Este Anexo de Procesamiento de Datos, que incluye los Anexos 1 y 2 (“DPA”) establece los términos esenciales requeridos por Sojern, Inc., una corporación de Delaware con su sede principal ubicada en 575 Market Street, 4th Floor, San Francisco, CA 94105 USA (“Sojern”). Para los efectos de este DPA, la empresa que es parte del Acuerdo (como se define a continuación) en el que se incorpora este DPA se denomina “Compañía”.
”Acuerdo” significa todos y cada uno de los acuerdos entre las partes en virtud del cual Sojern recibe, recopila, accede o procesa de otro modo los Datos Personales para los fines de conformidad con el proveedor de datos o el acuerdo de servicio aplicable. Este DPA incorpora los términos y condiciones del Acuerdo y como se establece a continuación. En caso de conflicto entre el DPA y el Acuerdo, los términos de este DPA regirán y prevalecerán. Todos los términos en mayúscula utilizados pero no definidos en el presente documento tendrán sus respectivos significados según lo establecido en el Acuerdo.
”Datos Personales” significa cualquier información relativa a una persona física identificada o identificable que pueda ser identificada directa o indirectamente.
”Servicio” significa los servicios prestados por Sojern o Compañía, según corresponda, en virtud del Acuerdo.
A los efectos del procesamiento llevado a cabo por Sojern de conformidad con el Acuerdo, el papel de Sojern como procesador de datos o controlador de datos con respecto a los Datos Personales procesados por Sojern se establecerá en el Acuerdo aplicable.
Salvo lo expresamente permitido aquí o por escrito por la Compañía, Sojern no revelará, venderá, distribuirá o transmitirá, directa o indirectamente (a) los Datos Personales a terceros, o (b) utilizará los Datos Personales para ningún otro propósito que no sea proporcionar a la Compañía el Servicio en virtud del Acuerdo, y de acuerdo con todas las leyes de privacidad y protección de datos aplicables.
Cada parte certifica que entiende sus obligaciones bajo las leyes de privacidad y protección de datos aplicables y procesará los Datos Personales de acuerdo con todas las leyes de privacidad y protección de datos aplicables. Cuando Sojern actúe como procesador de datos, Sojern llevará a cabo el procesamiento según lo documentado e instruido por la Compañía en el Acuerdo, a menos que una autoridad reguladora notifique lo contrario de que dicho procesamiento no cumple con las leyes aplicables de privacidad y protección de datos, en cuyo caso Sojern proporcionará de inmediato a la Compañía un aviso por escrito de ese aviso reglamentario y podrá dejar de procesar Datos Personales hasta que se resuelva el problema reglamentario.
Cada una de las partes mantendrá un registro escrito o electrónico del procesamiento de Datos Personales. Cada parte cooperará razonablemente con la otra parte en el cumplimiento de las leyes de privacidad y protección de datos aplicables con respecto a las evaluaciones de impacto de datos, registros de procesamiento, solicitudes relacionadas o consultas con las autoridades de protección de datos, y auditorías de acuerdo con el Acuerdo aplicable para permitir a la Compañía confirmar que Sojern ha cumplido con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y el Acuerdo.
Las partes reconocen que Sojern no mantiene una relación directa con las personas cuyos Datos Personales se proporcionan a Sojern. Como tal, cuando así lo exijan las leyes de privacidad y protección de datos aplicables, la Compañía pondrá a disposición la Política de privacidad de Sojern disponible en http://www.sojern.com/privacy/privacy-policy/ a las personas cuyos Datos Personales son procesados por Sojern
La Compañía notificará y obtendrá el consentimiento de las personas según lo requieran las leyes de privacidad y protección de datos aplicables con respecto a la recopilación, uso y divulgación de Datos Personales por parte de la Compañía. Si las leyes de privacidad y protección de datos aplicables requieren mecanismos por los cuales las personas pueden ejercer derechos, incluidos, entre otros, los derechos de exclusión voluntaria, la Compañía (o cualquier otra parte que sea responsable de la recopilación de Datos Personales en nombre de la Compañía), proporcionará dicho mecanismo a las personas. Se presumirá que la Compañía ha proporcionado los avisos apropiados y ha obtenido los consentimientos apropiados, si es necesario, de cualquier persona física cuyos Datos Personales se proporcionen a Sojern.
