Anexo sobre el tratamiento de datos

Anexo sobre el tratamiento de datos

El presente Anexo sobre el tratamiento de datos («DPA») se refiere al Contrato de alojamiento en la nube («Contrato») en virtud del cual ISVHost («Proveedor de servicios») presta servicios de alojamiento en la nube al cliente («Empresa») y forma parte integrante del Contrato.  

CONSIDERANDO QUE el Prestador de Servicios presta determinados servicios a la Empresa en virtud del Contrato («Servicios»);  

CONSIDERANDO que, como parte de los Servicios que el Proveedor de Servicios presta a la Empresa en virtud del Contrato, se facilitará al Proveedor de Servicios, o este tendrá acceso a, Información Personal, tal y como se utiliza y entiende dicho término en la Legislación sobre Protección de Datos (definida más adelante);

CONSIDERANDO que las partes pretenden aplicar un acuerdo de tratamiento de datos (DPA) que cumpla con los requisitos de la legislación en materia de protección de datos.  

POR LO TANTO, SE ACUERDA LO SIGUIENTE:  

  1. Definiciones
  1. Por «publicidad conductual entre contextos» se entiende la orientación de la publicidad a un consumidor basada en la información personal de este obtenida a partir de su actividad en empresas, sitios web de marcas distintas, aplicaciones o servicios, distintos de la empresa, el sitio web de marca distinta, la aplicación o el servicio con los que el consumidor interactúa de forma intencionada.  
  1. Por «consumidor» se entiende una persona física residente en una jurisdicción en la que se apliquen leyes de protección de datos, incluyendo, entre otros, a los «consumidores» tal y como se definen en la Ley de Privacidad del Consumidor de California, modificada por la Ley de Derechos de Privacidad de California, la Ley de Protección de Datos del Consumidor de Virginia, la Ley de Privacidad de Colorado, la Ley de Protección de Datos de Connecticut, la Ley de Privacidad del Consumidor de Utah, la Ley de Privacidad y Seguridad de Datos de Texas, la Ley de Privacidad del Consumidor de Oregón y otras leyes estatales de privacidad aplicables.
  1. Por «leyes de protección de datos» se entiende todas las leyes, normas, reglamentos y demás requisitos legales o de autorregulación aplicables en cualquier jurisdicción en materia de privacidad, protección de datos, seguridad de los datos, notificación de violaciones o el tratamiento (tal y como se define a continuación) de los datos personales.
  1. El término «información personal» incluye toda la información que permite identificar a una persona, tal y como se define en la legislación aplicable en materia de protección de datos.
  1. Los términos «tratamiento» y «tratar» se refieren a cualquier operación o conjunto de operaciones realizadas con respecto a los datos personales, incluyendo, entre otras cosas, la recogida, el almacenamiento y el uso de dichos datos.  
  1. Por «elaboración de perfiles» se entiende cualquier forma de tratamiento automatizado de datos personales destinado a evaluar, analizar o predecir la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad, el comportamiento, la ubicación o los desplazamientos de una persona.
  1. Por «violación de la seguridad» se entiende la destrucción, pérdida, alteración, divulgación o tratamiento no autorizados o ilícitos de datos personales.  
  1. Los términos «venta», «vender» o «tercero» tendrán el significado que se establece en el artículo 1798.140 del Código Civil de California, en su versión modificada, así como las definiciones análogas recogidas en otras leyes de protección de datos aplicables.
  1. Por «datos sensibles» o «información personal sensible» se entiende la información personal que revele el origen racial o étnico, las creencias religiosas, los diagnósticos de salud mental o física, la orientación sexual, la nacionalidad o la situación migratoria; los datos genéticos o biométricos tratados con el fin de identificar de forma única a una persona; la información personal recabada de un menor cuya identidad se conozca; o los datos de geolocalización precisos, tal y como se definen con mayor detalle en la legislación aplicable en materia de protección de datos.
  1. El término «proveedor de servicios» incluye el término «encargado del tratamiento» y otros términos similares, y dichos términos tendrán el mismo significado que el definido en la legislación aplicable en materia de protección de datos.
  1. Los términos «compartir», «compartido» o «compartir» tendrán el significado que se establece en el artículo 1798.140 del Código Civil de California, en su versión modificada, así como las definiciones análogas recogidas en otras leyes de protección de datos aplicables.
  1. Por «subencargado del tratamiento» se entiende cualquier subcontratista que trate datos personales en nombre del proveedor de servicios.
  1. Obligaciones del proveedor de servicios
  1. El proveedor de servicios tratará los datos personales con el único fin de prestar a la empresa los servicios enumerados en el contrato o según las instrucciones que esta le haya facilitado por escrito. Todo tratamiento de datos personales por parte del proveedor de servicios se realizará de conformidad con la legislación en materia de protección de datos.  
