ACUERDO DE TRATAMIENTO DE DATOS
ACUERDO DE TRATAMIENTO DE DATOS
Este Acuerdo de Tratamiento de Datos (“ATD”) representa el acuerdo de las partes con respecto a los términos que rigen el Tratamiento de los Datos Personales del Cliente en virtud de cualquier Contrato o acuerdo maestro escrito aplicable con Dynatrace que rija el uso de los Servicios de Dynatrace por parte del Cliente (“Contrato”) y cualquier Formulario de Pedido relacionado y Declaraciones de trabajo/SOW (colectivamente, el “Acuerdo”). Este ATD es efectivo a partir de la fecha en que ha sido firmado por ambas partes (“Fecha Efectiva”).
Al momento de firma del presente ATD, Dynatrace ejecuta el mismo, el cual rige el Tratamiento de Datos Personales para el Cliente por parte del Grupo Dynatrace.
Este ATD se encuentra sujeto a los términos de, e incorpora en su totalidad como parte del mismo, del Contrato. Este ATD reemplaza cualquier acuerdo de tratamiento de datos existente a menos que se indique lo contrario de forma expresa en el presente. En el caso de que exista algún conflicto entre este ATD y cualquier otra cláusula del Contrato con respecto a Datos Personales, este ATD prevalecerá y aplicará respecto a la materia aquí regulada. Cualquier ATD que se haya ejecutado para un Acceso Gratuito o cualquier otro tipo de Uso Gratuito será únicamente aplicable durante la duración del Acceso o Uso Gratuito.
1. Definiciones. Los términos en mayúsculas aquí utilizados, pero que no estén definidos en este ATD, tendrán el mismo significado que el establecido en el Contrato.
1.1 Para efectos de este ATD:
(a) “Filial o Filiales” es una entidad que controla, es controlada por otra entidad, o que está bajo control común con otra, en que el término “control” se refiere a la propiedad o al derecho a controlar más del 50 % de las acciones o valores en circulación, lo que representa el derecho a voto en la elección de directores u otra autoridad de gestión de otra entidad.
(b) “Ley de Protección de Datos” se refiere a todas las leyes y reglamentos de protección de datos aplicables al Tratamiento de los Datos Personales del Cliente en virtud del Acuerdo, incluidas, en caso que sea aplicable, la Ley Europea de Protección de Datos y la Ley de Protección de Datos No Europea.
(c) “Ley Europea de Protección de Datos” corresponde a todas las leyes y reglamentos de protección de datos aplicables en Europa, incluidos: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (“RGPD”); (ii) la Directiva 2002/58/CE relativa al Tratamiento de los datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas (“Directiva ePrivacy”); (iii) el Acto Federal Suizo sobre protección de Datos de 19 xx Xxxxx de 1992 (SR 235.1); y, (iv) la Regulación General de Protección de Datos del Reino Unido, tal cual forma parte de la ley de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 del Acto (de Retiro) de la Unión Europea de 2018.
(d) “Ley de Protección de Datos No Europea” significa aquellas leyes y reglamentos de protección de datos alrededor del mundo que no sean aquellas leyes aplicables en Europa, incluidas, de forma enunciativa mas no limitativa:(i) la Ley General de Protección de Datos de Brasil (“LGPD”); (ii) la Ley de Protección de Información Personal de China (“LPIP”); (iii) la Ley de Privacidad del Consumidor de California (“CCPA”, por sus siglas en inglés) y el Acto de Privacidad del Consumidor de Utah (“UCPA”, por sus siglas en ingles); y, (iv) cuando estén vigentes, la Ley de Privacidad de Colorado (“CPA”, por sus siglas en inglés) y la Ley de Protección de Datos del Consumidor de Virginia (“VCDPA”, por sus siglas en inglés).
(e) “Cliente” corresponde a la parte que no es Dynatrace que ha firmado tanto el Acuerdo (o un pedido en virtud del Acuerdo) como este ATD, así como cualquier Filial de la parte que no es Dynatrace y que haya firmado algún Formulario de Pedido en virtud del Acuerdo y cualquier entidad del Cliente cuyos empleados o agentes tengan acceso a los Servicios como Usuario Autorizado.
(f) “Datos del Cliente” corresponde a cualquier dato enviado, almacenado, publicado, exhibido o transmitido de cualquier otra forma por el Cliente o en su nombre durante el uso de los Servicios, incluidos todos los Datos Personales del Cliente.
(g) “Datos Personales del Cliente” corresponde a cualquier Dato Personal que es propiedad del Cliente o es controlado por este y que es proporcionado por el Cliente o en su nombre a Dynatrace en relación con los Servicios.
(h) “Dynatrace” es la entidad de Dynatrace que firma este ATD.
(i) “Europa” corresponde a la Unión Europea, el Espacio Económico Europeo o sus estados miembros, Suiza y el Xxxxx Unido.
(j) “Incidente de Seguridad” corresponde a cualquier destrucción, pérdida, alteración o divulgación accidental, no autorizada o ilegal de los Datos Personales del Cliente, o el acceso a los mismos.
(k) “Servicios” corresponde a los servicios prestados por Dynatrace al Cliente en virtud del Acuerdo.
(l) “Datos de Categoría Especial” significa el número de identificación nacional (por ejemplo, cédula o el número de Seguridad Social); información médica o de salud; información relacionada con la raza, nacionalidad, religión o creencias filosóficas; información relacionada con la afiliación sindical; información relacionada con antecedentes penales o acusaciones de actividad criminal; información genética o biométrica; a cualquier otro tipo de información similar designada como objeto de una mayor protección bajo la Ley de Protección de Datos.
(m) “Cláusulas Contractuales Tipo” son las Cláusulas Contractuales Tipo promulgadas por la Decisión 2021/914/UE de la Comisión de la Unión Europea incorporadas en este documento por referencia.
