ACUERDO DE PROTECCIÓN DE DATOS DE CRITEO
ACUERDO DE PROTECCIÓN DE DATOS DE CRITEO
PREÁMBULO
El presente Acuerdo de protección de datos de Criteo (en adelante, el “APD”) complementa las Condiciones generales de servicio de Criteo (en adelante, las “Condiciones”) y las Condiciones específicas de servicio de Criteo (en adelante, las “CES”) pertinentes, incorporándose al Contrato entre Criteo y el Cliente para la prestación de los correspondientes Servicios de Criteo.
Este APD describe las obligaciones de protección y seguridad de las Partes con respecto a cualquier tratamiento de datos personales realizado en relación con la prestación de los Servicios de Criteo pertinentes, incluido el tratamiento de Datos de servicio si, y únicamente en la medida en que, dichos datos contienen datos personales, de acuerdo con los requisitos de la Ley de protección de datos.
Este APD está organizado en torno a las siguientes secciones:
• Sección I: Condiciones comunes
o La Sección I se aplica cuando el Cliente ha solicitado Servicios a Criteo, independientemente del tipo de Servicios solicitados.
• Sección II: Condiciones de corresponsables del tratamiento
o La Sección II se aplica cuando el Cliente ha solicitado Servicios en los que Criteo y el Cliente actúan como Corresponsables del tratamiento según lo establecido en el CES pertinente (los “Servicios de Corresponsable del tratamiento”).
• Sección III: Condiciones de Responsable del tratamiento a Encargado del tratamiento
o La Sección III se aplica cuando el Cliente ha solicitado Servicios en los que el Cliente actúa como Responsable del tratamiento y Criteo actúa como Encargado del tratamiento, tratando Datos personales en nombre del Cliente según se establece en el CES pertinente (los “Servicios de Responsable del tratamiento a Encargado del tratamiento”).
Sección I: Condiciones comunes
Las disposiciones de esta Sección I “Condiciones comunes” son siempre de aplicación cuando el Cliente ha solicitado Servicios a Criteo, independientemente del tipo de Servicios solicitados.
1 Definiciones
A menos que se indique lo contrario en el presente documento, se aplican a este APD las definiciones establecidas en las Condiciones y las CES. También se aplicarán a este APD las definiciones adicionales establecidas a continuación.
“Consentimiento” | se refiere a cualquier indicación libremente dada, específica, informada e inequívoca de los deseos del Interesado mediante la cual, a través de una declaración o una acción afirmativa clara, denota que está de acuerdo con el Tratamiento de Datos personales relacionados con él o ella. |
“Responsable del tratamiento” | se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, sola o conjuntamente con otras, determina los fines y medios del Tratamiento de Datos personales. En virtud de la Sección II de este APD, Criteo y el Cliente actúan como Corresponsables del tratamiento y en virtud de la Sección III de este APD, el Cliente actúa como Responsable del tratamiento. |
“Legislación de protección de datos” | significa, en la medida aplicable en la(s) jurisdicción(es) pertinente(s) para los Servicios, el RGPD y todas las leyes y normativas, así como todos los requisitos legalmente vinculantes emitidos por las autoridades de protección de datos competentes (i) que rigen el tratamiento y la seguridad de la información en relación con las personas físicas y que establecen normas para la protección de los derechos y libertades de dichas personas físicas con respecto al tratamiento de los datos relacionados con ellas, (ii) que especifican las normas para la protección de la privacidad en relación con el tratamiento de datos y las comunicaciones electrónicas, o (iii) que promulgan derechos para las personas físicas que sean exigibles |
para las organizaciones con respecto al tratamiento de sus datos personales, incluidos los derechos de acceso, rectificación y supresión. | |
“Interesado” | se refiere a una persona física identificable que puede ser identificada, directa o indirectamente, en particular mediante referencia a un identificador (por ejemplo, un nombre, un número de identificación, datos de ubicación, un identificador en línea) o a uno o más factores específicos de esa persona física. A efectos de este APD, “Interesado” se refiere a las personas físicas cuyos Datos personales se tratan como parte de la prestación de los Servicios de Criteo pertinentes. |
