Anexo de Protección de Datos del Contrato de Licencia de Usuario Final
Brain Corporation
Anexo de Protección de Datos del Contrato de Licencia de Usuario Final
Este Anexo de Protección de Datos del Contrato de Licencia de Usuario Final (el "Anexo") se incorpora y está sujeto a los términos y condiciones del Contrato de Licencia de Usuario Final entre usted (el "Usuario Final") y Brain Corporation ("Brain") (el "Contrato de Licencia de Usuario Final"; el Contrato de Licencia de Usuario Final junto con el Anexo serán conjuntamente referidos como el "Contrato").
1. Términos Definidos. Los términos en mayúsculas utilizados en este Anexo que no estén definidos de otro modo tendrán el mismo significado que se les atribuye en el Contrato de Licencia de Usuario Final.
a. "Filial" significa cualquier entidad que, directa o indirectamente, Controle, sea controlada o esté bajo control común de la entidad en cuestión. "Control", a efectos de esta definición, significa la propiedad o el control directo o indirecto de más del 50% de las participaciones con derecho a voto de la entidad en cuestión.
b. "Robots con BrainOS" significa cualquier robot que contenga el Software y que se proporcione bajo una suscripción activa según el Contrato de Licencia de Usuario Final.
c. "Datos Personales del Usuario Final" significan los datos personales proporcionados a Brain por los empleados del Usuario Final, contratistas u otros agentes designados al utilizar el Software de los Robots habilitados por XxxxxXX.
d. "Responsable del Tratamiento" es la entidad que determina los fines y los medios del tratamiento de los Datos Personales.
e. "Legislación de Datos" se refiere a las leyes y reglamentos de protección de datos y privacidad aplicables al Tratamiento de los Datos Personales en la jurisdicción correspondiente.
f. "Interesado" es la persona física identificada o identificable a la que se refieren los Datos Personales del Usuario Final.
g. "EEE" significa el Espacio Económico Europeo.
h. "Legislación Europea de Datos" se refiere a todas las leyes y reglamentos de protección de datos y privacidad aplicables en las jurisdicciones europeas, incluyendo, para los territorios del EEE, el Reglamento General de Protección de Datos (UE) 2016/679 y cualquier legislación sucesora, así como las implementaciones nacionales asociadas al mismo (el "RGPD") y, para el Xxxxx Unido, la Ley de Protección de Datos xxx Xxxxx Unido de 2018.
i. "Legislación de Datos No Europea" se refiere a todas las leyes y reglamentos de protección de datos y privacidad aplicables fuera de las jurisdicciones europeas, tal como se describe en el Apéndice IV.
j. "Tratar, Tratado, y Tratamiento" significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales del Usuario Final o sobre conjuntos de Datos Personales del Usuario Final, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
k. "Incidente de Seguridad" significa, en relación con los Servicios (i) la pérdida o el uso indebido (por cualquier medio) de los Datos Personales del Usuario Final; (ii) la divulgación, Tratamiento, la alteración, la corrupción, la venta, el alquiler o la destrucción inadvertidos, no autorizados y/o ilegales de los Datos Personales del Usuario Final o cualquier otra infracción con respecto a los Datos Personales del Usuario Final; (iii) cualquier compromiso o explotación de una vulnerabilidad de los Datos Personales del Usuario Final en el marco de los Servicios; o (iv) cualquier exposición o explotación confirmada de una vulnerabilidad de los Datos Personales del Usuario Final (con independencia de que
tenga su origen en una acción o en una omisión) que tengan como resultado cualquiera de los eventos descritos en esta cláusula (1.k.i) ó (1.k.iii).
l. "Servicios" se refiere a los servicios prestados por Brain al Usuario Final de acuerdo con el Contrato de Licencia de Usuario Final.
m. "Cláusulas Contractuales Tipo" o "CCT" significa el acuerdo ejecutado por y entre el Usuario Final y Brain, y que se adjunta al presente Anexo como Apéndice V de conformidad con el borrador de Cláusulas Contractuales Tipo para la transferencia de datos personales a encargados establecidos en terceros países que no garantizan un nivel adecuado de protección de datos de conformidad con el Reglamento (UE) 2016/679, publicado el 12 de noviembre de 2020 por la Comisión Europea.
n. "Subencargado" significa cualquier tercero que Brain contrate de acuerdo con el Apéndice III de este Anexo para realizar el Tratamiento.
o. "Plazo" significa la duración de la suscripción activa según el Contrato de Licencia de Usuario Final.