(n) “Subencargado” corresponde a cualquier tercero (incluida cualquier Filial de Dynatrace) contratado por Dynatrace para tratar los Datos Personales del Cliente en nombre del Cliente o que puede recibir los Datos Personales del Cliente por los Servicios conforme a los términos del Acuerdo.
(o) “Subsidiaria” es aquella subsidiaria cuya propiedad de una parte es superior al cincuenta por ciento (50 %).
(p) “Adenda del Reino Unido (UK)” significa la Adenda a las Cláusulas Contractuales de Transferencia Internacional de Datos de la Comisión de la Unidad Europea emitida por la oficina del Comisionado de la Información del Reino Unido bajo el Acto de Protección de Datos S119A(1) de 2019 adjunto al presente como Anexo D.
(q) Los términos “Responsable del Tratamiento”, “Interesado”, “Datos Personales”, “Encargado” y “Tratamiento]” tienen el significado que se les atribuye en la Ley de Protección de Datos aplicable.
2.1 Aplicabilidad. Este ATD se aplica si Dynatrace trata los Datos Personales del Cliente que están sujetos a la Ley de Protección de Datos aplicable.
2.2 Cambios en la Ley Aplicable. En el caso de alguna comunicación de un regulador, o si hay una nueva orientación, regulación, o un cambio en la ley aplicable relativa a la protección de datos y privacidad, incluida la Ley de Protección de Datos aplicable, que hace que la totalidad o parte del ATD sea inválida, ilegal, inaplicable, o de otra manera deficiente a la luz de dicha orientación, regulación o cambio, Dynatrace puede notificar al Cliente las modificaciones de este ATD que razonablemente considere necesarias para que el ATD cumpla con la normativa correspondiente.
2.3 Funciones de las Partes. En la medida en que sea aplicable bajo la Ley Europea de Protección de Datos o la Ley de Protección de Datos No Europea, el Cliente, como Responsable del Tratamiento, nombra a Dynatrace como Encargado para tratar los Datos Personales del Cliente en nombre del Cliente. En algunas circunstancias, el Cliente puede ser un Encargado, en cuyo caso el Cliente nombra a Dynatrace como subencargado del Cliente, lo que no cambiará las obligaciones del Cliente o de Dynatrace bajo este ATD, ya que Dynatrace seguirá siendo un Encargado con respecto al Cliente. En tal caso, Dynatrace y el Cliente deberán formalizar el Módulo 3 de las Cláusulas Contractuales Tipo.
3. Detalles del Tratamiento
3.1 El objeto, la naturaleza, el propósito y la duración del Tratamiento, así como los tipos de Datos Personales recogidos y las categorías de interesados, se describen en el Anexo A de este ATD. El Cliente reconoce que Xxxxxxxxx no tiene conocimiento de los datos reales o tipos de Datos Personales contenidos en los Datos del Cliente. Las partes acuerdan que las instrucciones completas del Cliente con respecto a la naturaleza y los propósitos del Tratamiento relacionado con los Servicios se establecen en el Acuerdo y en este ATD. Cualquier Dato del Cliente que quede fuera del ámbito de estas instrucciones será tratado como Información confidencial. En caso de que surja algún conflicto entre los términos del Acuerdo o este ATD, los términos de este ATD prevalecerán con respecto al Tratamiento de los Datos Personales del Cliente.
3.2 Dynatrace informará al Cliente si, en su opinión razonable, las instrucciones de Tratamiento del Cliente son susceptibles de infringir alguna Ley de Protección de Datos aplicable; en tal caso, Dynatrace tiene el derecho a rechazar el Tratamiento de los Datos Personales del Cliente que considere que infringen alguna Ley de Protección de Datos aplicable hasta que el Cliente modifique sus instrucciones para no infringirla. El Cliente no dependerá de dicha notificación y buscará su propio asesoramiento legal independiente si desea determinar si alguna instrucción recibida por Dynatrace y que Dynatrace considere una infracción es, de hecho, una infracción o puede serlo.
3.3 El Cliente solo proporcionará a Dynatrace aquellos Datos Personales del Cliente que sean necesarios para que Dynatrace pueda cumplir con sus obligaciones en virtud del Acuerdo. El Cliente reconoce además que los Servicios no requieren el tratamiento de ningún Dato de Categoría Especial; por lo tanto, bajo ninguna circunstancia el Cliente cargará o proporcionará a Dynatrace Datos de Categoría Especial. Para evitar dudas, nada de lo aquí expuesto se interpretará como una autorización al Cliente para que cargue o proporcione de algún otro modo a Dynatrace Información Restringida, tal y como se define en la Sección 1.25 del Acuerdo Maestro de Suscripción de Dynatrace que se encuentra en xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx.
4. Responsabilidades del Cliente.
4.1 El Cliente, como Responsable del Tratamiento, será responsable de garantizar que, en relación con los Datos Personales del Cliente y los Servicios:
(a) ha cumplido, y continuará cumpliendo, con toda Ley de Protección de Datos aplicable, y si cualquier Ley de Protección de Datos aplicable requiere que un Sujeto de Datos reciba una notificación o proporcione su consentimiento para el Tratamiento o transferencia de sus Datos Personales del Cliente a Dynatrace, el Cliente proporcionará dicha notificación y, cuando sea aplicable, obtendrá dicho consentimiento válido de los interesados aplicables; y
(b) tiene, y continuará teniendo, autoridad para proporcionar los Datos Personales del Cliente a Dynatrace para el Tratamiento en la forma contemplada en el Acuerdo y en este ATD.
4.2 Si el Cliente es un encargado de tratamiento que actúa en nombre de un tercero Responsable del tratamiento, el Cliente garantiza a Dynatrace que las instrucciones y acciones del Cliente con respecto a esos Datos Personales del Cliente, incluido su designación de Dynatrace como Subencargado, han sido autorizadas por el Responsable del Tratamiento correspondiente.
4.3 El Cliente informará a sus interesados como se exige legalmente con respecto a su uso de Encargados para tratar los Datos Personales del Cliente, incluida Dynatrace.
