Este anexo sobre procesamiento de datos, que incluye los anexos 1 y 2 («DPA»), establece los términos esenciales exigidos por Sojern, Inc., una corporación de Delaware con su sede principal ubicada en 575 Market Street, 4th Floor, San Francisco, CA 94105 EE. UU. («Sojern»). A los efectos de esta DPA, la empresa que es parte del Acuerdo (tal como se define a continuación) en el que se incorpora esta DPA se denomina «Compañía».
»Acuerdo» se refiere a todos y cada uno de los acuerdos entre las partes en virtud de los cuales Sojern recibe, recopila, accede o procesa de otro modo los Datos personales para los fines establecidos en el acuerdo de servicio o proveedor de datos aplicable. Esta DPA incorpora los términos y condiciones del Acuerdo y tal como se establece a continuación. En caso de conflicto entre la DPA y el Acuerdo, regirán y prevalecerán los términos de esta DPA. Todos los términos en mayúscula utilizados pero no definidos en este documento tendrán sus respectivos significados tal como se establece en el Acuerdo.
»Datos personales» significa cualquier información relativa a una persona física identificada o identificable que pueda identificarse directa o indirectamente.
»Servicio» se refiere a los servicios proporcionados por Sojern o la Compañía, según corresponda, en virtud del Acuerdo.
A los efectos del procesamiento llevado a cabo por Sojern de conformidad con el Acuerdo, la función de Sojern como procesador de datos o controlador de datos con respecto a los Datos personales procesados por Sojern se establecerá en el Acuerdo aplicable.
Salvo que la Compañía lo permita expresamente en este documento o por escrito, Sojern no (a) divulgará, venderá, distribuirá ni transmitirá Datos personales a terceros, ni (b) utilizará los Datos personales para ningún otro propósito que no sea el de proporcionar a la Compañía el Servicio en virtud del Acuerdo y de conformidad con todas las leyes de privacidad y protección de datos aplicables.
Cada parte certifica que entiende sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y que procesará los datos personales de acuerdo con todas las leyes de privacidad y protección de datos aplicables. Cuando Sojern actúe como procesador de datos, Sojern realizará el procesamiento según lo documentado e instruido por la Compañía en el Acuerdo, a menos que una autoridad reguladora notifique lo contrario que dicho procesamiento no cumple con las leyes de privacidad y protección de datos aplicables, en cuyo caso Sojern notificará inmediatamente a la Compañía por escrito de ese aviso regulatorio y podrá dejar de procesar los datos personales hasta que se resuelva el problema regulatorio.
Cada una de las partes mantendrá un registro escrito o electrónico del procesamiento de los datos personales. Cada una de las partes cooperará de manera razonable con la otra para cumplir con las leyes de privacidad y protección de datos aplicables con respecto a las evaluaciones del impacto de los datos, los registros del procesamiento, las solicitudes o consultas relacionadas con las autoridades de protección de datos y las auditorías, de conformidad con el Acuerdo aplicable, para que la Compañía pueda confirmar que Sojern ha cumplido con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y del Acuerdo.
Las partes reconocen que Sojern no mantiene una relación directa con las personas cuyos datos personales se proporcionan a Sojern. Por lo tanto, cuando lo exijan las leyes de privacidad y protección de datos aplicables, la Compañía pondrá a disposición la Política de privacidad de Sojern en http://www.sojern.com/privacy/privacy-policy/ a las personas cuyos datos personales son procesados por Sojern
La Compañía notificará a las personas y obtendrá su consentimiento según lo exijan las leyes de privacidad y protección de datos aplicables en relación con la recopilación, el uso y la divulgación de datos personales por parte de la Compañía. Si las leyes de privacidad y protección de datos aplicables exigen mecanismos mediante los cuales las personas puedan ejercer sus derechos, incluidos, entre otros, los derechos de exclusión voluntaria, la Compañía (o la otra parte responsable de la recopilación de datos personales en nombre de la Compañía) proporcionará dicho mecanismo a las personas. Se presumirá que la Compañía ha enviado las notificaciones apropiadas y ha obtenido los consentimientos correspondientes, si es necesario, de cualquier persona cuyos datos personales se hayan proporcionado a Sojern.
