 2020 sobre Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE); y (ii) la Ley de Protección de Datos xxx Xxxxx Unido de 2018, con sus modificaciones.
“Europa” significa, a los efectos del presente Contrato de Procesamiento de Datos (i) el Espacio Económico Europeo, constituido por los Estados Miembros de la UE, Islandia, Liechtenstein y Noruega; y
(ii) Suiza.
“Individuo” tendrá el mismo significado que el término “interesado” o el término equivalente conforme a la Ley de Protección de Datos Aplicable.
“Violación de Información” significa un incumplimiento de la seguridad que genera la apropiación indebida o destrucción, pérdida, alteración accidentales o ilícitas, revelación o acceso no autorizados a Su Contenido transmitido, almacenado o Procesado de otro modo en sistemas de Oracle o el entorno de Servicios que comprometa la seguridad, confidencialidad o integridad de Su Contenido.
“Procesar/Procesamiento”, “Responsable del Tratamiento”, “Encargado del Tratamiento” y “Normas Corporativas Vinculantes” (o sus términos equivalentes) tienen el significado establecido en la Ley de Protección de Datos Aplicable.
"Proveedor de Servicios", "Vender", "Compartir", "Finalidad de Negocio" y "Finalidad Comercial"
tienen el significado establecido en la CCPA.
“Afiliada(s) de Oracle” significa la(s) subsidiaria(s) de Oracle Corporation que pueda(n) Procesar
Información Personal de conformidad con lo establecido en el presente Contrato de Procesamiento de Datos.
“Contrato de Mandato y Transferencia de Datos Entre Empresas de Oracle” significa el Contrato de Mandato y Transferencia de Datos Entre Empresas de Oracle para la Información Personal de los Servicios al Cliente suscrito entre Oracle Corporation y las Afiliadas de Oracle.
“Normas Corporativas Vinculantes de Oracle para Encargados del Tratamiento” o “Código de Oracle para Encargados del Tratamiento” se refiere al Código de Privacidad de Oracle de la Unión Europea x xxx Xxxxx Unido para el Procesamiento de Información Personal de Individuos Clientes, según corresponda.
“Oracle” significa la Afiliada de Oracle que ha formalizado el Contrato de Servicios.
“Información Personal” tendrá el mismo significado que el término “datos personales”, “información personal identificable (PII)” o el término equivalente conforme a la Ley de Protección de Datos Aplicable.
“Organismo Regulador” tendrá el mismo significado que el término “autoridad de control”, “autoridad de protección de datos” o el término equivalente conforme a la Ley de Protección de Datos Aplicable.
“Servicios” o los términos equivalentes “Servicios Ofrecidos” o “servicios” significa los servicios en la Nube, servicios Avanzados de Soporte al Cliente, de Consultoría o de Soporte Técnico Global especificados en el Contrato de Servicios.
“Contrato de Servicios” significa (i) la orden aplicable correspondiente a los Servicios que usted ha adquirido de Oracle; (ii) el contrato marco aplicable citado en la orden correspondiente; y (iii) las Especificaciones del Servicio.
“Tercero Subencargado del Tratamiento” significa un tercero, distinto de una Afiliada de Oracle, que es subcontratado por Oracle y que puede Procesar Información Personal de acuerdo con lo establecido en el presente Contrato de Procesamiento de Datos.
“Usted” significa la entidad del cliente que ha formalizado el Contrato de Servicios.
Otros términos escritos con mayúscula tienen las definiciones que se les atribuyen en el Contrato de Servicios.