5. Confidencialidad
5.1 Dynatrace se asegurará de que toda persona a la que autorice a tratar los Datos Personales del Cliente
6. Seguridad
6.1 Medidas de Seguridad. Teniendo en cuenta la tecnología de última generación, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del Tratamiento, así como el riesgo de probabilidad y gravedad variable para los derechos y libertades de las personas físicas, Dynatrace ha implementado y mantendrá las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del Tratamiento de los Datos Personales del Cliente (“Medidas de Seguridad”). El Cliente acepta que la implementación por parte de Dynatrace de las Medidas de Seguridad identificadas en el Anexo B son suficientes a los efectos de cumplir con sus obligaciones en virtud de este ATD. Sin perjuicio de lo anterior, el Cliente reconoce y acepta que es responsable de su propio uso de forma segura de los Servicios.
6.2 Incidentes de Seguridad. Dynatrace notificará al Cliente sin demora indebida y a no más tardar de lo exigido a Dynatrace por la Ley de Protección de Datos aplicable, después de que tenga conocimiento de un Incidente de Seguridad que afecte a los Datos Personales del Cliente. Dynatrace iniciará rápidamente una investigación sobre las circunstancias que rodean el Incidente de Seguridad y pondrá sus resultados a disposición del Cliente. A petición del Cliente y teniendo en cuenta la naturaleza del Tratamiento y la información de la que dispone Dynatrace, Dynatrace tomará medidas comercialmente razonables para ayudar al Cliente en el cumplimiento de sus obligaciones, de modo que permita al Cliente notificar los Incidentes de Seguridad pertinentes a las autoridades competentes o a los interesados afectados, en el caso de que el Cliente esté obligado a hacerlo en virtud de la Ley de Protección de Datos aplicable. La, o las notificaciones de Incidentes de Seguridad serán entregadas a uno o más de los administradores del Cliente por cualquier medio que Dynatrace seleccione, incluido el correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que sus administradores del Cliente mantengan la información de contacto actualizada en el portal en línea o como lo requiera Dynatrace en una notificación por escrito al o los administradores del Cliente. La obligación de Dynatrace de informar o responder a un Incidente de Seguridad bajo esta Sección no es reconocimiento por parte de Dynatrace de culpa o responsabilidad con respecto al Incidente de Seguridad. El Cliente debe notificar a Dynatrace con prontitud sobre cualquier posible uso indebido de sus cuentas o credenciales de autenticación o cualquier incidente de seguridad relacionado con los Servicios.
7. Subtratamiento de los datos
7.1 El Cliente acepta que Xxxxxxxxx puede contratar Subencargados, incluyendo a miembros del Grupo Dynatrace, para tratar los Datos del Cliente en nombre de este. Dynatrace mantendrá una lista actualizada en xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx/ de todos los Subencargados utilizados en la prestación de los Servicios que puedan tratar: (a) Datos del Cliente (que pueden contener Datos Personales del Cliente), u, (b) otros Datos Personales del Cliente recibidos por Dynatrace del Cliente por los Servicios prestados en virtud del Acuerdo (“Lista de Subencargados”). En la Fecha Efectiva, el Cliente concede su autorización general para designar a los Subencargados de la Lista de Subencargados para que asistan al grupo Dynatrace en la prestación de los Servicios por medio del Tratamiento de los Datos Personales del Cliente de acuerdo con este ATD.
7.2 Antes de agregar o modificar algún Subencargado, Dynatrace notificará al Cliente, notificación que puede incluir la actualización de la Lista de Subencargado en la Sección 7.1 del sitio web, con no menos de 30 días de anticipación a la fecha en que el Subencargadgo comenzará el Tratamiento de los Datos Personales del Cliente. Dynatrace pondrá a disposición del Cliente algún medio por el cual el Cliente podra suscribirse para recibir notificaciones de cambios en la Lista de Subencargados (que puede incluir, sin limitación, el suministro de un alimentador RSS).
7.3 Si el Cliente se opone al Tratamiento de los Datos Personales del Cliente por parte de algún Subencargados recién designado, como se describe en la Sección 7.2 (por motivos razonables), deberá informar a Dynatrace por escrito dentro de los 15 días siguientes a la notificación proporcionada por Dynatrace exponiendo las razones específicas de su objeción. El Cliente no deberá objetar injustificadamente a algún cambio previsto de algún Subencargados. En el caso de que el
Cliente se oponga dentro de dicho plazo por motivos razonables relacionados con la protección de los Datos Personales del Cliente, las partes trabajarán juntas de buena fe para abordar las objeciones razonables del Cliente y, a partir de ahí, procederán a utilizar el Subencargado para realizar dicho Tratamiento. Si no es posible llegar a un acuerdo entre las partes para utilizar el nuevo Subencargado dentro de los veinte (20) días siguientes a la objeción, Dynatrace deberá, a elección de Dynatrace: (a) instruir al Subencargado para que no procese los Datos Personales del Cliente, lo que puede tener como resultado que una característica del Servicio sea suspendida y no esté disponible para el Cliente, o (b) permitir que el Cliente rescinda este ATD y el Acuerdo con un aviso de tres meses, y Dynatrace reembolsará rápidamente una porción prorrateada de cualquier tarifa prepagada para el período posterior a dicha fecha de suspensión o rescisión. Si Dynatrace no recibe objeción alguna dentro del período especificado anteriormente, se considerará que el Cliente ha aprobado el uso del nuevo Subencargado.
7.4 Dynatrace deberá: (i) celebrar un acuerdo escrito con cada Subencargado, que contenga obligaciones de protección de datos y proporcionen al menos el mismo nivel de protección para los Datos del Cliente que los de este ATD, en la medida aplicable a la naturaleza del servicio prestado por dicho Subencargado ; y (ii) seguir siendo responsable del cumplimiento de las obligaciones de este ATD por parte de dicho Subencargado y de cualquier acto u omisión de dicho Subencargado que haga que Dynatrace incumpla cualquiera de sus obligaciones en virtud de este ATD.