Cada parte cooperará razonablemente con la otra parte en respuesta a cualquier solicitud o queja de individuos en relación con el procesamiento de Datos Personales en virtud del Acuerdo y en relación con los derechos de privacidad en virtud de las leyes de privacidad y protección de datos aplicables. Si Sojern recibe una solicitud de un individuo, Sojern rápidamente: (a) remitirá la solicitud a la Compañía para gestionar la solicitud; y (b) cuando Sojern sea un procesador de datos, implementará la decisión de la Compañía con respecto a cómo se administrará la solicitud.
En la medida en que los Datos Personales originados fuera de los EE.UU. (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) se transfieran a Sojern, el procesamiento de datos requiere adecuación según las leyes del país de la Compañía, y la adecuación requerida puede cumplirse con los términos de este DPA, entonces las partes acuerdan que este DPA incorpore por referencia, según corresponda, la (UE) 2021/914 de la Comisión Europea para cláusulas contractuales la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016-679 por parte de los controladores de la UE/EEE a procesadores establecidos fuera de la UE/EEE (”Módulo 2”) y/o por los controladores de la UE/EEE a los controladores establecidos fuera de la UE/EEE (”Módulo 1”), y a medida que sean modificadas o sustituidas de vez en cuando por la Comisión Europea (colectivamente, las “Cláusulas”). Para fines de conveniencia, las Cláusulas hipervinculadas anteriormente se generan en función de texto puestos a disposición por la Comisión Europea con el único propósito de incorporar las Cláusulas al Acuerdo, seleccionar el/los Módulo (s) apropiado (s), y agregar información en el Apéndice según lo permitan las Cláusulas. A los efectos de las transferencias de Datos Personales, la Compañía será el “exportador de datos” y Sojern será el “importador de datos” (incluso si la Compañía es una entidad ubicada fuera de la UE/EEE, siempre que la Compañía esté sujeta al Reglamento (UE) 2016-679). Cuando se apliquen las Cláusulas, se considerará que la Compañía y Sojern han suscrito las Cláusulas en sus respectivos nombres y en su propio nombre, y los nombres, direcciones, datos de contacto, roles y actividades relacionadas con los Datos Personales transferidos bajo estas Cláusulas se proporcionarán en el Acuerdo. La ejecución del Acuerdo se considerará ejecución de las Cláusulas, específicamente ejecución del Anexo I.A de las Cláusulas. En la medida en que exista algún conflicto entre los términos de este DPA y las Cláusulas, regirán y prevalecerán las Cláusulas aplicables.
Cada parte implementará y mantendrá las medidas técnicas, físicas y organizativas adecuadas para proteger los Datos Personales contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño.
La Compañía otorga una autorización general a Sojern para utilizar otros procesadores de datos para el procesamiento de Datos Personales (“Subprocesadores”), que están obligados por las obligaciones de confidencialidad y protección de datos consistentes con este DPA, que se enumeran en www.sojern.com/legal/lista-socia/. Cuando lo requiera el Acuerdo o cuando Sojern actúe como procesador de datos, Sojern informará a la Compañía de cualquier cambio relacionado con la adición o reemplazo de Subprocesadores actualizando la lista mencionada anteriormente, dando así a la Compañía la oportunidad de oponerse a dichos cambios, y las instrucciones para las objeciones se proporcionan en la misma URL. Si la Compañía se opone razonablemente a un cambio y Sojern no puede resolver dicha objeción, la Compañía puede rescindir el Acuerdo y el DPA.
Este DPA permanecerá en pleno vigor y efecto hasta que el último de (a) el (los) Acuerdo (s) permanezca (s) vigente (s) y (b) Sojern conserve copias de los Datos personales. Cualquiera de las partes puede rescindir este DPA inmediatamente después de una violación material de este DPA o una autoridad reguladora y/o un tribunal o tribunal con jurisdicción determina que el procesamiento de Datos Personales por las partes viola materialmente las leyes de privacidad y protección de datos aplicables, siempre que la parte no infrinja deba notificar el presunto incumplimiento, y dicho incumplimiento no se habrá curado durante un período de quince (15) días después de dicha notificación.
Este DPA se considerará realizado y se interpretará de conformidad con las leyes del Estado de California, EE. UU., sin tener en cuenta las disposiciones sobre conflictos de leyes del mismo.
Viajeros y otros clientes de la Compañía.
Los Datos Personales transferidos por la Compañía se proporcionan de acuerdo con el Acuerdo, y pueden incluir, pero no se limitan a:
Ninguno
Base continua, por la duración del Acuerdo aplicable.