Cada parte cooperará razonablemente con la otra parte en respuesta a cualquier solicitud o queja de las personas relacionadas con el procesamiento de datos personales en virtud del Acuerdo y con respecto a los derechos de privacidad en virtud de las leyes de privacidad y protección de datos aplicables. Si Sojern recibe una solicitud de una persona, Sojern: (a) reenviará sin demora la solicitud a la Compañía para que gestione la solicitud; y (b) cuando Sojern sea un procesador de datos, implementará la decisión de la Compañía con respecto a cómo se gestionará la solicitud.
En la medida en que los datos personales originados fuera de los EE. UU. (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) se transfieran a Sojern, el procesamiento de datos requiera ser adecuado según las leyes del país de la Compañía y los términos de esta DPA puedan cumplir con la adecuación requerida, las partes acuerdan que esta DPA incorpora por referencia, según corresponda, las cláusulas contractuales estándar (UE) 2021/914 de la Comisión Europea para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016-679 por parte de los controladores de la UE/EEE a procesadores establecidos fuera de la UE/EEE (»Módulo 2») y/o por controladores de la UE/EEE a controladores establecidos fuera de la UE/EEE (»Módulo 1») y a medida que la Comisión Europea las modifique o sustituya de vez en cuando (en conjunto, las «Cláusulas»). Por motivos de comodidad, las cláusulas enlazadas anteriormente con los hipervínculos se generan en función de mensaje puesto a disposición por la Comisión Europea con el único propósito de incorporar las Cláusulas al Acuerdo, seleccionar los módulos apropiados y agregar información en el Apéndice según lo permitan las Cláusulas. A los efectos de las transferencias de datos personales, la Compañía será la «exportadora de datos» y Sojern será el «importador de datos» (incluso si la Compañía es una entidad ubicada fuera de la UE/EEE, siempre que la Compañía esté sujeta por lo demás al Reglamento (UE) 2016-679). Cuando se apliquen las Cláusulas, se considerará que la Compañía y Sojern han celebrado las Cláusulas en sus respectivos nombres y en su propio nombre, y los nombres, direcciones, detalles de contacto, funciones y actividades de las partes relacionados con los Datos personales transferidos en virtud de estas Cláusulas se especificarán en el Acuerdo. La ejecución del Acuerdo se considerará la ejecución de las Cláusulas, específicamente la ejecución del anexo I.A de las Cláusulas. En caso de que exista algún conflicto entre los términos de este DPA y las Cláusulas, regirán y prevalecerán las cláusulas aplicables.
Cada una de las partes implementará y mantendrá las medidas técnicas, físicas y organizativas adecuadas para proteger los datos personales contra el procesamiento no autorizado o ilegal y contra la pérdida, la destrucción o el daño accidentales.
La Compañía otorga una autorización general a Sojern para utilizar otros procesadores de datos para el procesamiento de datos personales («subprocesadores»), quienes están sujetos a las obligaciones de confidencialidad y protección de datos de conformidad con esta DPA, que figuran en www.sojern.com/legal/partner-list/. Cuando lo exija el Acuerdo o cuando Sojern actúe como procesador de datos, Sojern informará a la Compañía de cualquier cambio relacionado con la incorporación o sustitución de subprocesadores actualizando la lista antes mencionada, lo que le dará a la Compañía la oportunidad de oponerse a dichos cambios. Las instrucciones para presentar objeciones se proporcionan en la misma URL. Si la Compañía se opone razonablemente a un cambio y Sojern no puede resolver dicha objeción, la Compañía puede rescindir el Acuerdo y la DPA.
Esta DPA permanecerá en pleno vigor y efecto hasta que lo último de (a) los Acuerdos permanezca en vigor, y (b) Sojern conserve copias de los Datos personales. Cualquiera de las partes puede rescindir este DPA inmediatamente después de que se produzca un incumplimiento importante de este DPA o una autoridad reguladora y/o un tribunal o tribunal con jurisdicción determinen que el procesamiento de datos personales por parte de las partes infringe materialmente las leyes de privacidad y protección de datos aplicables, siempre que la parte que no haya incumplido debe notificar el supuesto incumplimiento y dicho incumplimiento habrá permanecido sin subsanar durante un período de quince (15) días después de dicha notificación.
Este DPA se considerará elaborado y se interpretará de conformidad con las leyes del estado de California (EE. UU.), sin tener en cuenta las disposiciones sobre conflictos de leyes del mismo.
Viajeros y otros clientes de la Compañía.