8. Eliminación o devolución de los Datos del Cliente
8.1 Tras la rescisión o el vencimiento del Acuerdo, y a petición del Cliente, Dynatrace devolverá o eliminará los Datos Personales del Cliente que han sido tratados en nombre del Cliente, excepto cuando sea necesario retenerlos por exigencias la ley aplicable, o en la medida en que estén archivados en sistemas de copia de seguridad, en cuyo caso los términos de este ATD seguirán vigentes.
9. Transferencia Internacional de Datos
9.1 El Cliente autoriza a Dynatrace y a sus Subencargados a transferir Datos del Cliente a través de fronteras internacionales, incluidos, entre otros, el EEE, el Xxxxx Unido y los Estados Unidos. Las partes acuerdan que las Cláusulas Contractuales Tipo se incorporan por la presente como referencia en este DPA de la siguiente manera El Cliente autoriza a Dynatrace y a sus Subencargados a transferir Datos del Cliente a través de fronteras internacionales, incluidos, entre otros, el EEE, el Xxxxx Unido y los Estados Unidos. Las partes acuerdan que las Cláusulas Contractuales Tipo se incorporan por la presente como referencia en este DPA de la siguiente manera. Cuando la transferencia de Datos Personales del Cliente del Cliente ("Exportador de Datos") a Dynatrace ("Importador de Datos") es una transferencia restringida y las Leyes de Protección de Datos requieren que se implemente un mecanismo de transferencia válido, las transferencias estarán sujetas a las Cláusulas Contractuales Tipo.
9.2 Las Cláusulas Contractuales Tipo se completarán de la siguiente manera:
a) Se aplicará el Módulo Dos (según corresponda);
b) En la Cláusula 7 (Cláusula de incorporación), se aplicará la cláusula de incorporación opcional;
c) En la Cláusula 9 (Recurso a Subencargados), se aplicará la opción 2 “Autorización general por escrito” para los Subencargados y el período de tiempo para la notificación previa será el establecido en la sección 7.2 de este DPA;
d) En la Clausula 11 ( Reparación, el lenguaje adicional no aplica.
e) En la Cláusula 13 (Supervisión), la autoridad supervisora competente será Commission nationale de l’informatique et des libertés (CNIL).
f) En la Cláusula 17 (Ley aplicable), las Cláusulas Contractuales Tipo se regirán por la xxx xxxxxxxx;
g) En la Cláusula 18 (b) (Foro y Jurisdicción), las partes acuerdan que las disputas se resolverán ante los tribunales xx Xxxxxxx;
h) El Anexo 1 de las Cláusulas Contractuales Tipo deberá completarse con la información establecida en el Anexo A de este DPA; y
i) El Anexo 2 de las Cláusulas Contractuales Tipo se completará con la información establecida
en el Anexo B de este DPA.
j)
9.3 En la medida que la prestación de los Servicios por parte de Dynatrace implique la transferencia de Datos Personales del Cliente desde el Xxxxx Unido a un tercer país que no ofreciese un nivel de protección adecuado para los Datos Personales del Cliente, se utilizarán y completarán las Cláusulas Contractuales Tipo, como se establece en la sección 9.2 y se aplicará el Anexo del Reino Unido en el Anexo D.
10. Disposiciones varias
10.1 Salvo que sea modificado por este ATD, el Acuerdo permanecerá en pleno vigor y efecto.
10.2 En la medida en que Dynatrace trate Datos del Cliente originados y protegidos por la Ley de Protección de Datos aplicable en una de las jurisdicciones enumeradas en el Anexo C, entonces se aplican los términos especificados en el Anexo C con respecto a la o las jurisdicciones aplicables (“Términos Suplementarios”), además de los términos de este ATD. En el caso de conflicto o ambigüedad con los demás términos de este Acuerdo, prevalecerán los Términos Complementarios.
10.3 Tras la incorporación de este ATD al Acuerdo, las partes aceptan el Módulo 2 de las Cláusulas Contractuales Tipo (donde y como sea aplicable) y todos los adjuntos, a menos que el Cliente sea un Encargado, en cuyo caso las partes formalizarán el Módulo 3 de las Cláusulas Contractuales Tipo. En el caso de conflicto o incoherencia entre este ATD y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo, si bien el Encargado podrá designar Subencargados según lo establecido en la Sección 7 de este ATD y estará sujeto a los requisitos de la misma.
10.4 Sin perjuicio de cualquier disposición contraria en el Acuerdo o en este ATD, la responsabilidad de cada parte y de todas sus Filiales, en conjunto, que surja de o esté relacionada con este ATD, con cualquier pedido o con el Acuerdo, ya sea por contrato, agravio o bajo cualquier otra teoría de responsabilidad, permanecerá sujeta a la sección de ‘Limitación de Responsabilidad’ del Acuerdo, y cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad sumada de esa parte y de todas sus Filiales en virtud del Acuerdo y del presente ATD, incluidos todos los Anexos del mismo. Dynatrace no será responsable ante el Cliente por pérdidas o daños indirectos o consecuentes, lucro cesante, pérdida de ventas, pérdida de negocios, pérdida de ahorros anticipados, pérdida o daño a la buena voluntad, o de cualquier otro modo en cada caso, ya sea directo o indirecto que surja. fuera de o en conexión con este ATD. Sin limitar ninguna de las obligaciones de las partes en virtud del Acuerdo o este ATD, el Cliente acepta que cualquier responsabilidad en la que incurra Dynatrace relacionada con los Datos Personales del Cliente que surja como resultado del incumplimiento del Cliente de sus obligaciones bajo este ATD o la Ley de Protección de Datos aplicable, o en conexión con tal incumplimiento, será contabilizado y reducirá el límite de responsabilidad de Dynatrace bajo el Acuerdo (o si corresponde, este ATD) como si fuera responsabilidad del Cliente.