2. Tratamiento de Datos.
a. Funciones de las Partes. Las Partes reconocen que, en lo que respecta al Tratamiento de los Datos Personales del Usuario Final de acuerdo con los Servicios, el Usuario Final es el Responsable y Brain es el encargado.
b. Tratamiento de Datos Personales por parte de Brain. Brain y sus Filiales tratarán los Datos Personales del Usuario Final de acuerdo con las instrucciones documentadas por escrito del Usuario Final. Brain y el Usuario Final aceptan que Xxxxx y sus Filiales tratarán los Datos Personales del Usuario Final de acuerdo con las finalidades, la duración y el resto de detalles establecidos en el Apéndice I.
c. Obligaciones de Cumplimiento del Usuario Final. Sin limitar la generalidad de esta Cláusula 2, (Tratamiento de Datos) el Usuario Final garantiza que:
i. el Usuario Final será el único responsable de la exactitud, la calidad y la legalidad de los Datos Personales del Usuario Final y de los medios por los que el Usuario Final adquirió los Datos Personales del Usuario Final;
ii. el Usuario Final reconoce específicamente que su uso de los Servicios no violará los derechos de ningún interesado que haya rechazado participar en las ventas u otras comunicaciones de Datos Personales del Usuario Final, en la medida en que resulte aplicable según la Legislación de Datos; y
iii. el Usuario Final ha adoptado y se compromete a que durante todo el Plazo adoptará todas las medidas necesarias (teniendo en cuenta la naturaleza de las circunstancias en las que se recogerán los Datos Personales del Usuario Final) para proporcionar a los Interesados afectados una descripción precisa, comprensible, concisa, fácilmente accesible y fácil de entender de todo el tratamiento de los Datos Personales del Usuario Final llevado a cabo bajo y en relación con el Anexo, y que sea suficiente para cumplir con los criterios y requisitos del artículo 13/14 del RGPD.
3. Seguridad de los Datos.
a. Medidas de Seguridad de Brain. Teniendo en cuenta la tecnología disponible, los costes de aplicación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento (tal y como se establecen en el Apéndice I), así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Brain ha implantado y mantiene medidas técnicas y organizativas diseñadas para
proteger los Datos Personales del Usuario Final contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación o el acceso no autorizados, a los Datos Personales del Usuario Final, tal y como se describe con más detalle en el Apéndice II. Brain puede actualizar o modificar su programa de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no disminuyan materialmente la seguridad general de los Datos Personales del Usuario Final.
b. Cumplimiento de la Seguridad por parte del Personal de Brain. Brain concederá acceso a los Datos Personales del Usuario Final únicamente a los empleados, contratistas y Subencargados que necesiten dicho acceso en el ámbito de su actuación y estén sujetos a los acuerdos de confidencialidad adecuados.
c. Asistencia de Seguridad de Brain. Teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Usuario Final y la información de la que dispone Brain, Brain proporcionará al Usuario Final la asistencia razonable necesaria para que éste pueda cumplir con sus obligaciones respecto a los Datos Personales del Usuario Final en virtud de la Legislación Europea de Protección de Datos, incluidos los artículos 32 a 34 (inclusive) del RGPD:
i. asegurándose de que los subencargados de Brain apliquen y mantengan las medidas de seguridad de acuerdo con la Cláusula 3(a) (Medidas de seguridad);
ii. cumpliendo con los términos de la Cláusula 4 (Incidentes de Seguridad); y
iii. proporcionando al Usuario Final los materiales de acuerdo con la Cláusula 5 (Auditoría) y el Contrato, incluyendo este Anexo.
