Servicios de Seguridad Gestionada de IBM

Suplemento del Anexo de Tratamiento de Datos

Servicios de Seguridad Gestionada de IBM

Este Suplemento del Anexo de Tratamiento de Datos (Suplemento del DPA) especifica el DPA para el Servicio identificado.

1. Tratamiento

IBM tratará Datos Personales del Cliente para el Servicio, como se describe en la Descripción del Servicio y como se complementa y se especifica en este Suplemento del DPA.

1.1 Duración del Tratamiento

La duración del Tratamiento será la del período de vigencia del contrato, según se indica en el Documento Transaccional (DT).

1.2 Actividades de Tratamiento

Las actividades de tratamiento con respecto a los Datos Personales del Cliente se especifican en el SOW y pueden incluir lo siguiente:

● Recepción de Datos Personales del Cliente de parte del Cliente y/u otros terceros

● Tratamiento informático de los Datos Personales, incluyendo transmisión de datos, recuperación de datos, acceso a datos y acceso a redes, para permitir la transferencia de datos si es necesario.

● Pruebas técnicas de los entornos informáticos cuando estas pruebas tengan como resultado el acceso a Datos Personales del Cliente.

● Monitorización frente a posibles amenazas de seguridad de los entornos informáticos cuando esta monitorización tenga como resultado el acceso a Datos Personales del Cliente.

● Soporte técnico del Cliente

● Transformación y transición de los Datos Personales del Cliente según sea necesario para prestar los Servicios

2. Datos Personales del Cliente

2.1 Categorías de Interesados

La siguiente lista indica los tipos habituales de Datos Personales que IBM puede tratar como parte de los Servicios y según lo especificado en el SOW:

● Entre los Interesados asociados a Datos Personales del Cliente que se tratan como parte del Servicio se incluyen empleados, clientes, business partners y proveedores del Cliente.

Dada la naturaleza de los Servicios, el Cliente acepta que IBM no puede verificar ni realizar el mantenimiento de la lista anterior de Categorías de Interesados. Por consiguiente, el Cliente notificará a IBM cualquier cambio necesario en la lista anterior mediante la actualización de la Especificación de Trabajo relacionada (SOW) a través de la Solicitud de Cambio del Proyecto (PCR). IBM tratará los Datos Personales de todos los Interesados definidos anteriormente de conformidad con el Contrato. Si los cambios en las listas de las Categorías de Interesados requieren cambios en el Tratamiento acordado, el Cliente deberá proporcionar Instrucciones Adicionales a IBM según lo establecido en el DPA.

2.2 Tipos de Datos Personales del Cliente y Categorías Especiales de Datos Personales del Cliente

Los Datos Personales tratados se refieren a las siguientes categorías de Datos Personales:

Los archivos de registro y los datos de eventos transferidos desde el Cliente a IBM, con el fin de proporcionar los servicios de seguridad y cumplimiento contratados.

La siguiente lista establece los Tipos de Datos Personales del Cliente que se tratarán en los Servicios. Cualquier desviación en la siguiente lista para el tratamiento se establecerá explícitamente dentro del SOW relacionado.

● Información Profesional de Contacto

● (por ejemplo, nombre, dirección, número de teléfono, correo electrónico, etc.)

● Datos Personales Identificables Técnicamente

● (por ejemplo, IDs de dispositivo, identificadores basados en el uso, direcciones IP estáticas, todo ello cuando está vinculado a un individuo)

● Datos Personales Profesionales

● (por ejemplo, cualquier dato de RR.HH., incluyendo el historial de trabajo, la información de revisión del rendimiento, etc.)

● Información de la Ubicación

● (por ejemplo, datos de geolocalización asociados a una persona)

2.2.1 Categorías Especiales de Datos Personales

El Cliente no proporcionará a IBM ninguna Categoría Especial de Datos Personales a menos que se establezca específicamente por escrito (tales Categorías Especiales de Datos Personales incluyen, a título enunciativo pero no limitativo, información personal relacionada con el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos médicos, datos genéticos o datos biométricos).En el caso de que se incluyan Categorías Especiales de Datos Personales para su tratamiento, el Cliente notificará a IBM el tipo o tipos de datos en cuestión, por escrito, mediante una modificación del SOW. IBM confirmará los tipos de datos y evaluará cualquier impacto posterior en la prestación de los Servicios a través del proceso establecido de Control de Cambios del Proyecto (PCR) y los tipos de datos específicos se indicarán explícitamente en el SOW relacionado.