10.5 Este ATD se regirá y se interpretará conforme a las disposiciones sobre legislación y jurisdicción del Acuerdo.
ANEXO A DETALLES DEL TRATAMIENTO
Descripción del exportador de datos
El exportador de datos es la entidad identificada como “Cliente” en el Acuerdo de Tratamiento de Datos vigente entre el exportador de datos y el importador de datos, al que se adjunta este Anexo.
Descripción del importador de datos
El importador de datos es la entidad identificada como “Dynatrace” en el Acuerdo de Procesamiento de Datos en pie entre el exportador de datos y el importador y al cual el presente documento esta adjunto.,
Objeto del Tratamiento
El objeto y la duración del Tratamiento son los siguientes:
Entre las partes, el Cliente será el Responsable del Tratamiento de ciertos Datos Personales del Cliente proporcionados a Dynatrace por el Cliente en relación con su uso de los Servicios.. La duración del Tratamiento será la vigencia del Acuerdo.
Propósito del Tratamiento
El Tratamiento es necesario para los siguientes propósitos:
Permitir a Dynatrace prestar los Servicios al Cliente y ejercer sus derechos y obligaciones en virtud del Acuerdo.
Interesados
Los interesados pueden incluir a: (i) los usuarios autorizados por el Cliente para utilizar los Servicios de Dynatrace y (ii) los usuarios o visitantes de las aplicaciones o sitios web monitoreados por el Cliente (incluidos, entre otros, los empleados, clientes, agentes, contratistas y asesores del Cliente) según sea determinado por entera discreción del Cliente.
Tipo de Datos Personales
El Cliente está obligado a proporcionar ciertos Datos Personales para poder utilizar los Servicios, incluida la dirección IP y el nombre y los apellidos si están incluidos en la dirección de correo electrónico y en las credenciales del usuario. El Cliente puede enviar Datos Personales adicionales a los Servicios, cuyo alcance es determinado y controlado por el Cliente a su entera discreción.
Categorías especiales de datos (si corresponde)
Los Datos Personales transferidos se refieren a las siguientes categorías especiales de datos:
No aplicable. El Cliente no podrá utilizar los Servicios para tratar datos clasificados como “Datos de Categoría Especial” o Información Restringida, a menos que se acuerde explícitamente por escrito.
Operaciones de Tratamiento
Los datos personales transferidos serán objeto de las siguientes actividades básicas de Tratamiento:
Dynatrace tratará los Datos Personales del Cliente únicamente en la medida en que sea necesario para prestar los Servicios y ejercer sus derechos y obligaciones, tal y como se recoge en los términos del Acuerdo y en este Acuerdo de Tratamiento de Datos, incluidos, entre otros, la habilitación del cliente, el soporte técnico, los servicios profesionales, la mejora del desempeño y las funciones del producto, la autenticación y comunicaciones del usuario y la administración de la cuenta.
Dynatrace (también referida aquí como el “Encargado”), implementará, como mínimo, las medidas de seguridad técnicas y organizativas descritas a continuación con respecto a los Datos Personales del Cliente que Trate en nombre del Cliente (también referido aquí como el “Responsable del Tratamiento”). Estas medidas de seguridad se aplicarán a todos los Datos Personales del Cliente que estén sujetos al acuerdo subyacente entre el Encargado y el Responsable del Tratamiento (el “Acuerdo”). En relación con los terceros subencargados que puedan realizar el tratamiento de los Datos Personales en nombre de Dynatrace, tal tercero tendrá sus propios requisitos de seguridad para proteger los Datos Personales.
Medidas técnicas
1.1 Autorización
(a) Se utilizará un sistema de autorización cuando se utilicen diferentes perfiles de autorización para distintos fines.
1.2 Identificación
(a) A cada Usuario Autorizado se le debe asignar un código de identificación personal único a tal efecto (“ID de Usuario”). Una ID de Usuario no podrá ser asignada a otra persona, ni siquiera en un momento posterior.
(b) Se mantendrá un registro actualizado de los Usuarios Autorizados, y del acceso autorizado correspondiente a cada uno, y se establecerán procedimientos de identificación y autentificación para todo acceso a los sistemas de información o para llevar a cabo cualquier Tratamiento de Datos. Tal y como se utiliza en este documento, el término “Tratamiento” se refiere a cualquier operación o conjunto de operaciones que se realicen con los Datos, ya sea por medios automatizados o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o puesta a disposición de otro modo, la alineación o combinación, la restricción, el borrado o la destrucción.
(c) Las contraseñas se modificarán periódicamente según lo establecido en las Políticas de Seguridad de la Información.
1.3 Autenticación
(a) Los Usuarios Autorizados podrán Tratar los Datos si se les proporcionan credenciales de autenticación que les permitan completar correctamente un procedimiento de autenticación relacionado con una operación de Tratamiento específica o con un conjunto de operaciones de Tratamiento.
(b) La autenticación debe basarse en una contraseña secreta asociada a la ID del Usuario, y dicha contraseña solo será conocida por el Usuario Autorizado.
(c) Xxxxx asignarse una o más credenciales de autenticación a un Usuario Autorizado, o asociarse a este.
(d) Debe existir un procedimiento para la confidencialidad e integridad de las contraseñas. Las contraseñas deben almacenarse de forma que sean ininteligibles mientras sean válidas. Debe existir un procedimiento para asignar, distribuir y almacenar las contraseñas.
(e) Las contraseñas estarán compuestas por al menos doce caracteres o, si esto no es técnicamente permitido por los sistemas de información pertinentes, una contraseña estará compuesta por el número máximo de caracteres permitido. Las contraseñas no contendrán ningún elemento que pueda relacionarse fácilmente con el Usuario Autorizado a cargo del Tratamiento y deberán cambiarse a intervalos regulares, los que deberán establecerse en el documento de seguridad. El Usuario Autorizado deberá modificar las contraseñas a un valor secreto conocido solo por el Usuario Autorizado al utilizarla por primera vez y, posteriormente, de forma periódica.