“RGPD” | se refiere al Reglamento de la UE 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE. |
“Corresponsable del tratamiento” | se refiere a un Responsable del tratamiento que actúa conjuntamente con otro u otros. En virtud de la Sección II de este APD, Criteo y el Cliente actúan como corresponsables del tratamiento. |
“Datos personales” | se refiere a cualquier información relacionada con una persona física identificada o identificable y que se trate en relación con la prestación de los Servicios de Criteo pertinentes. |
“Infracción de la seguridad de los datos personales” | se refiere a una infracción de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos personales transmitidos, almacenados o tratados, en general. |
“Encargado del tratamiento” | se refiere a una persona física o jurídica, autoridad pública, agencia u otro organismo que trata Datos personales en nombre del Responsable del tratamiento. En virtud de la Sección II de este APD, los encargados del tratamiento que pueden ser contratados por Criteo o el Cliente son Encargados del tratamiento y en virtud de la Sección III de este APD, Criteo actúa como Encargado del tratamiento. |
“Tratamiento” | se refiere a cualquier operación o conjunto de operaciones que se realice en Datos personales o en conjuntos de Datos personales, ya sea por medios automatizados o no, como la recogida, el registro, la organización, estructuración, conservación, adaptación o alteración, recuperación, consulta, el uso, la comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, el cotejo o la combinación, limitación, supresión o destrucción. |
2 Cumplimiento de la Legislación
2.1 Cada Parte cumplirá, y tendrá que ser capaz de demostrar el cumplimiento de, sus respectivas obligaciones en virtud de la Legislación de protección de datos y de conformidad con este APD.
2.2 El Cliente reconoce y acepta específicamente que su uso de los Servicios de corresponsable del tratamiento y de responsable a encargado del tratamiento cumple con la Legislación de protección de datos.
3 Autorizaciones
3.1 Una Parte no divulgará Datos personales a la otra Parte, excepto cuando la Parte divulgadora garantice a la otra Parte que esta divulgación cumple con las Leyes de protección de datos y que ha cumplido con cualquier requisito aplicable de información, notificación o de autorización o consentimiento del poder público o los Interesados pertinentes, con respecto a cualesquiera Datos personales que proporcione la Parte divulgadora a la otra Parte. Cada Parte divulgadora debe conservar pruebas del cumplimiento de dichos requisitos durante la vigencia del Contrato y proporcionarlas inmediatamente a la otra Parte previa solicitud.
3.2 Nada de lo contenido en este APD prohibirá o limitará los derechos de Criteo a llevar a cabo la anonimización de los Datos personales tratados en relación con el Contrato, y en la medida en que lo exija la Legislación de protección de datos, el Cliente autoriza por el presente a Criteo a ejecutar técnicas de anonimización en cumplimiento de la Legislación de protección de datos. En aras de la claridad, los datos resultantes de la anonimización efectiva y conforme no están sujetos a este APD ni, de manera más general, a la Legislación de protección de datos.
4 Cooperación
4.1 Las Partes cooperarán para cumplir con la Legislación de protección de datos y con sus obligaciones conforme al presente APD.
4.2 Las Partes conservarán la documentación correspondiente sobre las actividades de Tratamiento llevadas a cabo por cada una de ellas y sobre su cumplimiento de la Legislación de protección de datos y de este APD con respecto al Corresponsable del tratamiento y a los Servicios de Responsable del tratamiento a Encargado del tratamiento.
4.3 En caso de investigación, procedimiento, solicitud formal de información o documentación, o cualquier suceso similar en relación con una autoridad de protección de datos y en relación con el Corresponsable del tratamiento o los Servicios de responsable a encargado del tratamiento o con los Datos personales, las Partes tratarán de forma inmediata y adecuada las consultas de la otra Parte relacionadas con el Tratamiento de Datos personales en virtud del Contrato.
