Adenda sobre el Tratamiento de Datos Personales al Contrato de Servicios Cloud
Adenda sobre el Tratamiento de Datos Personales al Contrato de Servicios Cloud
La presente Adenda sobre el tratamiento de datos personales ("CSO DPA" ), al Contrato de Servicios Cloud (o Cloud Service Offering Agreement o Contrato) será de aplicación cuando la prestación de los Servicios Cloud (en adelante, los "Servicios Cloud") por parte de Dell a usted (en adelante, el "Cliente") implique el Tratamiento de datos personales sujeto a la Legislación sobre privacidad y cuando Dell actúe como Encargado del tratamiento en nombre del Cliente, que actuará como Responsable del tratamiento. El presente CSO DPA no será de aplicación cuando Dell sea el Responsable del tratamiento. En caso de conflicto entre este CSO DPA y el Contrato, prevalecerá la ADPA en lo que respecta a su contenido.
1. Definiciones
Los términos que no se definan en el presente documento tendrán el mismo significado otorgado en el Contrato. Los siguientes términos de esta ADPA se emplean con el significado siguiente:
1.1 "Contrato" se refiere al Contrato de Servicios Cloud.
1.2 "Responsable del Tratamiento" hace referencia a una entidad que, por sí sola o junto con otras, determina los fines y los medios del Tratamiento de los Datos Personales.
1.3 "RGPD" se refiere al Reglamento General de Protección de Datos de la UE, n.º 2016/679.
1.4 “RGPD RU” se entenderá el RGPD tal como se mantiene en virtud de la legislación nacional del Reino Unido después de la salida del Reino Unido de la Unión Europea, que se aplicará junto con la Ley de Protección de Datos del Reino Unido de 2018, y sus posteriores enmiendas
1.5 "Cláusulas Tipo" hace referencia a las Cláusulas Contractuales Tipo para la transferencia de datos personales a Encargados del Tratamiento (Decisión 2021/914/EU), y sus posteriores enmiendas o las cláusulas que las sustituyan en relación a las transferencias desde el Espacio Económico Europeo (EEE) a países fuera del EEE, incluyendo Xxxxx Unido, y se entenderán las Cláusulas Contractuales Tipo para la transferencia de datos personales a Encargados (Decisión 2010/87/EU) en relación con transferencias desde el Xxxxx Unido a países que no están sujetos a una decisión de adecuación conforme a lo dispuesto en el RGPD RU.
1.6 "Datos Personales" se refiere a cualquier información relativa a una persona física identificada o identificable de cuyo Tratamiento se encargue Dell en el marco de la ejecución del Contrato.
1.7 "Violación de la Seguridad de los Datos Personales" hace referencia a una violación de la seguridad que provoca la destrucción, pérdida, alteración, acceso o divulgación no autorizados —tanto de forma accidental como ilegal— de los datos personales tratados conforme a este CSO DPA.
1.8 "Legislación sobre Privacidad" hace referencia a cualesquiera leyes sobre privacidad y protección de datos a las que quedan sujetas las partes de este CSO DPA y que serán de aplicación a los Servicios Cloud prestados, incluidos, cuando corresponda, el RGPD, la Ley de Protección de Datos de Reino Unido, la Ley de Privacidaddel Consumidor de California (la "CCPA", por sus siglas en inglés) y otras leyes similares.
1.9 "Tratamiento" se refiere a cualquier operación o conjunto de operaciones que se ejecuten con Datos personales sueltos o agrupados, por medios manuales o automatizados, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, la utilización o la divulgación por transmisión, difusión o cualquier otra forma que permita el acceso a ellos, así como la alineación o la combinación, la restricción, el borrado o la destrucción.
1.10 "Encargado del Tratamiento" hace referencia a la entidad que realiza el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
1.11 "Subencargado del Tratamiento" se refiere a cualquier Encargado contratado por Dell para llevar a cabo la prestación de los Servicios Cloud.
2. Tratamiento de Datos Personales
2.1 Responsabilidades de las Partes
Dell podrá realizar el Tratamiento de Datos Personales en virtud del Contrato en calidad de Encargado del
Tratamiento y en representación del Cliente, que actúa como Responsable del Tratamiento.
