Acuerdo de Procesamiento de Datos

.


Este es un acuerdo de procesamiento de datos ("DPA" por sus siglas en inglés) para el producto llamado Deyel ofrecido por Optaris Inc., e incluye las cláusulas contractuales estándares adoptadas por la Comisión Europea, según corresponda, y refleja el acuerdo de las partes que rigen al procesamiento de datos personales bajo los términos de servicio de Optaris ("ToS" por sus siglas en inglés). Este DPA es una enmienda a los Términos de Servicio, es efectivo a partir de su incorporación a los mismos y formará parte de los ToS. El término de este DPA seguirá el término de los ToS; y los términos definidos de otra manera tendrán el significado que se establece en los Términos de Servicio.

El GDPR (por sus siglas en inglés) protege el derecho fundamental de los interesados de la Unión Europea a la privacidad y la protección de datos personales. Introduce requisitos sólidos que elevarán y armonizarán los estándares de protección de datos, seguridad y cumplimiento.


1.Definiciones

"Controlador": persona física o jurídica, autoridad pública, agencia u otro organismo que, sola o conjuntamente con otros, determina los propósitos y medios del Procesamiento de Datos Personales.

“Cliente”: se refiere a la entidad que ud. representa.

“Datos del Cliente”: se refiere a los "datos personales" (tal como se definen en el GDRP) que se cargan en las cuentas de AWS del Cliente.

“Ley de protección de datos”: se refiere a toda la legislación relacionada con la protección de datos y la privacidad, incluidas, entre otras, la Directiva de protección de datos de la UE 95/46/EC y todas las leyes y regulaciones locales que modifican o reemplazan cualquiera de ellas, incluido el GDPR, junto con leyes nacionales de aplicación en cualquier estado miembro de la Unión Europea o, en la medida aplicable, en cualquier otro país, según sea modificado, derogado, consolidado o reemplazado periódicamente.

“Sujeto de los datos”: se refiere al individuo con quien se relacionan los datos personales.

“GDPR”: se refiere al Reglamento 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, sobre la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46 /EC (Reglamento general de protección de datos).

“Instrucción”: es la instrucción escrita y documentada, emitida por el Controlador al Procesador para que realice una acción específica con respecto a los datos personales (incluyendo, entre otros, despersonalización, bloqueo, eliminación, puesta a disposición).

“Datos personales”: significa cualquier información relacionada con un individuo identificable contenida en los datos del cliente y protegida de manera similar a los datos personales o información de identificación personal según la Ley de Protección de Datos aplicable.

"Incumplimiento de la protección de datos personales" significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado o ilegal de los Datos personales transmitidos, almacenados o procesados ​​de otra manera.

"Procesamiento": cualquier operación o conjunto de operaciones que se realiza sobre los datos personales, que abarca la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otra manera, alineación o combinación, restricción o borrado de datos personales. Los términos "proceso", "procesos" y "procesado" se interpretarán de manera similar. "Procesador": persona física o jurídica, autoridad pública, agencia u otro organismo que procesa los Datos personales en nombre del Controlador. "Incidente de seguridad": significa una violación de la seguridad de AWS que genera la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente.


2. Asunto y Naturaleza del procesamiento

El procesamiento de datos personales por parte del procesador es la ejecución de los servicios que el controlador solicita. Los datos personales estarán sujetos a las actividades de procesamiento que se especifiquen en los Términos de servicio y a un pedido específico.


3. Tipos de Datos personales y propósito de procesamiento.

La información de contacto, cuyo alcance es determinado y controlado por el cliente a su exclusivo criterio, y otros datos personales como datos de navegación (incluida la información de uso del sitio web), correo electrónico, datos de uso del sistema, datos de integración de aplicaciones y otros datos electrónicos enviados, almacenados y recibidos por los usuarios finales a través de la Plataforma Deyel serán procesados con el fin de proporcionar los servicios establecidos y acordados en los términos de servicio y por cualquier pedido aplicable.


4. Categoría de sujetos de los datos.

Los contactos del Controlador y otros usuarios finales, incluidos los empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas del Controlador. Los sujetos de datos también incluyen individuos que intentan comunicarse o transferir datos personales a los usuarios finales del controlador.