5 Delegados de protección de datos
5.1 Criteo y el Cliente nombraron a un delegado de protección de datos. Puede ponerse en contacto con el delegado de protección de datos de Criteo en: xxx@xxxxxx.xxx. Los datos de contacto del delegado de protección de datos del Cliente deben comunicarse a Criteo.
Sección II: Condiciones de los Corresponsables del tratamiento
6 Ámbito de esta Sección II
6.1 Esta Sección II se aplicará únicamente con respecto al Tratamiento de Datos personales llevado a cabo en el contexto de la prestación por parte de Criteo de los Servicios de Corresponsable del tratamiento solicitados por el Cliente.
6.2 De conformidad con el artículo 26 del RGPD, las Partes determinan sus respectivas responsabilidades para el cumplimiento de sus obligaciones en virtud del RGPD.
7 Obligaciones de las Partes al actuar como Corresponsables del tratamiento
7.1 Al tratar Datos personales como Corresponsables del tratamiento en virtud de la Sección II de este APD, cada Parte acepta que:
(a) Cumplirá con cualquier requisito que surja en virtud de la Legislación de protección de datos y no ejecutará sus obligaciones en virtud de este APD ni pedirá al otro corresponsable del tratamiento que cumpla con sus obligaciones de tal manera que haga que el otro corresponsable del tratamiento incumpla alguna de sus obligaciones en virtud de la Legislación de protección de datos;
(b) Tendrá en cuenta todos los principios de protección de datos previstos en la Legislación de protección de datos, incluidos, entre otros, los principios de limitación de la finalidad, minimización de datos, precisión, limitación de conservación, seguridad, integridad y confidencialidad, transparencia y protección de Datos personales por diseño y por defecto;
(c) Mantendrá un registro del Tratamiento de los Datos personales bajo su responsabilidad;
(d) Ejecutará medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad correspondiente a los riesgos que presenta el Tratamiento de los Datos personales que lleva a cabo (incluido, para el Cliente, en relación con las Propiedades digitales del Cliente), en particular para proteger los Datos personales contra la destrucción accidental o ilícita o la pérdida o alteración accidental, así como la divulgación o acceso no autorizados;
(e) Tomará todas las medidas necesarias para abordar cualquier Infracción de la seguridad de los datos personales relacionada con los Datos personales que trata, mitigar sus efectos, prevenir posteriores infracciones de la seguridad de los datos personales y, cuando sea necesario, informará de ello a la(s) autoridad(es) de protección de datos competentes y a los Interesados;
(f) Cooperará en la preparación de las evaluaciones de impacto relativas a la protección de datos que sean necesarias;
(g) Llevará a cabo cualquier evaluación, consulta y/o notificación a las autoridades de protección de datos competentes o a los Interesados, en relación con el Tratamiento que lleve a cabo; y
(h) Gestionará las solicitudes y/o quejas de los Interesados que reciba, en particular las solicitudes relacionadas con el ejercicio de sus derechos en virtud de la Legislación de protección de datos, incluidos los derechos de acceso, rectificación, supresión y objeción y el derecho a retirar el Consentimiento. Cuando una Parte reciba una solicitud de derecho de un Interesado con respecto a Datos personales tratados por la otra Parte, dicha Parte receptora remitirá al Interesado a la política de privacidad de la otra Parte explicando cómo ejercer su solicitud de derecho con dicha otra Parte, a fin de permitir que dicha otra Parte responda directamente a la solicitud del Interesado.
8 Obligaciones de Criteo
8.1 Criteo será el único responsable, de acuerdo con y en la medida requerida por la Legislación de protección de datos, de incluir un enlace a la página de Política de Privacidad de Criteo (xxx.xxxxxx.xxx/xxxxxxx), que incluirá información para los Interesados sobre cómo desactivar el Servicio Criteo (e insertará un enlace de “exclusión voluntaria”) en todos los anuncios publicados en las Propiedades digitales del Cliente.