4. Incidentes de Seguridad.
a. Obligaciones de Brain. Brain notificará al Usuario Final por correo electrónico y/o por teléfono cualquier Incidente de Seguridad real sin dilación y después de que Xxxxx tenga conocimiento del mismo. Brain tomará medidas razonables para investigar la causa de dicho Incidente de Seguridad, minimizar el daño al Usuario Final y evitar que se repita dicho Incidente de Seguridad. Brain investigará cualquier Incidente de Seguridad y tomará las medidas necesarias para eliminar o contener las exposiciones que condujeron a dicho Incidente de Seguridad de acuerdo con el programa de seguridad de Brain y la legislación aplicable. Las Partes acuerdan coordinar de buena fe la preparación del contenido de cualquier declaración pública o cualquier notificación requerida a los Interesados afectados y/o a las autoridades de protección de datos pertinentes.
b. Obligaciones del Usuario Final. Aparte de acordar el contenido de las declaraciones públicas o de las notificaciones requeridas, el Usuario Final es el único responsable de cumplir con los requisitos legales de notificación de incidentes aplicables al Usuario Final y de cumplir con cualquier obligación de notificación a terceros relacionada con cualquier Incidente de Seguridad. La notificación o respuesta de Xxxxx a un Incidente de Seguridad no se interpretará como un reconocimiento por parte de Brain de cualquier culpa o responsabilidad con respecto al Incidente de Seguridad.
El Usuario Final acepta que, sin perjuicio de las obligaciones de Brain en la Cláusula 4, (Incidentes de Seguridad) el Usuario Final es el único responsable de su uso de los Servicios, incluyendo:
i. hacer un uso apropiado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Usuario Final;
ii. asegurar las credenciales de autentificación de la cuenta, los sistemas y los dispositivos que el Usuario Final utiliza para acceder a los Servicios;
iii. proteger los sistemas y dispositivos del Usuario Final que Brain utiliza para prestar los Servicios; y
iv. realizar copias de seguridad de los Datos Personales del Usuario Final.
5. Auditorías. Brain evalúa, prueba y supervisa la eficacia del programa de seguridad de Brain y ajusta y/o actualiza el programa de seguridad de Brain según lo justifiquen razonablemente los resultados de dicha evaluación, prueba y supervisión. Brain, eventualmente, podrá llevar a cabo una evaluación de la implementación y el mantenimiento del programa de protección de Datos Personales del Usuario Final de Brain y de su correspondiente cumplimiento de la Legislación de Datos ("Informe de Auditoría"). Si el Usuario Final lo solicita razonablemente, Brain le facilitará el Informe de Auditoría vigente en ese momento; no obstante, el Usuario Final acepta que dicho Informe de Auditoría constituye Información Confidencial de Brain.
6. Comunicaciones Legalmente Requeridas. Brain puede comunicar los Datos Personales del Usuario Final y cualquier otra información sobre el Usuario Final a funcionarios gubernamentales o encargados de hacer cumplir la ley o a partes privadas si, bajo su razonable discreción, Brain lo considera necesario o apropiado para atender a solicitudes, demandas y órdenes legales, incluyendo citaciones, órdenes judiciales, administrativas o arbitrales de un organismo ejecutivo o administrativo, agencia reguladora u otra autoridad gubernamental, para proteger la seguridad, la propiedad o los derechos de Brain o de cualquier tercero, para prevenir o detener cualquier actividad ilegal, inmoral o sujeta a un procedimiento legal o para cumplir con la ley aplicable. Salvo que la legislación aplicable exija lo contrario, Brain notificará al Usuario Final todas las solicitudes, demandas y órdenes legales que reciba y que estén relacionadas con el Tratamiento de Datos Personales del Usuario Final.