(f) Las credenciales de autenticación también se desactivarán si el Usuario Autorizado es dado de baja o transferido o si se le retira el acceso a los sistemas de información o al Tratamiento de Datos.
1.4 Controles de acceso
(a) Solo los Usuarios Autorizados tendrán acceso a los Datos, incluso cuando estén almacenados en algún medio electrónico o portátil o cuando se transmitan. Los Usuarios Autorizados solo tendrán acceso a los datos y recursos necesarios para el desempeño de sus funciones.
(b) Se utilizará un sistema para conceder a los Usuarios Autorizados el acceso a los datos y recursos designados.
(c) Se verificará semestralmente que los requisitos previos para conservar los perfiles de autorización pertinentes siguen siendo válidos. Esto puede incluir también la lista de Usuarios Autorizados elaborada por categorías homogéneas de tareas y el correspondiente perfil de autorización.
(d) Se establecerán medidas para evitar que un usuario acceda a los sistemas de información o los utilice sin autorización. En particular, deberán instalarse sistemas de detección de intrusos que reflejen las mejores prácticas del sector para proteger los sistemas de información de accesos no autorizados.
(e) Los controles de acceso al sistema operativo o a la base de datos deben estar correctamente configurados para garantizar que solo se pueda acceder a ellos con autorización.
(f) Solo el personal autorizado podrá conceder, modificar o cancelar el acceso de los usuarios a los sistemas de información.
1.5 Gestión de los sistemas informáticos y de los medios extraíbles
(a) Los sistemas de información de la red y los medios físicos que almacenan datos deben estar hospedados en un entorno seguro con acceso físico restringido al personal que esté autorizado a tener dicho acceso. Deben mantenerse fuertes controles de autorización y acceso.
(b) Se revisará anualmente el software, el firmware y el hardware utilizados en los sistemas de información para detectar vulnerabilidades y fallas en los sistemas de información y resolverlos.
(c) Se establecerán políticas y capacitaciones orientadas a la conservación y el uso de los medios en los que se almacenan los datos, con el fin de evitar el acceso y el Tratamiento no autorizados.
(d) Cuando los medios estén próximos a eliminarse o reutilizarse, se tomarán las medidas necesarias para impedir cualquier recuperación posterior de los Datos y demás información previamente almacenada en ellos, o para que la información sea inteligible o pueda ser reconstruida por cualquier medio técnico antes de que se retiren del inventario. Todos los medios reutilizables que se utilizan para el almacenamiento de Datos se sobrescribirán un mínimo de tres veces con datos aleatorios antes de que se den de baja o se reutilicen.
(e) La eliminación de los medios que contengan Datos de las instalaciones designadas debe ser autorizada específicamente por el Responsable del Tratamiento y cumplir con las políticas de Dynatrace.
(f) Los medios que contengan Datos deben ser borrados o convertidos en ilegibles si ya no se utilizan y antes de darlos de baja correctamente.
1.6 Distribución o transmisión
(a) Los Datos solo deben estar disponibles para los Usuarios Autorizados.
(b) Deberá utilizarse un cifrado (de 128 bits o más) u otra forma de protección equivalente para proteger los Datos que se transmitan electrónicamente por medio de una red pública o se almacenen en un dispositivo portátil, o cuando sea necesario almacenar o Procesar los Datos en un entorno físicamente inseguro.
(c) Cuando los Datos deban salir de las instalaciones designadas como resultado de operaciones de mantenimiento, se tomarán las medidas necesarias para impedir cualquier recuperación no autorizada de los Datos y otra información almacenada en ellas.
(d) Cuando los Datos se transmitan o transfieran por medio de una red de comunicaciones electrónicas, se establecerán medidas para controlar el flujo de datos y registrar el momento de la transmisión o transferencia, los Datos transmitidos o transferidos, el destino de cualquier Dato transmitido o transferido y los detalles del Usuario Autorizado que realiza la transmisión o transferencia.
1.7 Conservación, copias de seguridad y recuperación
(a) Deberán definirse y establecerse procedimientos para la realización de copias de seguridad y para la recuperación de Datos. Estos procedimientos deberán reconstruirse en el estado en que se encontraban en el momento de su pérdida o destrucción.
(b) Las copias de seguridad deben realizarse al menos una vez a la semana, a menos que no se haya actualizado ningún Dato durante ese periodo.
(c) Una copia de seguridad y los procedimientos de recuperación de datos deben mantenerse en un lugar diferente de la ubicación de los sistemas de información que Procesan los Datos y estos requisitos mínimos de seguridad se aplicarán a dichas copias de seguridad.
1.8 Antivirus y detección de intrusos
(a) Deberán instalarse un software antivirus y sistemas de detección de intrusos en los sistemas de información para protegerlos contra ataques u otros actos no autorizados en relación con los sistemas de información. El software antivirus y los sistemas de detección de intrusos deben actualizarse regularmente, conforme a las mejores prácticas del sector para los sistemas de información en cuestión (y al menos anualmente).
1.9 Pruebas
(a) En las pruebas previas a la implantación o modificación de los sistemas de información que Procesan Datos no se utilizarán datos reales o “vivos”, a menos que dicho uso sea necesario y no exista una alternativa razonable. Cuando se utilicen datos reales o “vivos”, estos se limitarán a la medida necesaria para los fines de las pruebas y deberá garantizarse el nivel de seguridad correspondiente al tipo de datos tratados.
1.10 Auditoría
(a) Deberán realizarse auditorías periódicas del cumplimiento de estos requisitos de seguridad, al menos una vez al año.
(b) Los resultados deben proporcionar un dictamen sobre el grado de cumplimiento de estos requisitos de seguridad por parte de las medidas y controles de seguridad adoptados, identificar las posibles deficiencias y (si las hay) proponer las medidas correctoras o complementarias que sean necesarias. También deben incluir los datos, hechos y observaciones en los que se basan los dictámenes, así como las recomendaciones propuestas.
