Anexo sobre procesamiento de datos
Anexo sobre procesamiento de datos
Este Anexo sobre procesamiento de datos ("DPA") forma parte del acuerdo entre Cision Ltd. y sus filiales ("Cision") y la entidad que firma el acuerdo como cliente de los Servicios de Cision ("Cliente").
1. Definiciones
a. Por "Acuerdo" se entiende la suscripción principal o el acuerdo de servicios suscrito por las partes.
b. Por "Legislación aplicable sobre privacidad" se entiende toda la legislación aplicable relacionada con la privacidad de los datos, incluido el RGPD, la Directiva de privacidad y comunicaciones electrónicas de la UE 2002/58/EC, la Ley de protección de datos xxx Xxxxx Unido de 2018 (UK Data Protection Act 2018) y la CCPA, cada una según se aplique en cada jurisdicción, así como cualquier modificación o sustitución referente a esas normas que se pueda producir.
c. “CCPA” es la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Code
§1798.100 y siguientes y sus reglas de ejecución.
d. Por "Datos de Cision" se entiende cualquier dato en las bases de datos de Cision que Cision utiliza para proporcionar servicios, excluyendo los datos del cliente. Esta definición de datos de Cision está destinada a incluir términos definidos de manera similar en el acuerdo, como "Datos de la empresa", "Datos del proveedor" o "Datos de Brandwatch".
e. Por “Datos personales de Cision" se entiende cualquier dato personal incluido en Datos de Cision.
f. Por "Datos del cliente" se entienden los datos que el cliente pone a disposición de Cision con el fin de que Cision trate esos datos en nombre del cliente.
g. Por "Datos personales del cliente" se entiende cualquier dato incluido entre los datos del cliente.
h. “EEE” significa el Espacio Económico Europeo.
i. "RGPD" hace referencia al Reglamento General de Protección de Datos (UE) 2016/679.
j. Por "Transferencia restringida" se entiende una transferencia de datos personales desde el EEE o el Xxxxx Unido, la cual, en ausencia de cláusulas contractuales estándar, estaría prohibida por las leyes de privacidad aplicables.
k. Por "Controles de seguridad" se entienden las medidas técnicas y organizativas que se especifican en el acuerdo o, si no se especifican, las medidas descritas en xxxxx://xxxx.xxxxxx.xxx/xxxxxxxxxxxxxxxxxxxx.
l. "CCT" es la abreviatura de Cláusulas Contractuales Tipo (en inglés Standard Contractual Clauses o SCCs”), las cuales forman parte de este DPA de conformidad con la Decisión de la Comisión Europea de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE, así como a las cláusulas de actualizadas o de sustitución que la Comisión Europea pueda aprobar en el futuro.
m. "Subencargado del tratamiento de datos" hace referencia a un tercero al que Cision contrata para tratar cualquier dato personal que Cision procesa en virtud de este DPA, como encargado en nombre de Cision.
n. Los términos "responsable del tratamiento de datos", "encargado del tratamiento de datos", "datos personales", "tratamiento", "categorías especiales de datos" e
"interesados" tienen los significados que se les atribuyen en el RGPD o en la Ley de Protección de Datos xxx Xxxxx Unido de 2018.
o. Para mayor claridad, esta DPA cubre cualquier tratamiento que tenga lugar de conformidad con la CCPA. Por lo tanto, las siguientes referencias de la CCPA tienen los siguientes significados en esta DPA:
i. “Business” (o “negocio”) equivale a “Responsable”
ii. “Service Provider” (o “proveedor de servicios”) equivale a “Encargado”
iii. “Third Party” (o “tercero”) equivale a “Subengargado”
iv. “Personal Information” (o “información personal”) equivale a “Datos personales”
v. “Consumer” (o “consumidor”) equivale a “Interesado”
2. Aspectos generales
a. Responsable de tratamiento: Cision y el cliente son responsables independientes de los datos personales de Cision y cada uno trata estos datos en calidad de responsable. Si el cliente recibe datos personales de Cision o se le proporciona acceso a estos, se aplicará el apartado 3.
b. Encargado del tratamiento: El cliente es el responsable y Cision es el encargado del tratamiento de los datos personales del cliente. Si Cision trata los datos personales del cliente en nombre del cliente, se aplicará la Sección 4.
c. Cada parte cumplirá con la legislación de privacidad aplicable al tratar datos personales en virtud de este acuerdo.
d. Si hubiera un conflicto entre este DPA y el acuerdo, prevalecerá este DPA.
e. Ambas partes implementarán y mantendrán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluida la protección contra la pérdida, destrucción, alteración y divulgación no autorizada o ilegal, o el acceso a no autorizado a los datos personales.