  1. Sin perjuicio de lo anterior, el Proveedor de Servicios no podrá: (i) vender Información Personal; (ii) compartir Información Personal con fines de publicidad conductual entre contextos; (iii) conservar, utilizar o divulgar ninguna Información Personal para ningún fin, incluidos los fines comerciales, salvo para los fines comerciales especificados en el Contrato o según lo autorice por escrito la Empresa; (iv) conservar, utilizar o divulgar cualquier Información Personal a terceros ajenos a la relación comercial directa entre la Empresa y el Proveedor de Servicios; (v) infringir ninguna de las restricciones aplicables enumeradas en las Leyes de Privacidad de Datos, incluidas aquellas relativas a la combinación de la Información Personal que el Proveedor de Servicios reciba de la Empresa, o en nombre de esta, con Información Personal que el Proveedor de Servicios reciba de otra persona o personas, o en nombre de estas, o que el Proveedor de Servicios recopile a partir de cualquier interacción entre él mismo y cualquier individuo; siempre que, no obstante, lo anterior no impida al Proveedor de Servicios combinar Datos Desidentificados (tal y como se definen a continuación) con otros datos desidentificados o anonimizados con fines internos de análisis, investigación o mejora de productos del Proveedor de Servicios; o (vi) llevar a cabo cualquier Tratamiento de Información Personal que esté prohibido o no esté permitido por los «Encargados del Tratamiento» o «Proveedores de Servicios» en virtud de las Leyes de Privacidad de Datos.
  1. No obstante lo anterior, el Proveedor de Servicios podrá desidentificar, anonimizar o agregar la Información Personal recibida de la Empresa, siempre que: (i) dicha desidentificación, anonimización o agregación se realice de conformidad con la legislación aplicable en materia de protección de datos; (ii) los datos resultantes («Datos desidentificados») no puedan utilizarse razonablemente para identificar a ninguna persona ni vincularse a ninguna persona; (iii) el Proveedor de Servicios implemente medidas de seguridad técnicas y procesos empresariales para impedir la reidentificación; y (iv) el Proveedor de Servicios prohíba contractualmente a cualquier destinatario posterior que intente reidentificar los datos. El Proveedor de Servicios podrá utilizar, conservar y combinar los Datos Desidentificados para sus propios fines internos de análisis, investigación, evaluación comparativa y mejora de productos o servicios. El Proveedor de Servicios no intentará reidentificar ningún Dato Desidentificado ni ninguna otra información seudonimizada, anonimizada, agregada o desidentificada.
  1. En caso de que el Proveedor de Servicios se vea legalmente obligado a facilitar cualquier dato personal a un tercero: (i) el Proveedor de Servicios dará sin demora a la Empresa la oportunidad razonable de impugnar dicha obligación legal o de solicitar protección frente a dicha divulgación; y (ii) el Proveedor de Servicios, tras consultar con la Empresa y su asesor jurídico, solo divulgará la cantidad mínima de datos personales necesaria para cumplir con la obligación legal.
  1. El Proveedor de Servicios deberá notificar a la Empresa, en un plazo de cinco (5) días hábiles, si determina que ya no puede cumplir con las obligaciones que le incumben en virtud del presente DPA o de la legislación en materia de protección de datos, o si ha incumplido alguna de las obligaciones establecidas en el presente DPA o infringido alguna ley de protección de datos.  
  1. Salvo en la medida en que sea necesario para cumplir con obligaciones legales, el Proveedor de Servicios eliminará toda la Información Personal de sus sistemas una vez finalizados los Servicios relacionados con el Tratamiento. En caso de que el Proveedor de Servicios esté legalmente obligado a conservar dicha Información Personal, deberá notificarlo a la Empresa. A partir de ese momento, dicha Información Personal podrá seguir almacenada en el sistema del Proveedor de Servicios, pero no será objeto de ningún otro tipo de Tratamiento y deberá cumplir con todas las Leyes de Protección de Datos aplicables.  
  1. El proveedor de servicios concede a la empresa el derecho, previa notificación con antelación razonable, a adoptar las medidas razonables y adecuadas para impedir y subsanar cualquier uso no autorizado de la información personal.  
  1. Las partes se prestarán mutua cooperación razonable para modificar o enmendar el presente Acuerdo de Tratamiento de Datos en caso de que la legislación vigente en materia de protección de datos, ya sea nueva o modificada, lo requiera.  
  1. Restricciones relativas a los datos sensibles y a la elaboración de perfiles. Se aplican los siguientes requisitos adicionales al tratamiento de datos sensibles y a cualquier actividad de elaboración de perfiles por parte del proveedor de servicios:
  1. El proveedor de servicios no tratará datos sensibles salvo en la medida estrictamente necesaria para prestar los servicios y únicamente con el consentimiento previo por escrito de la empresa, en el que se especifiquen las categorías de datos sensibles que se van a tratar y los fines de dicho tratamiento.
  1. El proveedor de servicios deberá aplicar y mantener medidas de seguridad técnicas y organizativas reforzadas para los datos sensibles, adecuadas al mayor riesgo asociado a dichos datos, incluyendo el cifrado tanto en reposo como en tránsito, controles de acceso que limiten el acceso al personal autorizado y el registro de todos los accesos a los datos sensibles.