2. Medidas organizativas
2.1 Plan y documento de seguridad
(a) Las medidas que se adoptan para cumplir con estos requisitos de seguridad serán objeto de las Políticas de Seguridad de la Información de la Empresa y se recogerán en un portal de seguridad, que se mantendrá actualizado y se revisará siempre que se produzcan cambios relevantes en el o los sistemas de información o en las medidas técnicas u organizativas.
(b) Las Políticas de Seguridad de la Información deberán abordar:
(i) Las medidas de seguridad relativas a la modificación y el mantenimiento del o los sistemas utilizados para el Tratamiento de Datos, incluido el desarrollo y el mantenimiento de aplicaciones, el soporte de proveedores adecuado y un inventario de hardware y software;
(ii) La seguridad física, incluida la seguridad de los edificios o instalaciones donde se realiza el Tratamiento de Datos, la seguridad de los equipos de datos y de la infraestructura de telecomunicaciones y los controles ambientales; y
(iii) La seguridad de las computadoras y sistemas de telecomunicaciones, incluidos los procedimientos de gestión de las copias de seguridad, los procedimientos relativos a los virus informáticos, los procedimientos de gestión de las señales/códigos, la seguridad de la implementación de software, la seguridad relativa a las bases de datos, la seguridad de la conexión de los sistemas a Internet, la inspección de la evasión de los sistemas de datos, los mecanismos de contabilización de los intentos de violación de la seguridad del sistema o de acceso no autorizado.
(c) El plan de seguridad deberá incluir todas las políticas de Dynatrace, en la medida en que se actualicen, entre otras:
(i) Código de conducta y ética empresarial
(ii) Política global de protección de datos
(iii) Política de uso aceptable de recursos de TI de Dynatrace
(iv) Políticas de seguridad del sistema:
• Política de cifrado de Dynatrace
• Política de acceso a la red de Dynatrace
• Política de seguridad física de Dynatrace
• Política de contraseñas de cuentas de red de Dynatrace
• Política de devolución de activos de empleados despedidos de Dynatrace
• Política de seguridad de Dynatrace
• Política de capacitación en seguridad de Dynatrace
• Política de gestión de vulnerabilidades de Dynatrace
• Política de seguridad de la estación de trabajo de Dynatrace
(d) El plan de seguridad estará disponible para el personal que tenga acceso a los Datos y a los sistemas de información y debe cubrir como mínimo los siguientes aspectos:
(i) El alcance, con una especificación detallada de los recursos protegidos;
(ii) Las medidas, estándares, procedimientos, códigos de conducta y normas para garantizar la seguridad, incluido el control, la inspección y la supervisión de los sistemas de información;
(iii) Los procedimientos para informar, gestionar y responder a los incidentes; y
(iv) Los procedimientos para realizar copias de seguridad y recuperar los Datos, incluido el miembro del personal que realizó la actividad de Tratamiento, los Datos restaurados y, si corresponde, qué datos tuvieron que ser introducidos manualmente en el proceso de recuperación.
2.2 Funciones y obligaciones del personal
(a) Solo los miembros del personal que tengan una necesidad operativa legítima de acceder a los sistemas de información o de llevar a cabo cualquier Tratamiento de Datos estarán autorizados a hacerlo (“Usuarios Autorizados”).
(b) Se adoptarán las medidas necesarias para capacitar y familiarizar al personal con respecto a estos requisitos mínimos de seguridad, a las políticas pertinentes y a la legislación aplicable relacionada con el desempeño de sus funciones y obligaciones en el Tratamiento de Datos y a las consecuencias de cualquier incumplimiento de estos requisitos.
(c) Las funciones y obligaciones del personal que tenga acceso a los Datos y a los sistemas de información deberán estar claramente definidas en las funciones de seguridad de la aplicación.
(d) Se instruirá a los Usuarios Autorizados en el sentido de que los equipos electrónicos no deben quedar desatendidos ni ser accesibles durante las sesiones de Tratamiento. El acceso físico a las áreas en las que se almacenan los Datos estará restringido a los Usuarios Autorizados. Las medidas disciplinarias en el caso de incumplimiento del plan de seguridad se definirán y documentarán claramente y se comunicarán al personal.
2.3 Encargado de Seguridad
(a) Se designará a una o más personas responsables del cumplimiento general de estos requisitos mínimos de seguridad como Encargado de Seguridad de la Información (“CISO”, por sus siglas en inglés). El CISO deberá tener la formación y la experiencia adecuadas en gestión de seguridad de la información y disponer de los recursos apropiados para garantizar eficazmente el cumplimiento.
(b) Los datos de contacto del CISO se entregarán al Responsable del Tratamiento cuando éste lo solicite.
2.4 Mantenimiento de registros
(a) Se registrará un historial de acceso de los Usuarios Autorizados a los datos, o de su divulgación, con un seguimiento completo seguro para auditoría.
(b) Solo el personal debidamente autorizado podrá tener acceso físico a las instalaciones donde se almacenan los sistemas de información y los medios que almacenan Datos.
(c) Deberá existir un procedimiento para informar, responder y gestionar los incidentes de seguridad, como las violaciones de seguridad de los datos. Este procedimiento incluirá, como mínimo:
(i) Un procedimiento para notificar dichos incidentes/violaciones a la dirección correspondiente;
(ii) Un equipo claramente designado para gestionar y coordinar la respuesta a un incidente, dirigido por el CISO;
(iii) Un proceso documentado para gestionar la respuesta a un incidente que incluya el requisito de mantener los registros apropiados de problemas y acciones de modo que incluyan el momento en el que se produjo el incidente, la persona que lo informó, a quién se le informó
y los efectos del mismo;
(iv) El requisito de que el Encargado notifique al Responsable del Tratamiento sin dilación indebida si hay una violación de la seguridad que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los datos transmitidos, almacenados o procesados de otra manera por el Encarcado; y
(v) El equipo de gestión de la seguridad/incidentes del Encargado deberá, si corresponde, colaborar con los representantes de seguridad del Responsable del Tratamiento hasta que se haya resuelto satisfactoriamente el incidente o la violación.