f. Ambas partes tomarán medidas razonables para garantizar que el personal que autoriza el tratamiento de los datos personales se haya comprometido con las obligaciones de confidencialidad correspondientes y que el acceso a los datos personales se limite a aquellas personas que necesitan tener acceso para los fines del acuerdo.
g. Modificaciones: Cision puede, en cualquier momento y con un aviso de no menos de 30 días, revisar este Anexo para incorporar cualquier CCT obligatoria u otros términos que sean requeridos por cualquier autoridad de protección de datos competente en la UE o el Xxxxx Unido. Las partes acuerdan adoptar cualquier CTT de reemplazo o complementaria necesaria que la CE y / o la ICO xxx Xxxxx Unido puedan adoptar en el futuro. Si el Cliente no ejecuta dichas cláusulas a petición de Xxxxxx, Cision tendrá derecho a notificar por escrito la rescisión del acuerdo con al menos 30 días de antelación.
3. Datos de Cision (relación de responsable a responsable)
a. Tratamiento para los fines del acuerdo: Cada parte tratará los datos personales de Cision con el fin de ejercer sus derechos y obligaciones en virtud del acuerdo. Los detalles de las categorías de Datos personales de Cision, el propósito del tratamiento por parte de Cision y la duración del tratamiento se establecen en el Anexo 1, Parte 1
b. Transferencias internacionales de datos:
i. Si hubiera una transferencia restringida desde el EEE, el cliente estará obligado por las CCT de responsable a responsable, que se incorporan en este Apéndice y empezarán a tener efectos al comienzo de la transferencia restringida correspondiente.
ii. Si hubiera una transferencia restringida desde el Xxxxx Unido, las partes acuerdan usar cualquier CCT xxx Xxxxx Unido aplicable cuando la Oficina del Comisionado de Información xxx Xxxxx Unido ("ICO") apruebe dichas cláusulas. En espera de la aprobación de la ICO, las partes acuerdan quedar vinculadas a las CCT de responsable a responsable de acuerdo con la cláusula 3.b.i.
iii. Para los fines de las CCT, los datos personales transferidos serán los requeridos por el acuerdo y se entenderán tal y como se establece en el Anexo 2, Parte 1 de este DPA.
c. Filtración de datos: cada parte notificará a la otra sin demora indebida al tener conocimiento de una filtración de datos personales que afecte a datos personales de Cision o al recibir una solicitud o queja de un interesado que afecte a datos personales de Cision.
4. Datos del cliente: relación entre responsable y encargado
a. Instrucciones escritas: Cision tratará los datos personales del cliente únicamente siguiendo las instrucciones escritas del cliente, como se establece en este DPA. Cuando la legislación de privacidad aplicable diga lo contrario, Xxxxxx informará al cliente sobre el requisito legal antes del tratamiento, a menos que la ley prohíba esta información por motivos importantes de interés público. Los detalles de las categorías de datos personales del cliente, el propósito del procesamiento por parte de Cision y la duración del tratamiento se establecen en el Anexo 1, Parte II.
b. Uso legal e instrucciones: el cliente se asegurará de que su uso de los servicios y sus instrucciones con respecto al tratamiento de los datos personales de conformidad con este DPA cumplirán con toda la legislación de privacidad aplicable, y que el tratamiento de Cision de acuerdo con las instrucciones del cliente no hará que Cision infrinja la legislación de privacidad aplicable. Cision informará al cliente si, en opinión de Xxxxxx, las instrucciones del cliente infringen la legislación aplicable.
c. Categorías especiales de datos: el cliente notificará a Cision si se incluye alguna categoría especial de datos dentro de los datos personales del cliente. Cision puede negarse a procesar dichos datos o imponer las restricciones que sean necesarias, a cargo del cliente, para permitir que Cision cumpla con sus obligaciones legales y contractuales.
d. Transferencias internacionales de datos:
i. Si se produjera una transferencia del cliente en el EEE (como responsable) a Cision en cualquier tercer país (como encargado), las partes acuerdan estar vinculadas por las CCT de responsable a encargado, que se incorporan en este DPA y entran en vigor si se produjera una transferencia restringida.
ii. Si se produjera una transferencia restringida desde el Xxxxx Unido, las partes acuerdan usar cualquier CCT estándar xxx Xxxxx Unido aplicable cuando la ICO xxx Xxxxx Unido apruebe dichas cláusulas. A la espera de la aprobación de la ICO, las partes acuerdan aplicar las CCT de responsable a encargado de acuerdo con la cláusula 4.d.i.
