Este anexo sobre procesamiento de datos, que incluye los anexos 1 y 2 («DPA»), establece los términos esenciales exigidos por Sojern, Inc., una corporación de Delaware con su sede principal ubicada en 575 Market Street, 4th Floor, San Francisco, CA 94105 EE. UU. («Sojern»). A los efectos de este DPA, la empresa que es parte del Acuerdo (tal como se define a continuación) en el que se incorpora este DPA se denomina «Compañía».
»Agree» se refiere a todos y cada uno de los acuerdos entre las partes en virtud de los cuales Sojern recibe, recopila, accede o procesa de otro modo los Datos personales para los fines establecidos en el acuerdo de servicio o proveedor de datos aplicable. Este DPA incorpora los términos y condiciones del Acuerdo y tal como se establece a continuación. En caso de conflicto entre la DPA y el Acuerdo, regirán y prevalecerán los términos de este DPA. Todos los términos en mayúscula utilizados pero no definidos en este documento tendrán sus respectivos significados tal como se establece en el Acuerdo.
»Datos personales» significa cualquier información relativa a una persona física identificada o identificable que pueda identificarse directa o indirectamente.
»Serviço» se refiere a los servicios proporcionados por Sojern o la Compañía, según corresponda, en virtud del Acuerdo.
A los efectos del procesamiento llevado a cabo por Sojern de conformidad con el Acuerdo, la función de Sojern como procesador de datos o controlador de datos con respecto a los datos personales procesados por Sojern se establecerá en el Acuerdo aplicable.
Salvo que la Compañía lo permita expresamente en este documento o por escrito, Sojern no (a) divulgará, venderá, distribuirá ni transmitirá Datos personales a terceros, ni (b) utilizará los Datos personales para ningún otro propósito que no sea el de proporcionar a la Compañía el Servicio en virtud del Acuerdo y de conformidad con todas las leyes de privacidad y protección de datos aplicables. Sojern se asegura de que cada persona autorizada a procesar datos personales esté sujeta a un deber de confidencialidad con respecto a esos datos personales.
Cada parte certifica que entiende sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y que procesará los datos personales de acuerdo con todas las leyes de privacidad y protección de datos aplicables. Cuando Sojern actúe como procesador de datos, Sojern realizará el procesamiento según lo documentado e instruido por la Compañía en el Acuerdo, a menos que una autoridad reguladora notifique lo contrario que dicho procesamiento no cumple con las leyes de privacidad y protección de datos aplicables, en cuyo caso Sojern notificará inmediatamente a la Compañía por escrito de ese aviso regulatorio y podrá dejar de procesar los datos personales hasta que se resuelva el problema regulatorio.
En la medida en que lo exija la ley de protección de datos aplicable, la Compañía solo dará instrucciones a Sojern para que procese los datos personales para los fines permitidos por las leyes de privacidad y protección de datos aplicables y divulgará los datos personales a Sojern solo para los fines limitados y específicos especificados en el Acuerdo. La Compañía se reserva el derecho, con un aviso razonable, de tomar las medidas razonables y apropiadas para garantizar que Sojern utilice los Datos personales transferidos de manera coherente con las obligaciones de Sojern en virtud de las leyes de privacidad y protección de datos aplicables, incluidas las medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos personales. Sojern notificará a la Compañía si determina que ya no puede cumplir con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables.
Cada una de las partes mantendrá un registro escrito o electrónico del procesamiento de los datos personales. Cada una de las partes cooperará de manera razonable con la otra para cumplir con las leyes de privacidad y protección de datos aplicables con respecto a las evaluaciones del impacto de los datos, los registros del procesamiento, las solicitudes o consultas relacionadas con las autoridades de protección de datos y las auditorías, de conformidad con el Acuerdo aplicable, para que la Compañía pueda confirmar que Sojern ha cumplido con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y del Acuerdo.