9 Obligaciones del Cliente
9.1 El Cliente será el único responsable, de acuerdo con y en la medida requerida por la Legislación de protección de datos, de:
(a) proporcionar a los Interesados toda la información necesaria de conformidad con la Legislación de protección de datos, incluido de conformidad con los Artículos 13 y 14 del RGPD, con respecto al Tratamiento de los Datos personales en relación con los Servicios de corresponsable del tratamiento;
(c) recopilar y documentar el consentimiento obtenido de los interesados;
(d) implementar mecanismos de elección para solicitar un Consentimiento válido de los Interesados de conformidad con la Legislación de protección de datos y, cuando proceda, con los requisitos específicos de las autoridades de control locales competentes;
(e) cumplir con los requisitos aplicables al periodo de validez del consentimiento recogido y solicitar el consentimiento de los interesados una vez que este periodo de validez haya caducado; y
(f) proporcionar inmediatamente a Criteo, previa solicitud y en cualquier momento, pruebas de que el Cliente ha obtenido el Consentimiento de un Interesado.
Sección III: Condiciones de Responsable del tratamiento a Encargado del tratamiento
10 Ámbito de esta Sección III
10.1 Esta Sección III se aplicará únicamente con respecto al Tratamiento de Datos personales llevado a cabo en el contexto de los Servicios de Responsable del tratamiento a Encargado del tratamiento que solicite el Cliente y en el que Criteo actúe como Encargado del tratamiento, para el cual el objeto, la naturaleza y el fin, el tipo de Datos personales, las categorías de Interesados y la duración del Tratamiento se establecen en el Apéndice 1 “Servicios de Responsable del tratamiento a Encargado del tratamiento: Detalles del tratamiento de Datos personales”.
11 Obligaciones del Cliente
11.1 El Cliente será el único responsable de garantizar la exactitud, legalidad y calidad de los Datos personales y de garantizar que el Tratamiento confiado a Criteo tenga una base jurídica adecuada de conformidad con las Leyes de protección de datos.
12 Obligaciones de Criteo
12.1 Instrucciones del Cliente. Criteo tratará los Datos personales para los Servicios de Responsable de tratamiento a Encargado del tratamiento pertinentes únicamente según las instrucciones documentadas del Cliente. El Cliente no podrá indicar a Criteo que trate Datos personales de una manera no compatible con el Contrato y, más concretamente, con este APD. Criteo informará inmediatamente al Cliente en caso de estimar, razonablemente, que no puede seguir sus instrucciones, o si dichas instrucciones no son compatibles con las CES o, en general, con el Contrato.
12.2 Datos inexactos u obsoletos. Criteo informará al Cliente si tiene conocimiento de que los Datos personales son inexactos o han quedado obsoletos, y cooperará previa solicitud con el Cliente para suprimir o rectificar dichos datos.
12.3 Medidas técnicas y organizativas. Criteo implementará las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los Datos personales, incluida la protección contra una Infracción de la seguridad de los Datos personales. En el cumplimiento de sus obligaciones en virtud de este párrafo, Criteo ejecutará al menos las medidas técnicas y organizativas especificadas en el Apéndice 2 “Anexo de seguridad”. Por el presente, el Cliente confirma a Criteo que considera que las medidas técnicas y organizativas de Criteo especificadas en el Apéndice 2 “Anexo de seguridad” proporcionan un nivel adecuado de seguridad. Criteo también ayudará al Cliente a cumplir con sus obligaciones en virtud del artículo 32 del RGPD.
12.4 Infracción de la seguridad de los datos personales. En caso de Infracción de la seguridad de los datos personales relacionada con los Datos personales tratados por Criteo, Criteo tomará las medidas adecuadas para abordar la infracción, incluidas medidas para mitigar sus efectos adversos. Criteo también informará al Cliente sin demora indebida en cuanto haya tenido conocimiento del incumplimiento y tras disponer del plazo necesario para facilitar la información pertinente, incluida, por ejemplo, una descripción de la naturaleza del incumplimiento (incluidas, cuando sea posible, categorías y número aproximado de Interesados y registros de Datos personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para abordar el incumplimiento, incluidas, cuando proceda, medidas para mitigar sus posibles efectos adversos. Criteo cooperará y ayudará al Cliente a permitir el cumplimiento de cualquier solicitud de una autoridad competente y/o de Interesados afectados, teniendo en cuenta la naturaleza del Tratamiento y la información de que disponga Criteo.