2.2 Instrucciones
Dell llevará a cabo el Tratamiento de Datos Personales de conformidad con las instrucciones que hubiera indicado el Cliente. El Cliente acuerda que el presente CSO DPA, el Contrato y cualesquiera pedidos de servicio o declaraciones de trabajo subsiguientes, así como cualesquiera configuraciones realizadas por el Cliente o sus usuarios autorizados, constituyen las instrucciones íntegras del Cliente a Dell con respecto al Tratamiento de Datos Personales. Las partes deben pactar por escrito cualquier instrucción adicional o alternativa, incluido elcosto (si lo hubiera) que conlleve cumplirla. Dell no será responsable de determinar si las instrucciones del Cliente cumplen con la legislación aplicable. No obstante, si Dell considera que alguna de las instrucciones del Cliente vulnera la Legislación sobre Privacidad aplicable, Dell estará obligado a comunicárselo lo antes posible y no estará obligado a cumplirla. Que sin perjuicio de lo anterior, Dell y sus Subencargados del Tratamiento no asumen ninguna responsabilidad por reclamaciones realizadas por el Cliente o cualquier tercero con motivo de cualquier acción u omisión de Dell y / o Subencargados del Tratamiento, que tenga su origen en el cumplimiento de las instrucciones del Cliente.
2.3 Detalles del Tratamiento
Los detalles del objeto del Tratamiento, así como su duración, naturaleza y finalidad, además del tipo de Datos personales y los interesados, se especifican en el Contrato y en el Anexo 1.
2.4 Cumplimiento
El Cliente y Dell acuerdan cumplir con sus respectivas obligaciones en virtud de la Legislación sobre Privacidad aplicable a los Datos Personales cuyo Tratamiento se lleva a cabo en relación con los Servicios Cloud. El Cliente es el único responsable de cumplir la Legislación sobre Privacidad en lo relativo a la legalidad del Tratamiento de Datos Personales antes de divulgar, transmitir o disponer de otra forma cualesquiera Datos Personales a Dell.
3. Subencargados del Tratamiento
3.1 Uso de Subencargados del Tratamiento
Dell podrá emplear a Subencargados del Tratamiento, con el consentimiento por escrito (general o específico) del Cliente. El Cliente acepta que Dell podrá nombrar y emplear a diferentes Subencargados del Tratamiento de los Datos Personales en relación con los Servicios Cloud prestados, con quienes Dell celebrará un contrato por escrito en el que se impondrán las obligaciones que sean: (i) relevantes para los servicios que deberán prestar los Subencargados del Tratamiento y (ii) sustancialmente similares a los derechos u obligaciones impuestos a Dell en virtud de este CSO DPA. Los Subencargados del Tratamiento podrán ser terceros o miembros del grupo de empresas Dell. En caso de que un Subencargado del Tratamiento no cumpla con sus obligaciones respecto de a protección de datos tal como se ha especificado anteriormente, Dell se hará responsable con respecto al Cliente de cumplir con las obligaciones del Subencargado del Tratamiento.
3.2 Lista de Subencargados del Tratamiento
Hay disponible una lista de Subencargados del Tratamiento que Dell podrá involucrar para asistir en la prestación de los Servicios Cloud en xxx.xxxx.xxx/xxxxxxxxxxxxx.
4. Seguridad
4.1 Medidas de seguridad técnicas y organizativas.
Dell deberá implementar las medidas técnicas y organizativas adecuadas para garantizar que la seguridad, la confidencialidad, la integridad, la disponibilidad y la resiliencia de los servicios Cloud y los sistemas de tratamiento empleados en el Tratamiento de Datos Personales son proporcionales al riesgo que corren dichos Datos Personales, teniendo en cuenta los estándares del sector y los costos de implementación, así como la naturaleza, el alcance, el contexto y los fines del Tratamiento o cualquier otra circunstancia pertinente y relativa a éste en los sistemas de Dell. El Cliente acuerda que las medidas de seguridad técnicas y organizativas descritas en el Contrato permiten establecer un nivel adecuado de seguridad para la protección de los Datos Personales que cumpla los requisitos de esta cláusula. Dell se compromete periódicamente a (i) probar y supervisar la eficacia de las medidas, los controles, los sistemas y los procedimientos, e (ii) identificar los riesgos internos y externos que sean razonablemente previsibles para la seguridad, la confidencialidad y la integridad de los Datos Personales. El Cliente es responsable de implementar, configurar y realizar un mantenimiento de las medidas de privacidad y seguridad con respecto a los servicios y
productos que el Clientepresta o controla.