Cuando el Acuerdo especifique que Sojern actúa como un «tercero» en virtud de la Ley de Protección al Consumidor de California (CCPA):
Sojern solo procesará los datos personales durante la vigencia del Acuerdo para proporcionar o prestar el Servicio, específicamente con el propósito limitado y específico de proporcionar el Servicio o según lo indique o permita por escrito la Compañía. Para mayor claridad, los servicios proporcionados por Sojern se enumeran en el formulario de pedido de la empresa.
Sojern cumplirá con todas las obligaciones aplicables en virtud de la CCPA y proporcionará el mismo nivel de protección de la privacidad que exige la CCPA y avisará si ya no puede cumplir con sus obligaciones en virtud de la CCPA.
Sojern otorga a la Compañía el derecho de (a) tomar medidas razonables y apropiadas para ayudar a garantizar que el Proveedor utilice los Datos personales de manera coherente con sus obligaciones en virtud de la CCPA y (b) notificación previa, a tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos personales.
Las partes reconocen que Sojern no mantiene una relación directa con las personas cuyos datos personales se proporcionan a Sojern. Por lo tanto, cuando lo exijan las leyes de privacidad y protección de datos aplicables, la Compañía pondrá a disposición la Política de privacidad de Sojern en https://www.sojern.com/privacy/privacy-policy/ a las personas cuyos datos personales son procesados por Sojern.
La Compañía notificará a las personas y obtendrá su consentimiento según lo exijan las leyes de privacidad y protección de datos aplicables en relación con la recopilación, el uso y la divulgación de datos personales por parte de la Compañía. Si las leyes de privacidad y protección de datos aplicables exigen mecanismos mediante los cuales las personas puedan ejercer sus derechos, incluidos, entre otros, los derechos de exclusión voluntaria, la Compañía (o la otra parte responsable de la recopilación de datos personales en nombre de la Compañía) proporcionará dicho mecanismo a las personas. Se presumirá que la Compañía ha enviado las notificaciones apropiadas y ha obtenido los consentimientos correspondientes, si es necesario, de cualquier persona cuyos datos personales se hayan proporcionado a Sojern. La Compañía proporcionará sin demora, previa solicitud y en cualquier momento por parte de Sojern, pruebas de que la Compañía ha obtenido los sentimientos apropiados de las personas pertinentes.
Cada parte cooperará razonablemente con la otra parte en respuesta a cualquier solicitud o queja de las personas relacionadas con el procesamiento de datos personales en virtud del Acuerdo y con respecto a los derechos de privacidad en virtud de las leyes de privacidad y protección de datos aplicables. Si Sojern recibe una solicitud de una persona, Sojern: (a) reenviará sin demora la solicitud a la Compañía para que gestione la solicitud; y (b) cuando Sojern sea un procesador de datos, implementará la decisión de la Compañía con respecto a cómo se gestionará la solicitud.
Las partes reconocen que los datos personales que se originan fuera de los EE. UU. (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) pueden ser transferidos o procesados por Sojern en un país o territorio reconocido por garantizar una protección adecuada en virtud de la ley de privacidad y protección de datos pertinentes. Las partes también acuerdan que las transferencias de dichos datos personales a Sojern pueden realizarse de conformidad con una solución, distinta de las cláusulas contractuales estándar, que permiten la transferencia legal de datos personales a un tercer país de conformidad con la ley de privacidad y protección de datos aplicable (una «Solución de transferencia»). Esto incluye, pero no se limita a, un marco de protección de datos aprobado que garantice que las entidades participantes brinden una protección adecuada de los datos personales.