iii. Para los fines de las CCT, los datos personales transferidos serán los requeridos por el acuerdo y son los establecidos en el Anexo 2, Parte II de este DPA.
iv. Si Cision designa a un subencargado de conformidad con la Cláusula 4.g y dicha designación implica una transferencia restringida, Cision puede confiar en las CCT para legitimar la transferencia de los datos personales del cliente.
e. Registros de cumplimiento: Cision mantendrá información y registros completos y precisos para demostrar que cumple con lo recogido en este Anexo.
f. Auditoría: Cision respaldará las auditorías que realice el cliente (ya sea por sí mismo o por medio de un auditor externo), por cuenta y a coste del cliente. Cualquier auditoría realizada de conformidad con este DPA está sujeta a las siguientes condiciones:
i. El cliente avisará por escrito con al menos 60 días de anticipación a cualquier auditoría.
ii. Solo se pueden realizar auditorías, sean de la clase que sean, durante el horario laboral normal de Cision.
iii. El Cliente llevará a cabo la auditoría de forma que cause una interrupción mínima en las operaciones comerciales normales de Cision.
iv. Cualquier auditor externo contraerá las obligaciones directas de confidencialidad con CIsion que sean razonablemente aceptables para Cision.
v. Cualquier auditoría se limitará únicamente a las actividades de tratamiento de Cision como encargado y a la información que sea razonablemente necesaria para que el cliente evalúe el cumplimiento de los términos de este DPA por parte de Cision.
vi. Como parte de cualquier auditoría, el Cliente (o su auditor externo) no tendrán acceso a la información confidencial de Cision.
vii. El Cliente reembolsará los costos y gastos razonables y demostrables de Cision asociados con cualquier auditoría.
viii. El cliente acuerda aceptar un informe de auditoría proporcionado por Cision en lugar de realizar su propia auditoría:
1. si el alcance de la auditoría solicitada se ha abordado en una auditoría realizada por un auditor externo independiente reconocido dentro de los doce (12) meses posteriores a la solicitud del cliente y la empresa proporciona una confirmación por escrito de que no ha habido cambios materiales en los controles y sistemas que fueran a ser auditados o
2. si se tiene la intención de que dicha auditoría se lleve a cabo dentro de los seis meses posteriores a la solicitud y la empresa proporciona el informe al cliente al finalizarla.
g. Subencargados: El cliente autoriza a CIsion a designar subencargados en relación con la prestación de los servicios. Encontrará una lista de los subencargados actuales de Cision en xxxxx://xxxx.xxxxxx.xxx/Xxx-Xxxxxxxxxx.
i. Cision informará al Cliente de cualquier cambio permitido y previsto con respecto a la adición o reemplazo de cualquier subencargado por un nuevo subencargado y le ofrecerá al cliente la oportunidad de objetar dichos cambios. Cualquier subencargado que contrate Cision estará sujeto a condiciones materialmente equivalentes con respecto a la protección de datos que se imponen a CIsion de conformidad con este DPA.
ii. Si un subencargado no cumple con sus obligaciones con respecto a la protección de datos, Cision seguirá siendo responsable del cumplimiento de las obligaciones del subencargado, teniendo en cuenta las exclusiones y limitaciones de responsabilidad en virtud del acuerdo.
h. Filtración de datos: si se produce una filtración de datos personales del cliente:
i. Cision cooperará de buena fe con el cliente para permitirle cumplir con sus obligaciones conforme a la legislación de privacidad aplicable.
ii. Cision notificará al cliente dentro de las 36 horas posteriores a tener conocimiento de una filtración de datos personales (tal y como se defina en la legislación de protección de datos).
iii. Cision ayudará al cliente a cumplir con cualquier obligación de notificar a una autoridad supervisora cualquier tipo de filtración de datos.
i. Derechos de los interesados: Teniendo en cuenta la naturaleza del tratamiento y la información disponible, Cision brindará al cliente asistencia razonable y adecuada (sujeta al pago de los costos y gastos razonables y demostrables de Cision), siempre que sea posible y en relación con el cumplimiento por parte del cliente de sus propias obligaciones, para responder a las solicitudes relacionadas con el ejercicio de los derechos de las personas en virtud de la legislación de protección de datos, cuando Cision trate los datos personales de dichas personas de conformidad con este DPA.
j. Rescisión:
i. Si Cision incumple cualquiera de sus obligaciones derivadas de este DPA, el cliente podrá ordenar a Cision que suspenda temporalmente el tratamiento de los datos personales del cliente en espera de la solución de dicho incumplimiento y podrá ordenar a Cision que termine el tratamiento de los datos personales del cliente si dicho incumplimiento no cesa.
ii. Bien de acuerdo con los requisitos descritos en la política de mantenimiento de registros de Cision, o bien conforme a las instrucciones por escrito del cliente, Cision eliminará los datos personales del cliente a menos que la legislación de privacidad aplicable lo requiera para mantener los datos personales del cliente.