4.2 Progreso técnico
Las Medidas de seguridad de la información CSO están sujetas al desarrollo y progreso técnico. Asimismo, Dell podrá modificarlas siempre y cuando dichas modificaciones no degraden la seguridad general de los Servicios Cloud prestadosen virtud del Contrato.
4.3 Acceso
Dell deberá asegurarse de que las personas autorizadas a acceder a los Datos Personales (i) están sujetas a un compromiso de confidencialidad o están obligadas, en virtud de una obligación legal adecuada, a mantener la confidencialidad, y que (ii) acceden a los Datos Personales únicamente de conformidad con las instrucciones documentadas por Dell, a menos que deban hacerlo en virtud de la legislación aplicable.
5. Violación de la Seguridad de los Datos Personales
Dell notificará al Cliente, sin demora injustificada, si tiene conocimiento de que se ha producido una Violación de la Seguridad de los Datos Personales en relación con los Servicios Cloud prestados por Dell en virtud del Contrato. Asimismo, empleará todos sus esfuerzos razonables para ayudar al Cliente a mitigar, los efectos negativos detoda Violación de la Seguridad de los Datos Personales, siempre que sea posible.
6. Transferencia internacional
7. Eliminación de Datos Personales
Una vez finalizada la prestación de Servicios Cloud (por cualquier motivo), las partes acuerdan respetar el mecanismode eliminación de datos, tal como queda establecido en el Contrato.
8. Cooperación
8.1 Solicitudes de los interesados
Dell informará sin demora al Cliente sobre cualquier solicitud que reciba de personas que ejerzan sus derechos en calidad de interesados, en virtud de la Legislación sobre Privacidad. El Cliente será el responsable de responder a dichas solicitudes. En la medida en que sea razonable, Dell asistirá al Cliente para responder a las solicitudes de interesados, siempre y cuando el Cliente no pueda acceder a los Datos Personales relevantes en el uso de los Servicios Cloud. Dell se reserva el derecho a cobrar un importe al Cliente por dicha asistencia, si sucosto supera un importe nominal.
8.2 Solicitudes de terceros
En caso de que, por orden o resolución judicial, medida institucional u otro requerimiento legal o normativo, Dell deba revelar el Contenido de cualesquiera de sus Clientes, Dell deberá enviar una notificación a dichos Clientes, así como una copia del requerimiento en cuanto sea posible, a menos que Dell tenga prohibido hacerlo en virtud de la legislación aplicable. En caso de que el Cliente lo solicite, Dell, a cargo y cuenta del Cliente, tomará las medidas razonables para impugnar todo requerimiento de divulgación de datos.
8.3 Evaluación de impacto relativa a la privacidad y consultas previas
En la medida en que lo exija la Legislación sobre Privacidad, Dell deberá prestar asistencia razonable al Cliente para llevar a cabo una evaluación de impacto relativa a la protección de datos en relación con el Tratamiento de Datos Personales desarrollado por Dell, o vinculada a consultas de las autoridades de control. Dell se reserva el derecho a cobrar al Cliente una tarifa razonable por prestar dicha colaboración y asistencia.