7. Derechos del Interesado.
a. Responsabilidad del Usuario Final en relación con las Solicitudes. Si Xxxxx recibe una solicitud de un Interesado en relación con los Datos Personales del Usuario Final, Brain indicará al Interesado que presente su solicitud al Usuario Final y éste será responsable de responder a dicha solicitud.
b. Asistencia a las Solicitudes de los Interesados de Brain. Teniendo en cuenta la naturaleza del Tratamiento de los Datos Personales del Usuario Final, Brain requerirá a sus Subencargados que proporcionen al Usuario Final la asistencia razonable que sea necesaria para que el Usuario Final cumpla con su obligación, según la legislación aplicable, de responder a las solicitudes de los interesados, incluida, si procede, la obligación del Usuario Final de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el Capítulo III del RGPD. El Usuario Final deberá reembolsar a Brain cualquier tipo de asistencia que vaya más allá de la prestación de funciones de autoservicio incluidas como parte de los Servicios, según las tarifas de servicios profesionales de Brain vigentes en ese momento, que se pondrán a disposición del Usuario Final previa solicitud.
8. Transferencias de Datos Fuera del EEE. Si el almacenamiento y/o el tratamiento de los Datos Personales del Usuario Final se produce dentro del EEE, implica transferencias de Datos Personales del Usuario Final fuera del EEE o de Suiza, y la Legislación Europea de Protección de Datos se aplica a las transferencias de dichos datos, Brain y sus Subencargados realizarán dichas transferencias de acuerdo con as CCT, y pondrán a disposición del Usuario Final la información sobre dichas transferencias si lo solicita.
9. Subencargados. El Usuario Final reconoce y acepta que Xxxxx puede contratar a subencargados para que traten los Datos Personales del Usuario Final en su nombre. En el Apéndice III se incluye una lista de subencargados autorizados. El Usuario Final acepta que todos estos Subencargados aprobados están autorizados a procesar los Datos Personales del Usuario Final para la naturaleza y los fines establecidos en el presente documento. Brain mantendrá una lista de subencargados según se describe en el Apéndice III. Brain actualizará su sitio web para reflejar los nuevos subencargados en un plazo xx xxxx (10) días naturales
antes de que un Subencargado comience a tratar los Datos Personales del Usuario Final. El Usuario Final dispondrá xx xxxx (10) días naturales para oponerse razonablemente a la incorporación de cualquier nuevo Subencargado.
10. Conservación y Destrucción de Registros. Brain mantendrá los registros relacionados con sus actividades de Tratamiento de los Datos Personales del Usuario Final realizadas en nombre del Usuario Final durante al menos el Plazo. Tras la finalización del presente Contrato, Brain eliminará todos los Datos Personales del Usuario Final que posea, si bien podrá conservar una copia de dichos Datos Personales del Usuario Final en la medida en que lo exija la legislación aplicable.
11. Notificaciones. Las notificaciones requeridas o permitidas al Usuario Final en virtud del presente documento pueden proporcionarse al principal punto de contacto del Usuario Final con Brain. Las notificaciones requeridas o permitidas a Brain en virtud del presente documento pueden realizarse enviando un correo electrónico a xxxxxxx@xxxxxxxxx.xxx. El Usuario Final es el único responsable de garantizar que dicha dirección de correo electrónico sea válida.
12. Disposiciones Específicas en función de la Jurisdicción. En la medida en que Brain Trate Datos Personales del Usuario Final originados y protegidos por la Legislación de Datos No Europea, se aplicarán las disposiciones del Apéndice IV con respecto a esas jurisdicciones aplicables, además de los términos establecidos en el presente Anexo. En caso de conflicto entre los términos específicos de la jurisdicción y el presente Anexo, prevalecerán las disposiciones específicas de la jurisdicción en cuestión.