5. Varios:
a. Responsabilidad: La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el acuerdo.
x. Xxx aplicable: La ley que rige el acuerdo se aplica a este DPA, excepto en que las CCT de responsable a encargado y las CCT de responsable a responsable se rigen por la xxx xxx xxxx en el que esté establecido el exportador de datos correspondiente.
Runtime Collective Limited
Crimson Hexagon, Inc.
Firma: Firma:
Nombre:
Xxxxx Xxxxxx
Nombre:
Xxxxx
Xxxxxx
Puesto:
Chief Legal Officer
Puesto:
Chief
Legal Officer
Fecha:
July 9, 2021 | 07:46
PDT
Fecha:
July
9, 2021 | 07:46 PDT
Cision US Inc. Canada Newswire
Group Limited
Firma: Firma:
Nombre:
Xxxx Xxxxxx
Nombre:
Xxxx
Xxxxxx
Puesto:
Deputy General Counsel
Puesto:
Deputy
General Counsel
Fecha:
July 9, 2021 | 06:35
PDT
Fecha:
July
9, 2021 | 06:35 PDT
Cision Group Limited
Cision France SA
Firma: Firma:
Nombre:
Xxxx Xxxxxx
Nombre:
Xxxx Xxxxxx
Puesto:
Deputy General Counsel
Puesto:
Deputy
General Counsel
Fecha:
July 9, 2021 | 06:35
PDT
Fecha:
July 9, 2021 | 06:35 PDT
Prime Research AG | Cision Portugal SL |
Firma: | Firma: |
Nombre: Xxxx Xxxxxx | Nombre: Xxxx |
Xxxxxx: Deputy General Cou | nsel Puesto: Deput |
Fecha: July 9, 2021 | 06:3 | 5 PDT Fecha: July |
Cision Germany GmBH | Prime Germany GmBH |
Firma: | Firma: |
Nombre: Xxxx Xxxxxx | Nombre: |
Puesto: Deputy General | Counsel Puesto: |
Fecha: July 9, 2021 | | 06:35 PDT Fecha: |
PRN Asia | Prime Brazil |
Firma: | Firma: |
Nombre: Xxxx Xxxxxx | Nombre: Ma |
Puesto: Deputy General Co | unsel Puesto: De |
Fecha: July 9, 2021 | 06: | 35 PDT Fecha: Xx |
Xxxxxx
y General Counsel
9, 2021 | 06:35 PDT
Xxxx Xxxxxx
Deputy General Counsel
July 9, 2021 | 06:35 PDT
tt Royack
puty General Counsel
ly 9, 2021 | 06:35 PDT
Nombre del cliente:
Dirección del cliente: Firma:
Nombre: Puesto: Fecha:
Xxxx Xxxxxx
Xxxxxx.xx US, Inc. | Unmetric Tech. Private Ltd. |
Firma: | Firma: |
Nombre: Xxxx Xxxxxx | Nombre: |
Puesto: Deputy General Co | unsel Puesto: |
Fecha: July 9, 2021 | 06: | 35 PDT Fecha: |
Xxxxxx.xx ApS | |
Firma: | |
Nombre: Xxxx Xxxxxx | |
Puesto: Deputy General Co | unsel |
Fecha: July 9, 2021 | 06: | 35 PDT |
Deputy General Counsel
July 9, 2021 | 06:35 PDT
Anexo 1 – Tratamiento de información Tratamiento, datos personales, e interesados
Parte 1: Datos personales de Cision (Cision como responsable de datos)
Naturaleza y finalidad del tratamiento | El cliente puede procesar los datos de Cision de la forma requerida para recibir los servicios y cumplir con sus obligaciones en virtud del acuerdo. |
Duración del tratamiento | El cliente puede procesar los datos de Cision durante la vigencia del acuerdo, a menos que las partes pacten lo contrario. |
Tipos de datos personales | Nombre, cargo, puesto, dirección de correo electrónico, número de teléfono de la empresa, número de teléfono móvil, empleador, identificadores de redes sociales, información que los propios interesados han hecho pública, como datos de identificación (p. Ej., nombre, nombre de usuario, identificador de redes sociales, ubicación) y medios audiovisuales (por ejemplo, imágenes, audio y videos). |
Categorías de interesados | Contactos individuales de medios de comunicación, incluidos periodistas y otras personas “influyentes” de los medios y personas que difunden información públicamente en Internet, incluidos usuarios de redes sociales, blogueros y redactores de contenido web. |
Parte 2: Datos Personales del cliente (Cision como encargado de datos)
Naturaleza y finalidad del tratamiento | Cision puede tratar los datos personales del cliente si fuera necesario para realizar los servicios y cumplir con sus obligaciones en virtud del acuerdo. |
Duración del tratamiento | Cision puede tratar los datos del cliente durante la vigencia del acuerdo, a menos que las partes pacten lo contrario. |