9. Demostración del cumplimiento normativo
En caso de que el Cliente solicite una auditoría, Dell acuerda proporcionar el cuestionario sobre Recopilación de información estandarizada ("SIG", por sus siglas en inglés) (en adelante, el "Cuestionario sobre seguridad")
relacionado con las prácticas en materia de seguridad y la postura de la empresa Dell. El cuestionario sobre seguridad se revisa una vez al año, a partir de las políticas y reglas de Dell. Asimismo, se actualiza con las correspondientes normas reglamentarias y de privacidad vigentes en EE. UU. y a nivel internacional como, por ejemplo, la norma NIST 800-53r4, la norma NIST CSF 1.1, la CIS Top 20 o la ISO 27001, cuando sean de aplicación. En la medida en que los requisitos de auditoría del Cliente, en virtud de las Cláusulas Tipo o la Legislación sobre Privacidad aplicable, no puedan satisfacerse razonablemente mediante el cuestionario de seguridad, ni con la documentación o con la información sobre cumplimiento que Dell en general pone a disposición de sus clientes, Dell responderá inmediatamente a las instrucciones del Cliente sobre una auditoría adicional. Previamente al inicio de una auditoría, el Cliente y Dell acordarán mutuamente el alcance de la misma, así como los plazos, la duración, los requisitos probatorios y de control y las tarifas de la auditoría, siempre y cuando este requisito de establecer mutuamente estos parámetros no provoque que Dell sufra un retraso excesivo en la realización de la auditoría. En la medida en que sea necesario para llevar a cabo la auditoría, Dell pondrá a disposición del Cliente los correspondientes sistemas de tratamiento, instalaciones y documentación de apoyo en relación con el Tratamiento de los Datos Personales. Dicha auditoría deberá llevarla a cabo una empresa de auditoría externa acreditada e independiente, durante el horario laboral habitual, habiendo cumplido con el razonable preaviso a Dell y de conformidad con los procedimientos de confidencialidad razonables. Ni el Cliente, ni la empresa de auditoría, tendrán acceso a los datos de ningún otro cliente de Dell, como tampoco a los sistemas o instalaciones de Dell que no se empleen en la prestación de los Servicios Cloud. El Cliente asumirá todos los costos y tarifas relativos a dicha auditoría, incluidos todos los costos y tarifas razonables en concepto del tiempo que invierta Dell en dicha auditoría, además de las tarifas por los servicios prestados por Dell. En caso de que el informe de la auditoría generado como resultado de la auditoría solicitada por el Cliente, incluya la existencia de incumplimientos sustanciales, el Cliente compartirá dicho informe con Dell, quien deberá subsanar inmediatamente todo incumplimiento sustancial.
10. Ley de Privacidad del Consumidor de California (CCPA)
En caso de que Dell realice el Tratamiento de Datos Personales en el marco de la Ley de Privacidad del Consumidor de California (CCPA), lo hará en nombre del Cliente y no conservará, empleará ni divulgará dichos Datos Personales con ningún otro fin que los dispuestos en el CSO DPA, según queda autorizado en virtudde la CCPA. Queda terminantemente prohibida la venta de Datos Personales por parte de Dell.
Anexo 1
Descripción del tratamiento de datos
1. Objeto y duración del Tratamiento
El objeto y duración del Tratamiento son aquellos estipulados con arreglo al Contrato.
2. Finalidad del Tratamiento
Los Datos Personales se procesarán con la finalidad de prestar Servicios Cloud, según corresponda y se definan porlos niveles de servicio y las opciones de soporte seleccionadas. El Contrato y las descripciones de Servicio Cloud (“Descripciones de Servicio”) y declaraciones de trabajo que correspondan serán aplicables a los específicos y posibles servicios adicionales.
3. Naturaleza del Tratamiento
La naturaleza de los Datos Personales procesados se describe en las Descripciones de Servicio y declaraciones de trabajo correspondientes.
4. Categorías de interesados
Los titulares de los datos son usuarios finales del Cliente, empleados, contratistas, proveedores y otros terceros relevantes para los Servicios Cloud.
5. Tipos de Datos Personales
El tipo de Datos Personales que pueden ser enviados por el Cliente son descritos en las Descripciones de Servicio y declaraciones de trabajo correspondientes. A menos que se establezca lo contrario, Dell no procesa Categorías Especiales de Datos, y el Cliente deberá no proporcionar Categorías Especiales de Datos, Información de Salud personal u otros Datos Personales similares.