13. Efecto de Estos Términos. Salvo que se indique lo contrario, los términos y condiciones de este Anexo, incluidos los Apéndices, forman parte integrante del Contrato y se incorporan al mismo, y los términos y condiciones de este Anexo constituyen el acuerdo completo y exclusivo entre las Partes con respecto a su objeto. En caso de conflicto o incoherencia entre el presente Anexo y los términos del Contrato de Licencia de Usuario Final, prevalecerá el presente Anexo.
Apéndice I - Detalles del Tratamiento
Objeto | El despliegue por parte del Usuario Final de los Robots con BrainOS en determinadas instalaciones en el marco la prestación de los Servicios al Usuario Final en virtud del Contrato y de conformidad con el mismo. |
Duración del Tratamiento | La duración total del tratamiento de los Datos Personales del Usuario Final por parte de Brain en virtud del Contrato incluirá el Plazo, así como el período que transcurre desde la expiración del Plazo hasta la supresión de todos los Datos Personales del Usuario Final por parte de Brain de conformidad con el Contrato. |
Naturaleza y Finalidad del Tratamiento | Brain tratará dichos Datos Personales del Usuarios Final con las siguientes finalidades: i. Tratamiento con la finalidad de prestar los Servicios, incluyendo el aprovisionamiento, el soporte y el mantenimiento de los Servicios, incluyendo otros tratamientos según lo establecido en el Contrato de Licencia de Usuario Final. ii. Tratamiento para cumplir con las instrucciones del Usuario Final que son consistentes con el Contrato, incluyendo, sin limitación, la comunicación con el Usuario Final, la gestión de tickets y solicitudes de soporte, y en general el apoyo a la relación comercial entre Brain y el Usuario Final. iii. Tratamiento según lo establecido y/o requerido por el Contrato de Licencia de Usuario Final. iv. Crear y obtener datos anonimizados y/o agregados relacionados con el uso de los Servicios que no identifiquen al Usuario Final ni a ninguna persona física, y utilizar, publicar o compartir dichos datos con terceros para mejorar los productos y servicios de Brain. |
Categorías de Datos y de Interesados | Las categorías de datos incluyen la información de contacto de los empleados, contratistas u otros agentes designados del Usuario Final que utilizan los Servicios, que puede incluir el nombre, los apellidos, el nombre de usuario, la contraseña y el número de teléfono móvil. Los Interesados son los empleados del Usuario Final, los contratistas u otros agentes designados que tienen acceso a los servicios. |
Apéndice II - Medidas de Seguridad
Las medidas de seguridad de Brain incluyen medidas técnicas, físicas y organizativas apropiadas, normas, requisitos, especificaciones u obligaciones diseñadas para garantizar un nivel de seguridad adecuado a los riesgos que presenta el Tratamiento y a la naturaleza de los Datos Personales que deben protegerse, teniendo en cuenta el estado de la técnica; los costes de aplicación; la naturaleza, el alcance, el contexto y los fines del Tratamiento; y el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Otras medidas de seguridad técnicas y organizativas aplicadas por el importador de datos son las que se describen en el Anexo.
Apéndice III - Subencargados Autorizados
El Usuario Final puede encontrar la lista de Subencargados de Brain autorizados en: xxxxx://xxx.xxxxxxxxx.xxx/xxxxx-xxxx-xxxx-xxx-xxxxxxxxxx/ .
Apéndice IV - Disposiciones Específicas en función de la Jurisdicción
California:
(1) Las siguientes condiciones adicionales se aplican en relación con el Tratamiento de los Datos Personales de los residentes de California:
a. Cada una de las partes cumplirá con la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés).