12.5 Acceso a Datos personales. Criteo concederá acceso a los Datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, administración y supervisión del Contrato y de conformidad con este APD. Se asegurará de que las personas autorizadas para tratar los Datos personales se hayan comprometido a cumplir uno o varios acuerdos de confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
13 Derechos de los Interesados. Criteo notificará de inmediato al Cliente cualquier solicitud que haya recibido de un Interesado. Criteo no responderá a la propia solicitud. Criteo asistirá razonablemente al Cliente en el cumplimiento de sus obligaciones de responder a las solicitudes de los Interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del Tratamiento.
13.1 Evaluación de impacto relativa a la protección de datos. Criteo ayudará al Cliente a cumplir con cualquier evaluación de impacto relativa a la protección de datos requerida a petición del Cliente, teniendo en cuenta la información de que disponga Criteo.
13.2 Subencargados del tratamiento. Criteo podrá contratar a subencargados del tratamiento según se establece en el Apéndice 1 “Servicios de Responsable del tratamiento a Encargado del tratamiento: Detalles del tratamiento de datos personales”. El Cliente autoriza a Criteo a contratar a otros subencargados a fin de llevar a cabo el Tratamiento para los Servicios pertinentes de Responsable a Encargado del tratamiento, en cuyo caso Criteo informará al Cliente de cualquier cambio relativo a la eventual adición o sustitución de subencargados antes de que dichos cambios entren en vigor, para dar al Cliente la posibilidad de oponerse a ellos por motivos razonables en un plazo de treinta (30) días desde la notificación del cambio por parte de Criteo al Cliente, en cuyo caso las Partes conversarán de buena fe con vistas a encontrar una solución mutuamente aceptable. Si las Partes no logran un acuerdo, Criteo podrá resolver el Contrato en su totalidad o en parte con respecto únicamente a los Servicios de Responsable a Encargado del tratamiento afectados. Cuando contrate a otro Encargado del tratamiento, Criteo celebrará un acuerdo vinculante para dicho
Encargado del tratamiento y establecerá las mismas obligaciones de protección de datos, o más estrictas, que las establecidas en este APD, proporcionando en particular garantías suficientes para ejecutar medidas técnicas y organizativas similares.
13.3 Tratamiento de Datos personales al margen de las Instrucciones del Cliente. No obstante lo anterior, si la legislación aplicable o una decisión vinculante de una autoridad competente requiere que Criteo trate Datos personales al margen de las instrucciones del Cliente con el fin de prestar los Servicios de Responsable a Encargado del tratamiento, Criteo informará de ello al Cliente, a menos que lo prohíba la legislación aplicable.
13.4 Auditoría. El Cliente podrá solicitar por escrito, a intervalos razonables, que Criteo ponga a disposición del Cliente información relativa al cumplimiento de Criteo de sus obligaciones en virtud de la Sección III de este APD, en forma de copia de las fiscalizaciones o certificaciones de terceros más recientes de Criteo.
El Cliente puede solicitar una fiscalización in situ de las actividades de Tratamiento de Criteo descritas en la Sección III de este APD mediante notificación razonable a Criteo. Dicha fiscalización interna solo podrá realizarse cuando (i) la información puesta a disposición por Criteo según lo establecido anteriormente sea insuficiente, (ii) se haya producido un incidente de seguridad o (iii) dicha fiscalización sea requerida por la Legislación de protección de datos o una autoridad de protección de datos competente.
Las Partes acordarán el ámbito, el momento y la duración de la fiscalización. La fiscalización no puede interferir de forma injustificada con las actividades de Criteo.
El Cliente solo podrá nombrar a un auditor externo que no sea competidor de Criteo. Dicho auditor externo celebrará un acuerdo de confidencialidad con Criteo y el Cliente antes de llevar a cabo la fiscalización.
Después de la fiscalización in situ, el Cliente compartirá inmediatamente con Criteo los resultados de esta.
