Servicios de Seguridad Gestionada de IBM
Anexo del Procesamiento de Datos
Servicios de Seguridad Gestionada de IBM
Este Anexo del Procesamiento de Datos (Anexo del DPA) especifica el DPA para el Servicio identificado.
1. Procesamiento
IBM tratará Datos Personales del Cliente para el Servicio, como se presentado en la Descripción del Servicio y como se complementa y se especifica en este Suplemento del DPA.
1.1 Duración del Procesamiento
La duración del Tratamiento será la del período de vigencia del contrato, según se indica en el Documento Transaccional (DT).
1.2 Actividades de Procesamiento
Las actividades de tratamiento, con respecto a los Datos Personales del Cliente, se especifican en el SOW y pueden incluir lo siguiente:
● Recepción de Datos Personales del Cliente de parte del Cliente y/u otros terceros
● Tratamiento informático de los Datos Personales, incluso: la transmisión de datos, recuperación de datos, acceso a datos y acceso a redes, para permitir la transferencia de datos, si fuere necesario.
● Pruebas técnicas de los entornos informáticos cuando estas pruebas tengan como resultado el acceso a Datos Personales del Cliente.
● Monitorización frente a posibles amenazas de seguridad de los entornos informáticos cuando esta monitorización tenga como resultado el acceso a Datos Personales del Cliente.
● Soporte técnico del cliente
● Transformación y transición de los Datos Personales del Cliente según sea necesario para prestar los Servicios
2. Datos Personales del Cliente
2.1 Categorías por Asuntos de Datos
La siguiente lista indica los tipos habituales de Datos Personales que IBM puede tratar como parte de los Servicios y según lo especificado en el SOW:
● Entre los Interesados asociados a Datos Personales del Cliente que se tratan como parte del Servicio se incluyen: empleados, clientes, asociados de negocios y proveedores del Cliente.
Dada la naturaleza de los Servicios, el Cliente acepta que IBM no pueda verificar ni realizar el mantenimiento de las listas anteriores de las Categorías de Interesados. Por consiguiente, el Cliente notificará a IBM cualquier cambio necesario en la lista anterior mediante la actualización de la Especificación de Trabajo relacionada (SOW) a través de la Solicitud de Cambio del Proyecto (PCR). IBM tratará los Datos Personales de todos los Interesados definidos anteriormente de conformidad con el Contrato. Si los cambios en las listas de las Categorías de Datos requieren cambios en el Procesamiento acordado, el Cliente deberá proporcionar Instrucciones Adicionales a IBM según lo establecido en el DPA.
2.2 Tipos de Datos Personales del Cliente y Categorías Especiales de Datos Personales del Cliente
Los Datos Personales tratados se refieren a las siguientes categorías de Datos Personales:
Los archivos de registro y los datos de eventos transferidos desde el Cliente a IBM, con el fin de proporcionar los servicios de seguridad y cumplimiento contratados.
La siguiente lista establece los Tipos de Datos Personales del Cliente que se tratarán en los Servicios. Cualquier desviación, en la siguiente lista para el tratamiento, se establecerá explícitamente dentro del SOW relacionado.
● Información de Contactos de Negocios
● (por ejemplo, nombre, dirección, número de teléfono, correo electrónico, etc.)
● Datos Personales Identificables Técnicamente
● (por ejemplo, IDs de dispositivo, identificadores basados en el uso, direcciones IP estáticas, todo ello cuando está vinculado a un individuo)
● Datos Personales Profesionales
● (por ejemplo, cualquier dato sobre RR.HH., incluso: el historial de trabajo, la información de revisión del rendimiento, etc.)
● Información de la Ubicación
● (por ejemplo: datos de geolocalización asociados a una persona)
2.2.1 Categorías Especiales de Datos Personales
El Cliente no proporcionará a IBM ninguna Categoría Especial de Datos Personales a menos que se establezca específicamente por escrito (tales Categorías Especiales de Datos Personales incluyen, a título enunciativo pero no limitativo: información personal relacionada con el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos médicos, datos genéticos o datos biométricos).En el caso de que se incluyan Categorías Especiales de Datos Personales para su tratamiento, el Cliente notificará a IBM el tipo o tipos de datos en cuestión, por escrito, mediante una modificación del SOW. IBM confirmará los tipos de datos y evaluará cualquier impacto posterior en la prestación de los Servicios a través del proceso establecido de Control de Cambios del Proyecto (PCR) y los tipos de datos específicos se indicarán explícitamente en el SOW relacionado.
2.2.2 General
Las listas establecidas en los secciones 2.2.1 y 2.2.2 anteriores son información sobre los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente que normalmente pueden procesarse en la ejecución de los Servicios. Dada la naturaleza de los Servicios, el Cliente acepta que IBM no puede verificar ni realizar el mantenimiento de las listas anteriores de los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente. Por consiguiente, el Cliente notificará a IBM cualquier cambio necesario en las listas anteriores mediante la actualización del SOW relacionado a través del proceso de Solicitud de Cambio del Proyecto (PCR).
