Suplemento de Seguridad y Privacidad de los Datos
Suplemento de Seguridad y Privacidad de los Datos
1. Designación de las Partes. Las partes acuerdan que la Compañía debe ser el Controlador, y el Proveedor debe ser el Procesador de todos los datos recibidos de la Compañía o en su nombre, o que se obtengan de otro modo y estén relacionados con el cumplimiento de las obligaciones del Proveedor (los “Datos de la Compañía”). Las partes deben cumplir todas las leyes aplicables sobre privacidad y sus obligaciones relevantes que se derivan de este Acuerdo. El Proveedor debe garantizar que cualquier subprocesador que tenga acceso a los Datos de la Compañía cumpla con las obligaciones del Proveedor que se derivan de este Acuerdo.
2. Uso de los Datos Privados. El Proveedor accederá a, usará, mantendrá, recopilará, modificará, combinará, compartirá o revelará toda la información personal o exclusiva de un individuo específico, y toda la información financiera sensible sobre individuos o que pertenezca a estos, incluida cualquier información que se pueda usar para identificar o contactar a un individuo específico, como nombre y apellido, dirección de correo electrónico, número telefónico, número de seguridad social, información de la cuenta financiera, número de tarjeta de crédito, u otra (los "Datos Privados"), únicamente en la medida que sea necesario para cumplir sus obligaciones que se derivan de cualquier contrato celebrado con la Compañía, y así lo requiera esta. Cuando el Proveedor procese Datos Privados en nombre de la Compañía, debe garantizar que cualquier persona que actúe en su nombre o bajo su autoridad los procese únicamente de acuerdo con las instrucciones por escrito de la Compañía. El Proveedor le informará inmediatamente a la Compañía sobre cualquier requerimiento de la ley aplicable que disponga que los Datos Privados sean procesados de cualquier forma excepto de acuerdo con las Instrucciones de Procesamiento, a menos que esa ley prohíba dicha información o las Instrucciones de Procesamiento puedan infringir la ley aplicable.
3. Política de Seguridad y Privacidad. El Proveedor debe implementar y mantener, por su cuenta y cargo, medidas técnicas y organizacionales adecuadas en relación con el procesamiento de los Datos Privados que lleve a cabo, con el fin de garantizar el cumplimiento de las leyes aplicables sobre privacidad. Además, el Proveedor garantiza que ha adoptado e implementado medidas técnicas que son legal y operacionalmente adecuadas para proteger los Datos Privados de su destrucción, pérdida, modificación, revelación y acceso accidental, no autorizado o ilegítimo, así como de cualquier otra actividad ilegítima. El Proveedor debe garantizar que sus agentes y representantes que procesan los Datos Privados en nombre de la Compañía han celebrado acuerdos que los obligan a mantener la confidencialidad de los Datos Privados, y debe adoptar todas las medidas necesarias para garantizar que los representantes del Proveedor que procesan los Datos Privados recibieron capacitación adecuada sobre el cumplimiento de este Acuerdo y la ley aplicable.
4. Agentes y Subcontratistas. El Proveedor no debe contratar a otro Procesador en nombre de la Compañía para que realice actividades específicas de procesamiento que involucren los Datos Privados sin el consentimiento previo por escrito de esta. En caso de que la Compañía otorgue su consentimiento por escrito, el Proveedor debe celebrar un contrato vinculante por escrito con el subprocesador (el “Contrato del Procesador”) que le imponga a este último las mismas obligaciones de protección de datos contenidas en este Suplemento. A solicitud de la Compañía, el Proveedor debe suministrar copias de cualquier Contrato del Procesador formalizado. El Proveedor debe garantizar que cualquier tercero autorizado para recibir los Datos Privados acordó usar la información únicamente con los fines comerciales de la Compañía y en cumplimiento de
las leyes, normas y reglamentaciones aplicables, cualquier política de la Compañía, y los procedimientos de salvaguardia descritos en este Suplemento.
5. Cooperación, Auditoría e Inspección. El Proveedor debe proporcionarle a la Compañía asistencia, información y cooperación razonable para garantizar el cumplimiento de sus obligaciones dispuestas en la ley aplicable en relación con: (i) la seguridad de los datos; (ii) la notificación de filtración de datos; (iii) las respuestas a solicitudes relacionadas con los Datos Privados y/o la privacidad de los datos de la Compañía o las prácticas de seguridad de reguladores o individuos; y (iv) la realización de evaluaciones de impactos sobre la seguridad. El Proveedor debe implementar y mantener, por su cuenta y cargo, medidas técnicas y organizacionales adecuadas para ayudarle a la Compañía a cumplir sus obligaciones de responder las solicitudes de individuos relacionadas con los Datos Privados. Esto incluye garantizar que todas las solicitudes relacionadas con los Datos Privados sean registradas y luego remitidas a la Compañía en un plazo de tres días a partir de su recepción. La Compañía se reserva el derecho de realizar auditorías aleatorias en sus instalaciones para garantizar que el Proveedor cumple sus obligaciones relacionadas con los Datos Privados y que se derivan de este Suplemento, con la condición de que la Compañía notifique al Proveedor con suficiente anterioridad sobre dichas auditorías y/o inspecciones, y garantice que cualquier auditor está sujeto a obligaciones vinculantes de confidencialidad y que dicha auditoría o inspección se realiza de modo que interrumpa lo menos posible las actividades comerciales del Proveedor y otros clientes. Por lo demás, el Proveedor debe cooperar con los esfuerzos de la Compañía para controlar su cumplimiento.