Previa solicitud, las Partes pondrán a disposición de las autoridades de protección de datos la información mencionada en esta cláusula, incluidos los resultados de cualquier fiscalización.
El Cliente asumirá todos los costes relacionados con las fiscalizaciones.
13.5 Cesión de Datos personales. Cualquier cesión de datos a un tercer país o a una organización internacional por parte de Criteo se realizará únicamente sobre la base de instrucciones documentadas del Cliente de conformidad con el Capítulo V del RGPD. El Cliente acepta que cuando Criteo contrate a un subencargado del tratamiento de conformidad con la Cláusula 13.2 para llevar a cabo actividades de Tratamiento específicas (en nombre del Cliente) y dichas actividades de Tratamiento impliquen una cesión de Datos personales en el sentido del Capítulo V del RGPD, Criteo y el Subencargado del tratamiento pueden garantizar el cumplimiento del Capítulo V del RGPD mediante el uso de cláusulas contractuales tipo adoptadas por la Comisión Europea de conformidad con el Artículo 46(2) del RGPD, siempre que se cumplan las condiciones de uso de dichas cláusulas contractuales tipo.
13.6 Consecuencias de la resolución. Si el Cliente resuelve un Servicio de Responsable del tratamiento a Encargado del tratamiento, o si el Contrato vence o se resuelve por cualquier motivo, Criteo, a elección del Cliente, eliminará todos los Datos personales tratados solo para ese Servicio de Responsable a Encargado del tratamiento, o devolverá al Cliente todos esos Datos personales. Criteo proporcionará la certificación, según corresponda, de que se han eliminado las copias de dichos Datos personales, previa solicitud por escrito del Cliente, sin perjuicio de cualquier copia de seguridad operativa que conserve Criteo durante un periodo razonable de acuerdo con las normas del sector. En caso de que la legislación aplicable prohíba a Criteo eliminar los Datos personales, Criteo garantiza que continuará asegurándose del cumplimiento de este APD y solo tratará dichos Datos personales en la medida y durante el tiempo que exija la legislación aplicable.
APÉNDICE 1: Servicios de Responsable del tratamiento a Encargado del tratamiento: Detalles del tratamiento de datos personales
Categoría de interesados | |||
Categorías de Interesados cuyos datos personales se tratan | Usuarios de Propiedades digitales del Cliente (compradores) | Empleados del Responsable del tratamiento de datos | Vendedores (empleados/representantes) |
Categorías de datos personales tratados | Identificadores que consisten en una serie de caracteres (identificador contenido en una cookie u otro) proporcionados por el Responsable del tratamiento de datos (cuando estos datos resulten ser Datos personales en virtud de la Legislación de protección de datos) | Nombre y direcciones de correo electrónico de los empleados/representantes autorizados del Responsable del tratamiento de datos | Direcciones de correo electrónico de los vendedores (para enviarles comunicaciones y notificaciones) |
Datos sensibles | N/A | ||
Naturaleza del tratamiento | Recogida, alojamiento, tratamiento para proporcionar el Servicio, supresión | ||
Finalidad(es) para la(s) que se tratan los datos personales en nombre del responsable del tratamiento | Correlación de conversiones con clics (en el contexto de los Anuncios) | Comprobaciones de identidad (página de inicio de sesión) Administración de cuentas | |
Enviar notificación por correo electrónico a los vendedores | |||
Duración del tratamiento | Vigencia del Contrato |
El Cliente reconoce y autoriza el uso por parte de Criteo de las siguientes entidades como encargados del tratamiento o como subencargados del tratamiento, según corresponda, con respecto a los Servicios de Responsable a Encargado del tratamiento pertinentes:
Subencargado del tratamiento | Contenido del tratamiento | Naturaleza del tratamiento | Categorías de interesados | Categorías de datos personales tratados | Duración del tratamiento |
Amazon Web Services (AWS) | Alojamiento (centro de datos en Irlanda) | Alojamiento | Ver arriba | Ver arriba | Vigencia del Contrato |