IBM tratará todos los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente definidas anteriormente de conformidad con el Contrato. Si los cambios en las listas de los Tipos de Datos Personales del Cliente y las Categorías Especiales de Datos Personales del Cliente requieren cambios en el Tratamiento acordado, el Cliente deberá proporcionar Instrucciones Adicionales a IBM, según lo establecido en el DPA.
3. Medidas Técnicas y Organizativas
Las Medidas Técnicas y Organizativas ("TOMs") publicadas en xxxxx://xxx.xxx.xxx/xxxxxxxx/xx/xxx/ se aplican a todos los Datos personales del Cliente. Estas TOMs, según lo establecido anteriormente, se aplican a todos los Datos Personales del Cliente, según se describe en la sección 2 anterior o según se detalle de otro modo en la Descripción del Servicio.
El Cliente confirma su obligación de implementar TOMs apropiadas dentro de su propia área de responsabilidad, según lo exijan las Leyes de Protección de Datos aplicables.
A petición del Cliente, se podrán presentar pruebas de la implementación de las medidas en forma de:
● Certificados, informes o extractos actualizados de los mismos a partir de organismos independientes (por ejemplo: auditores externos, auditoría interna, el responsable por la protección de datos, el departamento de seguridad de TI o los auditores de calidad)
● Certificación adecuada a través de una auditoría de seguridad de TI o de protección de datos
● Mecanismos de certificación de protección de datos, sellos o marcas aprobados por la Comisión Europea
● Respuestas a preguntas específicas por parte del Cliente que se resalten como no cubiertas en lo anterior
4. Borrado y Retorno de Datos Personales del Cliente
IBM suprimirá los Datos Personales del Cliente al final de los Servicios. Sin embargo, si se solicita por escrito antes de la terminación o el vencimiento de los Servicios, IBM devolverá una copia de los Datos Personales del Cliente que sean accesibles por IBM en un plazo razonable y con un formato razonable, a cargo del Cliente, conforme los términos de Ayuda, según se establece en el DPA.
Si es aplicable al Servicio, el Cliente es responsable de borrar, de forma segura, todos los datos (incluso los datos personales, propios y Datos Personales del Cliente) de cualquier Máquina o pieza de una Máquina devuelta a IBM por cualquier motivo y garantizar que está libre de toda restricción legal que pudiese impedir su devolución. El Cliente puede comprar una oferta para su retención o comprar una oferta para que IBM suprima o destruya los Datos Personales del Cliente.
5. Subprocesadores
IBM puede utilizar los siguientes Subencargados (Centros de Operaciones de Seguridad ("SOC") y subencargados MSS) en el Tratamiento de Datos Personales del Cliente para el Servicio respectivo: xxxxx://xxx-00.xxx.xxx/xxxxxxxx/xxxxxxxx/xxxxxxx-xxxxxxxx-xxxxxxxx/xxxxxxxx-xxxxxxxxxx- centers.html.
Esta lista acordada de Subencargados del Tratamiento puede ser enmendada o alterada periódicamente, por escrito, por las Partes, de conformidad con el proceso de PCR establecido tal como se describe en el SOW.
IBM notificará al Cliente sobre cualquier cambio pretendido a los Subprocesadores del modo siguiente:
● Publicación de los cambios en la página web indicada en esta sección;
● Una notificación para los usuarios registrados del portal global de SOC.
6. Transferencia de Datos Internacional
6.1 Autocertificación Privacy Shield de UE-EE.UU. y Suiza-EE.UU.
IBM Global Managed Security Services ("MSS") dispone de un autocertificado con Privacy Shield tal como se ha publicado en xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxxxxxxxxx?xxxx0xx0000000XXXxXXX y con más detalles en la lista de Servicios de IBM certificados en xxxxx://xxx.xxx.xxx/xxxxxxx/xxxxxxx/xx/xx/xxxxxxx_xxxxxx.xxxx.
Basado en el principio de transferencia hacia adelante de Privacy Shield, los Datos Personales son transferidos por MSS US como el encargado principal a los Subencargados listados en la sección 5. Se han firmado acuerdos de subencargado entre MSS US como encargado principal y los Subencargados restantes, en los que se establece que se proporciona el mismo nivel de protección.
6.2 Cláusulas Contractuales Estándares de UE
Para servicios globales de MSS que requieran la prestación de servicios desde Centros de Operación de Seguridad (SOCs) que no estén en el EEE, las Cláusulas Contractuales Tipo de la UE firmadas por o en nombre de todos los Importadores de Datos de IBM, si son de aplicación para el Servicio, están disponibles en xxxxx://xxx.xxx.xxx/xxxxxxxx/xx/xxx/.
7. Ejecutivo Encargado de la Privacidad de los Datos y Otros Controladores
El Cliente es responsable por proporcionar la información completa, precisa y actualizada sobre su ejecutivo encargado de la privacidad de los datos y otros Responsables (incluso su ejecutivo encargado de la privacidad de los datos). Cualquier actualización de la información debe proporcionarse a IBM estableciendo contacto con la dirección XXX.Xxxx.xxxxxxx@xx.xxx.xxx junto con el número de contrato y el nombre del Cliente.
8. Persona de Contacto de Privacidad de IBM
Se puede acceder a la persona de contacto de privacidad de IBM en la dirección XXX.Xxxx.xxxxxxx@xx.xxx.xxx.