Tipos de datos personales | Nombre, cargo, puesto, empleador, dirección de correo electrónico, número de teléfono de la empresa, número de teléfono móvil, identificadores de redes sociales, datos de la vida profesional (que pueden incluir datos relacionados con el historial de empleo, datos relacionados con habilidades, premios o intereses, u otros datos relacionados con la vida profesional), datos de la vida personal, que pueden incluir datos sobre intereses, gustos, aversiones u otros datos relacionados con la vida personal), datos de ubicación y medios audiovisuales (por ejemplo, imágenes, audio y videos). |
Categorías de interesados | Perspectivas propias, clientes, socios o proveedores del cliente; medios de comunicación individuales o contactos asociados al gobierno proporcionados por el cliente; empleados o personas de contacto del cliente; autores individuales que publican datos en plataformas de redes sociales, blogs, plataformas de mensajería internas o externas y otras partes de Internet. |
Anexo 2 – Transferencia de información Parte 1 – Datos personales de Cision
El exportador de datos | Cision o cualquier otra filial de Cision que exporte datos en virtud del acuerdo |
El importador de datos | Cliente |
Interesados | Los interesados son aquellas personas cuyos datos personales están incluidos en los datos personales de Cision que el cliente trata como parte integrante de los servicios que recibe. |
Finalidades de la transferencia | La finalidad de la transferencia es permitir que el cliente trate los datos personales de Cision de conforme al acuerdo. |
Categorías de datos | Las categorías de datos personales se establecen en el anexo 1, parte II de este DPA |
Destinatarios | Los destinatarios de los datos personales son los especificados en el acuerdo, el cual generalmente incluye a los empleados, contratados externos, consultores y clientes del cliente. |
Categorías especiales de datos | Las categorías especiales de datos personales se establecen en el anexo 1, parte II de este DPA (nota: las categorías especiales no se recopilan a propósito) |
Ley aplicable | La xxx xxx xxxx en el que está establecido el exportador de datos. |
Medidas técnicas de la empresa (Apéndice 2) | Medidas técnicas y organizativas especificadas en el acuerdo o, si no las especifica, las medidas descritas en xxxxx://xxxx.xxxxxx.xxx/xxxxxxxxxxxxxxxxxxxx. |
Punto de contacto de Cision para las preguntas sobre protección de datos | |
Punto de contacto del cliente para las preguntas sobre protección de datos | Tal y como se especifica en el acuerdo. |
Parte 2 – Datos personales del cliente
El exportador de datos | Cliente |
El importador de datos | Cision o cualquier otra filial de Cision que importe datos conforme al acuerdo |
Interesados | Las categorías de interesados se establecen en el anexo 1, parte I, de este DPA. El cliente, como exportador de datos, controla el tipo y el alcance de los Datos personales que procesa Cision. |
Finalidades de la transferencia | Para permitir a Cision procesar los datos personales del cliente conforme al acuerdo |
Categorías de datos | Las categorías de datos personales se establecen en el Anexo 1, Parte I de este DPA, dado que el cliente reconoce que, como responsable y exportador controla el tipo y el alcance de los datos personales que pueden transferirse a Cision como encargado. |
Destinatarios | Los destinatarios de los datos personales son los especificados en el acuerdo, el cual generalmente incluye a Cision, cualquier otra filial de Cision y cualquier subencargado de Cision. |
Categorías especiales de datos | El exportador de datos puede enviar categorías especiales de datos personales a Cision, cuyo alcance es controlado y determinado por el exportador de datos bajo su exclusivo criterio. Cualquier clase especial de datos personales se establece en el Anexo 1, Parte I de este DPA. |
Ley aplicable | La xxx xxx xxxx en el que está establecido el exportador de datos. |
Medidas técnicas de Cision | Medidas técnicas y organizativas especificadas en el acuerdo o, si no las especifica, las medidas descritas en xxxxx://xxxx.xxxxxx.xxx/xxxxxxxxxxxxxxxxxxxx. |
Punto de contacto de Cision para las preguntas sobre protección de datos | |
Punto de contacto del cliente para las preguntas sobre protección de datos | Tal y como se especifica en el acuerdo. |