En la medida en que los datos personales que se originan fuera de los EE. UU. (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) se transfieran a Sojern, el procesamiento de datos requiere ser adecuado según las leyes del país de la Compañía, no se aplique ninguna decisión de adecuación o solución de transferencia y la adecuación requerida pueda cumplirse según los términos de esta DPA, entonces las partes acuerdan que esta DPA incorpora por referencia, según corresponda, la (UE) 2021/9.14 Cláusulas contractuales standard de la Comisión Europea para la transferencia de datos personales a terceros países de conformidad con al Reglamento (UE) 2016-679 por parte de los controladores de la UE/EEE a los procesadores establecidos fuera de la UE/EEE («Módulo 2») y/o por los controladores de la UE/EEE a los controladores establecidos fuera de la UE/EEE («Módulo 1»), y a medida que la Comisión Europea los modifique o sustituya de vez en cuando (en conjunto, las «Cláusulas»). Por motivos de comodidad, las cláusulas con los hipervínculos anteriores se generan en función de message puesto a disposición por la Comisión Europea con el único propósito de incorporar las Cláusulas al Acuerdo, seleccionar los módulos apropiados y agregar información en el Apéndice según lo permitan las Cláusulas. A los efectos de las transferencias de datos personales, la Compañía será la «exportadora de datos» y Sojern será el «importador de datos» (incluso si la Compañía es una entidad ubicada fuera de la UE/EEE, siempre que la Compañía esté sujeta por lo demás al Reglamento (UE) 2016-679). Cuando se apliquen las Cláusulas, se considerará que la Compañía y Sojern han celebrado las Cláusulas en sus respectivos nombres y en su propio nombre, y los nombres, direcciones, detalles de contacto, funciones y actividades de las partes relacionadas con los Datos personales transferidos en virtud de estas Cláusulas se especificarán en el Acuerdo. La ejecución del Acuerdo se considerará la ejecución de las Cláusulas, específicamente la ejecución del anexo I.A de las Cláusulas. En caso de que exista algún conflicto entre los términos de este DPA y las Cláusulas, regirán y prevalecerán las cláusulas aplicables.
Cada una de las partes implementará y mantendrá las medidas técnicas, físicas y organizativas adecuadas para proteger los datos personales contra el procesamiento no autorizado o ilegal y contra la pérdida, la destrucción o el daño accidental.
La Compañía otorga una autorización general a Sojern para utilizar otros procesadores de datos para el procesamiento de datos personales («subprocesadores»), quienes están sujetos a las obligaciones de confidencialidad y protección de datos de conformidad con esta DPA y las leyes de privacidad y protección de datos aplicables, que se enumeran en www.sojern.com/legal/partner-list/. Cuando lo exija el Acuerdo o cuando Sojern actúe como procesador de datos, Sojern informará a la Compañía de cualquier cambio relacionado con la incorporación o sustitución de subprocesadores actualizando la lista antes mencionada, lo que le dará a la Compañía la oportunidad de oponerse a dichos cambios. Las instrucciones para presentar objeciones se proporcionan en la misma URL. Si la Compañía se opone razonablemente a un cambio y Sojern no puede resolver dicha objeción, la Compañía puede rescindir el Acuerdo y la DPA.
Esta DPA permanecerá en pleno vigor y efecto hasta que lo último de (a) los Acuerdos permanezca en vigor, y (b) Sojern conserve copias de los Datos personales. Cualquiera de las partes puede rescindir este DPA inmediatamente después de que se produzca un incumplimiento importante de este DPA o una autoridad reguladora y/o un tribunal o tribunal con jurisdicción determinen que el procesamiento de datos personales por parte de las partes infringe materialmente las leyes de privacidad y protección de datos aplicables, siempre que la parte que no haya incumplido debe notificar el supuesto incumplimiento e incumplimiento dicho habrá permanecido sin subsanar durante un período de quince días after the said Notify.
Este DPA se considerará elaborado y se interpretará de conformidad con las leyes del estado de California (EE. UU. EE. UU.), sin tener en cuenta las disposiciones sobre conflictos de leyes del mismo.
Viajeros y otros clientes de la Compañía.
Los datos personales transferidos por la Compañía se proporcionan de conformidad con el Acuerdo y pueden incluir, entre otros:
Ninguna
De forma continua, durante la vigencia del Acuerdo aplicable.
Recopilación de información de navegación en línea mediante el uso de cookies y otras tecnologías de seguimiento.
Para cualquier propósito legal en relación con los Servicios proporcionados en virtud del Acuerdo entre el exportador y el importador de datos, en particular la publicidad dirigida basada en la información de navegación en línea. No se permite ningún procesamiento posterior.