Los datos personales transferidos por la Compañía se proporcionan de conformidad con el Acuerdo y pueden incluir, entre otros:
Ninguna
De forma continua, durante la vigencia del Acuerdo aplicable.
Recopilación de información de navegación en línea mediante el uso de cookies y otras tecnologías de seguimiento.
Para cualquier propósito legal en relación con los Servicios proporcionados en virtud del Acuerdo entre el exportador y el importador de datos, en particular la publicidad dirigida basada en la información de navegación en línea. No se permite ningún procesamiento posterior.
Durante la vigencia del Acuerdo aplicable, a menos que el exportador de datos elija, los datos personales se eliminen o devuelvan.
Los subprocesadores se enumeran en www.sojern.com/legal/partner-list/ según lo permitido por la Cláusula 9 (a) del Modelo 1.
La autoridad supervisora de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes cláusulas en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea monitoreado, como se indica en el anexo I.C, actuará como autoridad supervisora competente.
1. General. Sojern establecerá, implementará y mantendrá las medidas administrativas, técnicas y organizativas adecuadas diseñadas para proteger contra el procesamiento no autorizado o ilegal de los datos personales y contra la pérdida, destrucción o daño accidental de los datos personales. Estas medidas serán adecuadas para cumplir con las leyes de protección de datos aplicables y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y su programa de seguridad de la información.
2. Políticas y estándares de seguridad de la información. Sojern mantendrá las políticas, estándares y procedimientos de seguridad de la información. Estas políticas, estándares y procedimientos se mantendrán actualizados y se revisarán siempre que se realicen cambios relevantes en los sistemas de información que usan o almacenan datos personales.
3. Gestión de vulnerabilidades. Sojern mantendrá un programa de gestión de vulnerabilidades para todos los sistemas que procesan datos personales, que incluye, entre otros, el análisis de vulnerabilidades internas y externas con las conclusiones de la clasificación de riesgos y planes de remediación formales para abordar cualquier vulnerabilidad identificada.
4. Evaluación de riesgos. Sojern realizará evaluaciones de riesgo periódicas para identificar y evaluar los riesgos razonablemente previsibles para la seguridad, la confidencialidad y la integridad de los registros que contienen datos personales y evaluar y mejorar, cuando sea necesario, la eficacia de sus medidas de protección para limitar esos riesgos.
5. Clasificación de datos. Sojern mantendrá las políticas y los procedimientos para clasificar los activos de información confidencial, aclarar las responsabilidades de seguridad y promover la concienciación entre todos los empleados.
6. Cifrado. Sojern implementará mecanismos de cifrado estándar de la industria y conjuntos de cifrado sólidos (se recomienda AES de 256 bits) para el almacenamiento y la transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).
7. Seguridad de red. Sojern protegerá su red mediante el empleo de un enfoque de defensa en profundidad que utilice equipos disponibles en el mercado y técnicas estándar de la industria, incluidos, entre otros, firewalls, sistemas de detección de intrusos, listas de control de acceso y protocolos de enrutamiento.
8. Controles de virus y malware. Sojern protegerá los datos personales de los códigos maliciosos e instalará y mantendrá el software de protección antivirus y antimalware en cualquier sistema que gestione datos personales.
9. Control de acceso. Sojern aplicará el principio del mínimo privilegio, según el cual el acceso a los datos personales solo se conceda a aquellos miembros de la organización que tengan una necesidad empresarial para acceder a ellos y los permisos se limitarán a la cantidad mínima requerida para desempeñar la función laboral específica.
10. Ubicación de procesamiento. Sojern procesará los datos personales en los Estados Unidos, con sujeción a las leyes de protección de datos aplicables, que pueden exigir lo contrario.
11. Respuesta a incidentes. Sojern mantendrá un programa de respuesta a incidentes de seguridad de datos y documentará todos los presuntos incidentes de seguridad de datos. Sojern investigará cualquier incidente de seguridad de los datos y tomará todas las medidas necesarias para eliminar o contener el incidente de seguridad de los datos.
12. Personal. Sojern mantendrá un programa de concientización y capacitación sobre la seguridad de la información y capacitará al personal esencial de Sojern sobre las medidas de protección de datos y las protecciones generales de ciberseguridad.
13. Vendedor. Sojern mantendrá un programa de gestión de proveedores que evaluará a todos los proveedores con los que Sojern intercambie datos personales. Dichos proveedores estarán sujetos a estándares de seguridad de datos no menos restrictivos que los establecidos en este documento.