6. No Exportación. El Proveedor no debe transferir los Datos de la Compañía a ningún país fuera del Área Económica Europea (el “AEE”) ni a ninguna organización internacional (un “Receptor Internacional”) sin el consentimiento previo por escrito de la Compañía. En caso de que la Compañía otorgue su consentimiento para transferir los Datos Protegidos a un Receptor Internacional, el Proveedor debe garantizar que dicha transferencia (y cualquier transferencia ulterior): (i) se realiza de conformidad con un contrato por escrito que incluye disposiciones relacionadas con la seguridad y confidencialidad de los Datos Privados; (ii) se realiza de conformidad con un mecanismo exigible por la ley aplicable para tales transferencias internacionales de Datos Privados (cuya forma y contenido estarán sujetos a la aprobación por escrito de la Compañía); (iii) se realiza en cumplimiento de este Suplemento; y (iv) en cualquier caso, cumple con la ley aplicable sobre privacidad.
7. Mantenimiento de Registros. El Proveedor debe llevar registros por escrito, completos, precisos y actualizados de todas las actividades de procesamiento realizadas en nombre de la Compañía (los “Registros de Procesamiento”), y, a solicitud de la misma, debe poner a su disposición y de manera oportuna la información (incluidos los Registros de Procesamiento) que esta requiera razonablemente para demostrar que el Proveedor cumple sus obligaciones que se derivan de las leyes aplicables sobre privacidad y este Acuerdo, información que la Compañía puede revelar a las autoridades reguladoras. Los Registros de Procesamiento deben contener, como mínimo, una descripción de todos los Datos Privados procesados por el Proveedor en nombre de la Compañía, el tipo de procesamiento, los fines del procesamiento, un registro de consentimiento (si lo hubiera) y cualquier otra información que la Compañía requiera razonablemente.
8. Filtraciones. En caso de que un tercero no autorizado acceda a, o adquiera, o exista la sospecha de que este accedió a, o adquirió los Datos Privados relacionados con los Servicios o este Acuerdo, el Proveedor debe notificar a la Compañía sin demora indebida (pero en ningún caso después de 12 horas de tener conocimiento de la posible filtración de datos) sobre la posible filtración de datos y proporcionarle, por escrito o correo electrónico, sin demora indebida (de ser
posible, dentro de 24 horas de tener conocimiento de la posible filtración de datos) los detalles que la Compañía razonablemente requiera. Además, el Proveedor debe investigar y corregir la posible filtración de datos y, en la medida en que esta tenga como resultado que se le imponga al Proveedor o la Compañía la obligación legal de notificar a los individuos afectados o llegara a poner a los individuos afectados en riesgo, debe proporcionarle a la Compañía garantías suficientes de que no volverá a ocurrir una filtración. El Proveedor garantiza que, en caso de una filtración de los Datos Privados, se documentarán todas las medidas de respuesta y se llevará a cabo una revisión posterior al incidente de los eventos y las medidas tomadas, si las hubiera, para cambiar las prácticas comerciales seguidas en relación con los Datos Privados. El Proveedor acuerda cooperar plenamente con la Compañía en su manejo del asunto, lo que incluye, sin limitación, cualquier investigación, informe u otra obligación exigida por la ley o reglamentación aplicable, como responder consultas o investigaciones reguladoras, o de cualquier otro modo que requiera la Compañía; y trabajará con esta para responder ante cualquier daño causado por la filtración y mitigarlo. El Proveedor no debe notificar a ningún tercero sobre la filtración sin la previa autorización por escrito de la Compañía.
9. Gestión de la Información. A solicitud por escrito de la Compañía, el Proveedor debe, sin demora, eliminar los Datos Privados de forma segura o devolverlos a la Compañía, en copia impresa o forma electrónica, tan pronto como su procesamiento de los mismos ya no sea necesario para que este cumpla sus obligaciones que se derivan de este Acuerdo. Luego de prestar los Servicios dispuestos en este Acuerdo y tan pronto como sea razonablemente posible, el Proveedor debe eliminar de forma segura todas las copias existentes de los Datos Privados, en forma electrónica y copia impresa, a menos que la ley aplicable exija el almacenamiento de los mismos, y en tal caso, el Proveedor debe notificar a la Compañía al respecto por escrito.
10. Indemnización y Reparación por Mandato Judicial. El Proveedor acuerda que debe reembolsar e indemnizar a la Compañía todos los costos en los que incurra al responder ante los daños causados por incumplimiento de este Suplemento y/o mitigarlos, incluida la filtración de los Datos Privados y cualquier acción que sea resultado de que el Proveedor actúe al margen de las instrucciones legítimas de la Compañía o en contravención de las mismas, o incumpla gravemente sus obligaciones de protección de datos o privacidad que se derivan de este Suplemento. Además, el Proveedor reconoce y acuerda que, en caso de que el incumplimiento inminente o real de este Suplemento tenga como resultado un daño irreparable que una indemnización pecuniaria no basta para compensar, y adicional a cualquier otra compensación, la Compañía tendrá derecho a exigir cumplimiento forzoso y reparación por mandato judicial, específicamente como resguardo de la revelación o uso indebido de los Datos Privados, como recurso en caso de que el Proveedor incumpla este Suplemento sin pagar fianza, y sin perjuicio de ningún otro derecho dispuesto en este Suplemento o la ley aplicable. Adicionalmente, el hecho de que el Proveedor incumpla cualquier disposición de este Suplemento será considerado como un incumplimiento grave del Acuerdo, y la Compañía podrá dar por terminado el Acuerdo sin tener obligación alguna hacia el Proveedor. En caso de litigio en relación con este Suplemento, la parte no vencedora será responsable y debe pagarle a la parte vencedora los honorarios de abogados en los que incurran esta última, sus agentes, asesores, representantes o filiales, en relación con dicho litigio y cualquier apelación del mismo.