Durante la vigencia del Acuerdo aplicable, a menos que el exportador de datos elija, los datos personales se eliminen o devuelvan.
Los subprocesadores se enumeran en www.sojern.com/legal/partner-list/ según lo permitido por la Cláusula 9 (a) del Model 1.
La autoridad supervisora de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes cláusulas en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea monitoreado, como se indica en el anexo I.C, actuará como autoridad supervisora competente.
1. General. Sojern establecerá, implementará y mantendrá las medidas administrativas, técnicas y organizativas adecuadas diseñadas para proteger contra el procesamiento no autorizado o ilegal de los datos personales y contra la pérdida, destrucción o daño accidental de los datos personales. Estas medidas serán adecuadas para cumplir con las leyes de protección de datos aplicables y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y su programa de seguridad de la información.
2. Políticas y estándares de seguridad de la información. Sojern mantendrá las políticas, estándares y procedimientos de seguridad de la información. Estas políticas, estándares y procedimientos se mantendrán actualizados y se revisarán siempre que se realicen cambios relevantes en los sistemas de información que usan o almacenan datos personales.
3. Gestión de vulnerabilidades. Sojern mantendrá un programa de gestión de vulnerabilidades para todos los sistemas que procesan datos personales, que incluye, entre otros, el análisis de vulnerabilidades internas y externas con las conclusiones de la clasificación de riesgos y planes de remediación formales para abordar cualquier vulnerabilidad identificada.
4. Evaluación de riesgos. Sojern realizará evaluaciones de riesgo periódicas para identificar y evaluar los riesgos razonablemente previsibles para la seguridad, la confidencialidad y la integridad de los registros que contienen datos personales y evaluar y mejorar, cuando sea necesario, la eficacia de sus medidas de protección para limitar esos riesgos.
5. Clasificación de datos. Sojern mantendrá las políticas y los procedimientos para clasificar los activos de información confidencial, aclarar las responsabilidades de seguridad y promover la sensibilización entre todos los empleados.
6. Cifrado. Sojern implementará mecanismos de cifrado estándar de la industria y conjuntos de cifrado sólidos (se recomienda AES de 256 bits) para el almacenamiento y la transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).
7. Seguridad de red. Sojern protegerá su red mediante el empleo de un enfoque de defensa en profundidad que utilice equipos disponibles en el mercado y técnicas estándar de la industria, incluidos, entre otros, firewalls, sistemas de detección de intrusos, listas de control de acceso y protocolos de enrutamiento.
8. Controles de virus y malware. Sojern protegerá los datos personales de los códigos maliciosos e instalará y mantendrá el software de protección antivirus y antimalware en cualquier sistema que gestione datos personales.
9. Control de acceso. Sojern aplicará el principio del mínimo privilegio, según el cual el acceso a los datos personales solo se conceda a aquellos miembros de la organización que tengan una necesidad empresarial para acceder a ellos y los permisos se limitarán a la cantidad mínima requerida para desempeñar la función laboral específica.
10. Ubicación de procesamiento. Sojern procesará los datos personales en los Estados Unidos, con sujeción a las leyes de protección de datos aplicables, que pueden exigir lo contrario.
11. Respuesta a incidentes. Sojern mantendrá un programa de respuesta a los incidentes de seguridad de datos y documentará todos los presuntos incidentes de seguridad de datos. Sojern investigará cualquier incidente de seguridad de los datos y tomará todas las medidas necesarias para eliminar o contener el incidente de seguridad de los datos.
12. Personal. Sojern mantendrá un programa de concientización y capacitación sobre la seguridad de la información y capacitará al personal esencial de Sojern sobre las medidas de protección de datos y las protecciones generales de ciberseguridad.
13. Vendedor. Sojern mantendrá un programa de gestión de proveedores que evaluará a todos los proveedores con los que Sojern intercambie datos personales. Dichos proveedores estarán sujetos a estándares de seguridad de datos no menos restrictivos que los establecidos en este documento.