Recogida de información de navegación en línea mediante el uso de cookies y otras tecnologías de seguimiento.
Para cualquier propósito legal relacionado con los Servicios prestados en virtud del Acuerdo entre el exportador de datos y el importador de datos, en particular publicidad dirigida basada en información de navegación en línea. No se permite ningún procesamiento adicional.
Durante la vigencia del Acuerdo aplicable, a menos que, a elección del exportador de datos, se eliminen o devuelvan Datos personales.
Los subprocesadores se enumeran en www.sojern.com/legal/lista-socia/ según lo permitido por el Modelo 1 Claula 9 a).
La autoridad de control de uno de los Estados miembros en el que se encuentra los sujetos de datos cuyos Datos Personales se transfereran en virtud de las presentes Claves en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea supervisado, como indica en el Anexo I.C, actuará como autoridad supervisora competente.
1. General. Sojern se detendrá, implementará y mantendrá las medidas administrativas, técnicas y organizativas que se han diseñado para proteger contra el procesamiento no autorizado o ilegal de Datos Personales y contra la pérdida accidental o destrucción o daño de los Datos Personales. Estas medidas serán aptas para cumplir con las leyes de protección de datos aplicable y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y programa de seguridad de la información.
2. Políticas y Estándares de Seguridad de la Información. Mantiene políticas, estándares y procedimientos de seguridad de la información. Estas políticas, normas y procedimientos se mantendrán actualizadas y revisadas siempre que se van a llevar a cabo cambios relevantes en los sistemas de información que utilizan o mantienen Datos Personales.
3. Administración de Vulnerabilidades. Sojern tiene un programa de administración de vulnerabilidad para todos los sistemas que Procesan Datos Personales que incluye, sin limitación, análisis de vulnerabilidad internas y EXTERNAS con hallazgos de calificación de riesgo y planes formales de remediación para abordar cualquier vulnerabilidad que se le depare.
4. Evaluacion de Riesgos. Sojern se realizará a cabo evaluaciones periódicas de riesgos para identificar y evaluar los riesgos de manera bastante previsibles para la seguridad, confidencialidad e integridad de los registros que contienen Datos Personales y evaluará y ayudará, cuando sea necesario, la efectividad de sus salvaguardias para la conformación de esos riesgos.
5. Data classification. Sojern debe tener políticas y procedimientos para clasificar los activos de información confidencial, aclarar las responsabilidades de seguridad y promover la conciencia para todos los empleados.
6. Cifrado. Sojern implementará mecanismos de cifrado estándar de la industria y conjuntos de cifrado fuertes (se recomienda AES de 256 bits) para almacenamiento y transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).
7. Seguridad de la red. Sojern aseguró su red mediante el empleo de un enfoque de defensa en profundidad que utiliza equipos disponibles comercialmente y técnicas estándar de la industria, entre ellos, sin limitación, firewalls, sistemas de detección de intrusiones, listas de control de acceso y protocolos de enrutamiento.
8. Controles de virus y malware. Sojern protegerá los Datos Personales del código malicioso e instalará y Mantendrá software de protección antivirus y malware en cualquier sistema que maneje Datos Personales.
9. Control de acceso. Sojern practicará el principio de privilegio mínimo donde el acceso a los Datos Personales solo se otorgue a aquellos dentro de la organización que tienen una necesidad comercial de dicho acceso y los permisos se limitarán a la cantidad mínima requerida realizar para la función laboral específica.
10. Localização de procesamiento. Los datos personales serán trabajados por Sojern en los Estados Unidos, sujeto a las leyes de protección de datos aplicable que pueden requerir lo contrario.
11. Respuesta a incidentes. Sojern Mantiene un programa de respuesta a incidentes de seguridad de datos y documentará todos los incidentes de seguridad de datos. Sojern investigará cualquier incidente de seguridad de datos y tendrá todas las medidas necesarias para eliminar o contenido el incidente de seguridad de datos.
12. Personal. Sojern tiene un programa de concientización y capacitación sobre seguridad de la información y capacitará al personal crítico de Sojern en medidas de protección de datos y protecciones generales de ciberseguridad.
13. Proveedor. Sojern mantiene un programa de administración de proveedores que evaluará a todos los proveedores con lo que Sojern intercambia Datos personales. Dicho proveedor estarán bajo estándares de seguridad de datos no menos restrictivos que los que se encuentran en este documento.