2.2.2 General

Las listas establecidas en los apartados 2.2.1 y 2.2.2 anteriores son información sobre los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente que normalmente pueden tratarse en la ejecución de los Servicios. Dada la naturaleza de los Servicios, el Cliente acepta que IBM no puede verificar ni realizar el mantenimiento de las listas anteriores de los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente. Por consiguiente, el Cliente notificará a IBM cualquier cambio necesario en las listas anteriores mediante la actualización del SOW relacionado a través del proceso de Solicitud de Cambio del Proyecto (PCR).

IBM tratará todos los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente definidas anteriormente de conformidad con el Contrato. Si los cambios en las listas de los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente requieren cambios en el Tratamiento acordado, el Cliente deberá proporcionar Instrucciones Adicionales a IBM según lo establecido en el DPA.

3. Medidas Técnicas y Organizativas

Las Medidas Técnicas y Organizativas ("TOMs") publicadas en xxxxx://xxx.xxx.xxx/xxxxxxxx/xx/xxx/ se aplican a todos los Datos personales del Cliente. Estas TOMs, según lo establecido anteriormente, se aplican a todos los Datos Personales del Cliente, según se describe en el apartado 2 anterior o según se detalle de otro modo en la Descripción del Servicio.

El Cliente confirma su obligación de implementar TOMs apropiadas dentro de su propia área de responsabilidad, según lo exijan las Leyes de Protección de Datos aplicables.

A petición del Cliente, se podrán presentar pruebas de la implementación de las medidas en forma de:

● Certificados, informes o extractos de los mismos actualizados provenientes de organismos independientes (por ejemplo: auditores externos, auditoría interna, el delegado de protección de datos, el departamento de seguridad de TI o auditores de calidad)

● Certificación adecuada a través de una auditoría de seguridad de TI o de protección de datos

● Mecanismos de certificación de protección de datos, sellos o marcas aprobados por la Comisión Europea

● Respuestas a preguntas específicas del Cliente que el Cliente resalte como no cubiertas en lo referido anteriormente

4. Supresión y Devolución de Datos Personales del Cliente

IBM suprimirá los Datos Personales del Cliente al final de los Servicios. Sin embargo, si se solicita por escrito antes de la terminación o el vencimiento de los Servicios, IBM devolverá una copia de los Datos Personales del Cliente que sean accesibles por IBM en un plazo razonable y con un formato razonable, a cargo del Cliente, conforme a los términos de Ayuda según se establece en el DPA.

Si es aplicable al Servicio, el Cliente es responsable de borrar de forma segura todos los datos (incluyendo los datos personales, propios y Datos Personales del Cliente) de cualquier Máquina o pieza de una Máquina devuelta a IBM por cualquier motivo y garantizar que está libre de toda restricción legal que pudiese impedir su devolución. El Cliente puede comprar una oferta para su retención o comprar una oferta para que IBM suprima o destruya los Datos Personales del Cliente.

5. Subencargados del Tratamiento

IBM puede utilizar los siguientes Subencargados (Centros de Operaciones de Seguridad ("SOC") y subencargados MSS) en el Tratamiento de Datos Personales del Cliente para el Servicio respectivo: xxxxx://xxx-00.xxx.xxx/xxxxxxxx/xxxxxxxx/xxxxxxx-xxxxxxxx-xxxxxxxx/xxxxxxxx-xxxxxxxxxx- centers.html .

Esta lista acordada de Subencargados del Tratamiento puede ser enmendada o alterada periódicamente, por escrito, por las Partes, de conformidad con el proceso de PCR establecido tal como se describe en el SOW.

IBM notificará al Cliente cualquier cambio previsto en los Subencargados del Tratamiento, del modo siguiente:

● Publicando los cambios en la página web indicada en este apartado;

● Una notificación a los usuarios registrados del portal global de SOC.

6. Transferencia de Datos Internacional

6.1 Autocertificación Privacy Shield de UE-EE.UU. y Suiza-EE.UU.

IBM Global Managed Security Services ("MSS") dispone de un autocertificado con Privacy Shield tal como ha publicado en xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxxxxxxxxx?xxxx0xx0000000XXXxXXX y con más detalles en la lista de Servicios de IBM certificados en xxxxx://xxx.xxx.xxx/xxxxxxx/xxxxxxx/xx/xx/xxxxxxx_xxxxxx.xxxx .

Basado en el principio de transferencia en adelante de Privacy Shield, los Datos Personales son transferidos por MSS US como el encargado principal a los Subencargados listados en el Apartado 5. Se han firmado acuerdos de subencargado entre MSS US como encargado principal y los Subencargados restantes, en los que se establece que se proporciona el mismo nivel de protección.