(vi) El procedimiento de notificación, gestión y respuesta a los incidentes estará sujeto a pruebas al menos una vez al año.
ANEXO C CONDICIONES COMPLEMENTARIAS
BRASIL:
1. Solicitudes de los interesados: Los Servicios proporcionan al Cliente una funcionalidad para acceder a los Datos del Cliente, que el Cliente puede utilizar para ayudarle en el cumplimiento de sus obligaciones relacionadas con la respuesta a los interesados que buscan ejercer sus derechos bajo la LGPD (una ‘solicitud del sujeto de datos’ o “SSD”) o la autoridad de protección de datos. En la medida en que el Cliente deba responder a una SSD y no pueda acceder a los Datos Personales del Cliente pertinentes desde los Datos del Cliente dentro de los Servicios utilizando dicha funcionalidad o de otra manera, teniendo en cuenta la naturaleza del Tratamiento, Dynatrace deberá (a petición del Cliente) proporcionar asistencia razonable al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida en que esto sea posible, para permitir al Cliente (o a su tercero Responsable del Tratamiento) responder a cualquier SSD o a los organismos reguladores o judiciales relacionados con el Tratamiento de los Datos Personales del Cliente en virtud del Acuerdo. En el caso de que una SSD se presente directamente a Dynatrace, Dynatrace comunicará rápidamente dicha solicitud al Cliente y no responderá a dicha SSD sin la autorización expresa del Cliente. Lo anterior no prohibirá que Dynatrace se comunique con un Sujeto de Datos si no es razonablemente evidente en la comunicación a qué cliente de Dynatrace se refiere la SSD.
2. Transferencias de Datos. Dynatrace no transferirá los Datos Personales del Cliente a otra jurisdicción, salvo lo permitido por la LGPD. Al transferir los Datos Personales del Cliente fuera de Brasil, Xxxxxxxxx deberá cumplir con los principios y derechos de los interesados y las obligaciones de protección de datos previstas en la LGPD.
UNIÓN EUROPEA, ESPACIO ECONÓMICO EUROPEO, EL XXXXX UNIDO Y SUIZA:
1. Responsabilidades del Cliente. El Cliente informará a sus interesados, según lo exija la ley, que sus Datos Personales del Cliente pueden ser procesados fuera de la Unión Europea, el Espacio Económico Europeo, el Xxxxx Unido y Suiza.
2. Transferencias de Datos. El Cliente reconoce y acepta que Xxxxxxxxx y sus Subencargados pueden mantener operaciones de Tratamiento de datos en países que están fuera de la Unión Europea, el Espacio Económico Europeo o Suiza y, de esta forma, pueden hacer el tratamiento de los Datos Personales del Cliente fuera de estos países. Esto se aplicará incluso cuando el Cliente haya acordado con Dynatrace utilizar instancias en la nube de los Servicios hospedados de Dynatrace ubicados en la Unión Europea, el Espacio Económico Europeo o Suiza, si dicho Tratamiento fuera de la UE es necesario para proporcionar servicios relacionados con el soporte u otros servicios solicitados por el Cliente en virtud del Acuerdo. En la medida en que Dynatrace llegue a Tratar cualquier Dato Personal del Cliente en nombre del Cliente, las partes acuerdan que para cualquier transferencia de Datos Personales del Cliente a países fuera de la Unión Europea, el Espacio Económico Europeo o Suiza (cuando la Comisión Europea o cualquier otra autoridad de supervisión considere que dicho país no tiene un nivel adecuado de protección) y en la medida en que dichas transferencias estén sujetas al GDPR, Dynatrace se compromete a realizar el Tratamiento de tales Datos Personales del Cliente conforme a las Cláusulas Contractuales Tipo (Modulo 2), incluidos los anexos adjuntos al mismo, y a estos efectos Dynatrace acepta que es un “importador de datos” y el Cliente o sus Filiales, según corresponda, es o son el “exportador de datos” bajo las Cláusulas Contractuales Tipo.
1. . Antes de transferir los Datos Personales del Cliente fuera del Reino Unido, Dynatrace y el Cliente acordarán un método adecuado para legalizar las transferencias de datos fuera del Reino Unido que incluya, entre otros, la ejecución de las Cláusulas Contractuales Tipo – tal como esta mencionado arriba y en la Adenda del Reino Unido.
ESTADOS UNIDOS:
California:
1. Definiciones. “Información Personal”, “Proveedor de Servicios”, “Venta” y “Propósito Comercial” tienen sus definiciones establecidas en la Ley de privacidad del consumidor de California (CCPA, por sus siglas en inglés). Cualquier referencia a la Información Personal en este documento es una referencia a la Información Personal de propiedad del Cliente o controlada por este a la que el Proveedor accede o procesa de otro modo en su ejecución de los Servicios.
2. Proveedor de Servicios. El Cliente y Dynatrace acuerdan que Dynatrace es el Proveedor de Servicios del Cliente y realiza los Servicios con un propósito que cumple con la definición de “propósito comercial” en la Sección 1798.140(d)(5) de la CCPA, con sus eventuales modificaciones. Dynatrace no deberá: (1) retener, utilizar o divulgar la Información Personal recibida del Cliente o en su nombre, para un Propósito Comercial que no sea necesario para proporcionar los Servicios según lo contemplado en el Acuerdo, o (2) vender, alquilar, divulgar, liberar, transferir o poner a disposición, o comunicar de otra manera la Información Personal a algún tercero a cambio de una contraprestación monetaria o de otro tipo. Dynatrace certifica que entiende las restricciones anteriores y que las cumplirá. El Cliente es responsable de asegurar que cumple de los requisitos de la CCPA en el uso de los Servicios y en su propio Tratamiento de la Información Personal.