5. Responsabilidad del cliente

El controlador será el único responsable de cumplir con los requisitos legales relacionados con la protección de datos y la privacidad, en particular con respecto a la divulgación y transferencia de datos personales al procesador y el procesamiento de datos personales. Para evitar dudas, las instrucciones del Controlador para el Procesamiento de Datos Personales deberán cumplir con la Ley de Protección de Datos. El Controlador informará al Procesador sin demora indebida y de manera exhaustiva sobre cualquier error o irregularidad relacionada con las disposiciones legales sobre el Procesamiento de Datos Personales.


6. Obligaciones del procesador

El controlador será el único responsable de cumplir con los requisitos legales relacionados con la protección de datos y la privacidad, en particular con respecto a la divulgación y transferencia de datos personales al procesador y al procesamiento de datos personales. Para evitar dudas, las instrucciones del Controlador para el Procesamiento de Datos Personales requieren cumplir con la Ley de Protección de Datos. El Controlador informará al Procesador sin demora indebida y de manera exhaustiva sobre cualquier error o irregularidad relacionada con las disposiciones legales sobre el Procesamiento de Datos Personales (además de almacenar y mantener la seguridad de los Datos personales afectados) hasta el momento en que el Controlador emita nuevas instrucciones que el Procesador pueda cumplir.
El Procesador tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos personales contra la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales. Dichas medidas incluyen, pero no se limitan a:

  1. La prevención de que personas no autorizadas tengan acceso a los sistemas de procesamiento de datos personales (control de acceso físico),
  2. La prevención del uso de sistemas de procesamiento de datos personales sin autorización (control de acceso lógico).
  3. Asegurar que los Datos personales no se puedan leer, copiar, modificar o eliminar sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer y verificar las entidades intervinientes en cualquier transferencia de Datos personales (control de transferencia de datos).
  4. Asegurarse de que los Datos personales sean procesados únicamente de acuerdo con las Instrucciones (control de instrucciones).
  5. Asegurar que los datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).
  6. Asegurarse que los datos personales estén respaldados y mantenidos utilizando los estándares de la industria.
  7. Asegurarse que los proveedores de infraestructura utilicen esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99.77% para el acceso a los servicios del Procesador.


7. Rectificación, Restricción y Seguridad de los Datos

El Procesador proporcionará asistencia razonable, incluso mediante medidas técnicas y organizativas apropiadas y teniendo en cuenta la naturaleza del Procesamiento, para permitir que el Controlador responda a cualquier solicitud de los Sujetos de datos que busquen ejercer sus derechos bajo la Ley de Protección de Datos con respecto a los datos personales (incluido el acceso, rectificación, restricción, eliminación o portabilidad de los Datos personales, según corresponda), en la medida permitida por la ley. Si dicha solicitud se realiza directamente al Procesador, el Procesador informará de inmediato al Controlador y aconsejará a los Sujetos de Datos que presenten su solicitud al Controlador. El controlador será el único responsable de responder a las solicitudes de cualquier interesado. El Controlador reembolsará al Procesador los costos derivados de esta asistencia.


8. Violaciones a los datos personales.

El Procesador notificará al Controlador tan pronto como sea posible cuando tenga conocimiento de cualquier violación a los Datos Personales que los afecte. A solicitud del Controlador, el Procesador proporcionará de inmediato toda la asistencia razonable necesaria para permitir que éste notifique los incumplimientos de Datos Personales relevantes a las autoridades competentes y/o los Sujetos de Datos afectados, si así le fuera requerido por la aplicación de la Ley de Protección de Datos.


9. Sub Procesadores

El Procesador tendrá derecho a contratar a subprocesadores para cumplir con las obligaciones definidas en los Términos de Servicio en la medida que el controlador los términos de servicio de Optaris. Cuando el Procesador involucra a los subprocesadores, estos deberán cumplir con los mismos términos de servicio y obligaciones que se aplican al Procesador bajo este DPA.
Aquí está la lista de subprocesadores

  1. Amazon Web Services, Inc. (https://aws.amazon.com/compliance/)
  2. Google, Inc. (https://cloud.google.com/security/compliance)


10. Transferencia de Datos Personales

El Controlador reconoce y acepta que, en relación con el desempeño de los servicios bajo los ToS, los Datos personales serán transferidos a AWS (Amazon Web Services, Inc) en los Estados Unidos. Amazon Web Services, Inc. tiene varias certificaciones para implementar salvaguardas apropiadas para tales transferencias de conformidad con el Artículo 46 del GDPR.