  1. El proveedor de servicios reconoce que los consumidores tienen derecho a limitar el uso y la divulgación de sus datos sensibles con arreglo a la legislación aplicable en materia de protección de datos, y se compromete a respetar cualquier solicitud de limitación que le transmita la empresa.
  1. El proveedor de servicios no realizará perfiles de los consumidores utilizando la información personal recibida de la empresa, salvo que: (i) dicha elaboración de perfiles sea estrictamente necesaria para la prestación de los servicios; (ii) la empresa haya otorgado autorización previa por escrito para dicha actividad de elaboración de perfiles; y (iii) la elaboración de perfiles no genere efectos jurídicos o de similar importancia para los consumidores sin las garantías adecuadas.
  1. El proveedor de servicios deberá facilitar a la empresa la información necesaria para que esta pueda llevar a cabo cualquier evaluación de impacto relativa a la protección de datos o evaluación similar relacionada con las actividades de elaboración de perfiles, de conformidad con la legislación aplicable en materia de protección de datos.
  1. Si el proveedor de servicios recibe una solicitud de un consumidor para excluirse de la elaboración de perfiles, ya sea directamente o a través de la empresa, deberá cesar de inmediato todas las actividades de elaboración de perfiles relacionadas con los datos personales de dicho consumidor y confirmar dicho cese a la empresa por escrito.
  1. Asistencia en el tratamiento. Si el proveedor de servicios recurre a un subencargado del tratamiento u otra persona para que le preste asistencia en el tratamiento de los datos personales, deberá notificar a la empresa dicha contratación, y dichos subencargados del tratamiento o personas contratadas deberán:  
  1. Hayan sido seleccionados mediante medidas razonablemente diseñadas para garantizar la fiabilidad, la competencia y la honradez de dicho subencargado del tratamiento o de dicha persona, lo que incluye la realización de las comprobaciones de antecedentes pertinentes cuando sea legalmente posible;
  1. Haber recibido la formación necesaria para facilitar el cumplimiento de este acuerdo de tratamiento de datos por parte del proveedor de servicios;
  1. hayan celebrado un acuerdo escrito adecuado que obligue a dicho subencargado del tratamiento o a dicha persona a cumplir con la legislación en materia de protección de datos y a tratar los datos personales únicamente en la medida en que lo permita el presente DPA; y
  1. Recibir del proveedor de servicios acceso a la información personal únicamente en la medida en que dicho acceso sea necesario para que el subcontratista o la persona pueda cumplir con las obligaciones para las que haya sido contratado.
  1. Asistencia en el cumplimiento de la legislación en materia de protección de datos. Las partes cooperarán y se prestarán asistencia mutua de forma razonable para garantizar el cumplimiento de sus respectivas obligaciones en virtud de la legislación en materia de protección de datos, teniendo en cuenta la naturaleza del tratamiento realizado por el proveedor de servicios y la información de que este dispone. Sin perjuicio de lo anterior:
  1. El proveedor de servicios deberá notificar a la empresa lo antes posible, y en cualquier caso en un plazo máximo de tres (3) días hábiles, la recepción de cualquier solicitud o reclamación relacionada con cualquier dato personal.  
  1. El proveedor de servicios no responderá a ninguna de esas solicitudes a menos que la empresa le haya autorizado por escrito a hacerlo, salvo en la medida en que el proveedor de servicios tenga la obligación, en virtud de la legislación aplicable, de responder directamente.  
  1. Si el proveedor de servicios tiene la obligación, en virtud de la legislación aplicable, de responder directamente, deberá, salvo que la ley se lo prohíba, notificar a la empresa dicho requisito antes de realizar la notificación inicial y cumplir con las instrucciones razonables de la empresa a la hora de responder a dicha solicitud.
  1. En caso de que la Empresa solicite al Proveedor de Servicios que elimine o modifique cualquier dato personal, el Proveedor de Servicios deberá hacerlo sin demora y deberá transmitir dichas solicitudes de eliminación o modificación a las partes posteriores de acuerdo con la legislación en materia de protección de datos.
  1. Seguridad. El proveedor de servicios deberá aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad de los datos personales acorde con el riesgo, y en todos los casos dichas medidas deberán cumplir con la legislación aplicable en materia de protección de datos.
  1. Violación de la seguridad. El proveedor de servicios cumplirá con todas las obligaciones relacionadas con las violaciones de la seguridad que le sean aplicables en virtud de la legislación en materia de protección de datos. Teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, el proveedor de servicios prestará a la empresa la asistencia razonable necesaria para que esta pueda cumplir con sus obligaciones en materia de violaciones de la seguridad.

Las Partes del Acuerdo declaran y garantizan por la presente que están debidamente autorizadas para vincular legalmente a dicha Parte a los términos del presente Acuerdo de Tratamiento de Datos.

Reduzca el coste y la complejidad de su aplicación Windows

Suscríbase a nuestro boletín
Gracias por unirse a nuestro boletín.
¡Uy! Algo ha ido mal al enviar el formulario.