b. En la medida en que Brain reciba del Usuario Final cualquier información personal (tal como se define en la CCPA) de cualquier "consumidor" (tal como se define en la CCPA) para su tratamiento (tal como se define en la CCPA) en nombre del Usuario Final en virtud del Contrato, Brain deberá:
i. ser un "proveedor de servicios" para el Usuario Final según la CCPA;
ii. no retener, utilizar o revelar la información personal para ningún otro propósito que no sea el propósito específico de los Servicios o que esté permitido por la CCPA, incluyendo cualquier "propósito comercial" (como se define en la CCPA);
iii. no retener, utilizar o divulgar la información personal para un "propósito comercial" (según la definición de la CCPA) que no sea la prestación de los Servicios;
iv. no "vender" la información personal (tal como se define "vender" en la CCPA); y
v. cumplir rápidamente (y, en cualquier caso, en los siete días siguientes a la recepción) con las instrucciones escritas del Usuario Final asociadas a la respuesta a la solicitud de un individuo de ejercer sus derechos de privacidad con respecto a su información personal.
(2) Si Brain autoriza a cualquier subcontratista, proveedor de servicios o tercero a procesar información personal del Usuario Final, Brain deberá establecer disposiciones contractuales para que dicho subcontratista, proveedor de servicios o tercero sea un "proveedor de servicios" según la definición de la CCPA y no un "tercero" según la definición de la CCPA.
Canadá:
(1) Las siguientes condiciones adicionales se aplican en relación con el Tratamiento de Datos Personales de los residentes canadienses:
a. En la medida en que cualquier Subencargado trate Datos Personales del Usuario Final asociados a residentes canadienses, dicho Subencargado es un tercero según la Ley de Protección de la Información Personal y de los Documentos Electrónicos, con el que Brain ha firmado un acuerdo escrito con protecciones sustancialmente similares a las establecidas en este Anexo. Además, Xxxxx lleva a cabo la debida diligencia sobre cualquier Subencargado de este tipo.
Apéndice V Cláusulas Contractuales Tipo
CLÁUSULAS CONTRACTUALES TIPO
A efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE para la transferencia de datos personales a los Encargados del Tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.
Usuario Final (como se define en el Contrato de Licencia de Usuario Final)
La entidad exportadora de datos identificada en el cuadro anterior (el "exportador de datos")
- Y -
Brain Corporation
(el "importador de datos")
cada uno de ellos una "parte"; conjuntamente "las partes",
HAN ACORDADO las Cláusulas Contractuales para la transferencia de datos personales a terceros países desde un responsable del tratamiento en el Espacio Económico Europeo a un encargado del tratamiento en los Estados Unidos, de conformidad con el Reglamento (UE) 2016/679, tal y como serán adoptadas por la Comisión Europea de conformidad con el proyecto de decisión del 12 de noviembre de 2020 (las Cláusulas), con el fin de establecer las garantías adecuadas con respecto a la protección de la intimidad y de los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de datos personales especificados en el Apéndice 1.
Las Cláusulas referidas se adjuntan con las opciones y los módulos opcionales seleccionados según lo indicado a continuación:
• Todas las Secciones: Módulo DOS
• Sección II, cláusula 1.5: OPCIÓN 1
• Sección II, cláusula 4(a): OPCIÓN 1, 10 días
• Sección II, cláusula 6(a): OPCIÓN No Incluida
• Sección III, cláusula 1(e): OPCIÓN 1, ubicación del importador de datos.
• Sección III, cláusula 3(b): jurisdicción asociada al importador de datos.
Los Subapéndices I, II y III se adjuntan a las Cláusulas.
SUBAPÉNDICE I DEL APÉNDICE V
A. LISTA DE LAS PARTES
Exportador(es) de datos: Usuario Final (como se define en el Contrato de Licencia de Usuario Final)
Importador(es) de datos: Brain Corporation
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Las partes están de acuerdo en que los detalles de las actividades de tratamiento de Brain se recogen en el Apéndice I del Anexo.
SUBAPÉNDICE II DEL APÉNDICE V
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS.
Las partes están de acuerdo en las medidas técnicas y organizativas que se recogen en el Apéndice II del Anexo.
SUBAPÉNDICE III DEL APÉNDICE V
LISTA DE SUBENCARGADOS
Las partes acuerdan que la lista de subencargados autorizados figura en el Apéndice III del Anexo.