Este Anexo de Procesamiento de Datos, que incluye los Anexos 1 y 2 (“DPA”) establece los términos esenciales que necesita Sojern, Inc., una corporación de Delaware con sede principal ubicada en 575 Market Street, 4th Floor, San Francisco, CA 94105 USA (“Sojern”). Para los efectos de este DPA, la empresa que es parte del Acuerdo (como se define a continuación) en el que se incorpore este DPA se denomine “Compañía”.
”Acuerdo” significa todos y cada uno de los acuerdos entre las partes en virtud de lo cual Sojern recibe, recaba, accede o proceso de otro modo los Datos Personales para los fines de conformidad con el proveedor de datos o el acuerdo de servicio aplicable. Este DPA tiene en cuenta los términos y condiciones del Acuerdo y cómo se establece a continuación. En caso de conflicto entre el DPA y el Acuerdo, los términos de este DPA regirán y prevalecerán. Todos los términos en mayúscula, pero no definidos en el presente documento tendrán sus significados, según lo establecido en el Acuerdo.
”Personal Data” significa cualquier información relativa a una persona física identificable o identificable que pueda ser identificada directa o indirecta.
”Servicio” significa los servicios prestados por Sojern o Compañía, según sea, en virtud del Acuerdo.
A los efectos del procesamiento llevado a cabo por Sojern de conformidad con el Acuerdo, el papel de Sojern como procesador de datos o controlador de datos con respecto a los Datos Personales Procesados por Sojern se Estable en el Acuerdo aplicable.
Salvo lo expresamente permitido aquí o por escrito por la Compañía, Sojern no revelará, venderá, distribuirá o transmitirá datos personales a terceros, ni (b) utilizar los Datos personales para ningún otro propósito que no sea proporcionar a la Compañía el Servicio bajo el Acuerdo, y de acuerdo con todas las leyes de privacidad y protección de datos aplicable. Sojern se asegurará de que cada persona con autorización para procesar Datos Personales esté sujeta a un deber de confidencialidad con respecto a esos Datos Personales.
Cada parte certifica que entiende sus obligaciones bajo las leyes de privacidad y protección de datos aplicable y procesará los Datos Personales de acuerdo con todas las leyes de privacidad y protección de datos aplicable. Cuando Sojern acuse como procesador de datos, Sojern realizará al cabo el procesamiento según lo documentado e instruido por la Compañía en el Acuerdo, a menos que una autoridad reguladora notifique lo contrario de que dicho procesamiento no cumple con las leyes de privacidad y protección de datos, en cuyo caso Sojern proporciona de inmediato a la Compañía un aviso escrito de ese aviso reglamentario y dejar de procesar Datos Personales hasta que resuelva problema reglamentario.
En la medida en que se exija la Ley de Protección de Datos aplicable, la Compañía solo instruirá a Sojern para que procese los datos personales para los fines permisible por las leyes de privacidad y protección de datos aplicables y revelará Datos Personales a Sojern solo para los fines limitados y especificar en el Acuerdo. La Compañía se reserva el derecho, previa notificación razonable, de tomar medidas razonables y apropiadas para ayudar a garantizar que Sojern use los Datos Personales transferidos de manera consistente con las obligaciones de Sojern en virtud de las leyes de privacidad y protección de datos aplicables, las medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales. Sojern notificará a la Compañía si define que no puede cumplir con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables.
Cada una de las partes mantiene un registro escrito o electrónico del procesamiento de Datos Personales. Cada parte cooperará de manera responsable con la otra parte en el cumplimiento de las leyes de privacidad y protección de datos aplicables con respecto a las evaluaciones de impacto de datos, registros de procesamiento, solicitud relacionadas o consultas con las autoridades de protección de datos, y evaluaciones de acuerdo con el Acuerdo aplicable para permitir a la Compañía confirmar que Sojern ha cumplido con sus obligaciones en virtud de las leyes de privacidad y protección de datos aplicables y el Acuerdo.
Cuando el Acuerdo especifique que Sojern actúa como un “tercero” en virtud de la Ley de Protección al Consumidor de California (CCPA):
Sojern solo procesará Datos Personales durante la vigencia del Acuerdo para proporcionar o realizar el Servicio, en concreto para el propósito limitado y específico de proporcionar el Servicio o según lo indique o se le indique por escrito a la Compañía. Para mayor nitidad, los Servicios que se le dan por Sojern se mencionan en el Formulario de Pedido de la Compañía.
Sojern cumplirá con todas las obligaciones correspondientes en virtud de la CCPA y entregará el mismo nivel de protección de la privacidad que exige la CCPA y notificará si no puede cumplir con sus obligaciones en virtud de la CCPA.
Sojern le da a la Compañía el derecho de (a) tomar medidas razonables y apropiadas para ayudar a garantizar que el Proveedor usa los Datos Personales de manera consistente con sus obligaciones en virtud de la CCPA y (b) notificación previa, a tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales.
Las partes reconocían que Sojern no mantiene una relación directa con las personas cuyos Datos Personales se les da a Sojern. Como tal, cuando así exijan las leyes de privacidad y protección de datos aplicable, la Compañía pondrá a disposición la Política de privacidad de Sojern disponible en https://www.sojern.com/privacy/privacy-policy/ a las personas cuyos Datos Personales sean Procesados por Sojern.
La Compañía notificará y obtendrá el consentimiento de las personas según lo exijan las leyes de privacidad y protección de datos aplicable con respecto a la recopilación, uso y divulgación de Datos Personales por parte de la Compañía. Si las leyes de privacidad y protección de datos aplicable requieren mecanismos por los cuales las personas pueden ejercer derechos, incluidos, entre otros, los derechos de exclusión voluntaria, la Compañía (o cualquier otra parte que sea responsable de la recopilación de Datos Personales en nombre de la Compañía), se le puede dar dicho mecanismo a las personas. Se presumirá que la Compañía ha dado los avisos apropiados y ha recibido los consentimientos apropiados, si es necesario, de cualquier persona física cuyos Datos Personales se ofrecen a Sojern. La Compañía deberá proporcionar sin demora, previa solicitud y en cualquier momento por Sojern, la prueba de que la Compañía ha recibido los consentimientos de las personas relevantes.
Cada parte cooperará de manera responsable con la otra parte en respuesta a cualquier solicitud o queja de individuos en relación con el procesamiento de Datos Personales en virtud del Acuerdo y en relación con los derechos de privacidad en virtud de las leyes de privacidad y protección de datos aplicable. Si Sojern recibe una solicitud de un individuo, Sojern rápidamente: (a) remitirá la solicitud a la Compañía para gestionar la solicitud; y (b) cuando Sojern sea un procesador de datos, implementará la decisión de la Compañía con respecto a cómo se administrará la solicitud.
Las partes reconocían que los datos personales que se originan fuera de los Estados Unidos (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) pueden ser transferidos o Procesados por Sojern en un país o territorio reconocido como garantía de protección adecuada bajo la ley de privacidad y protección de datos relevantes. Las partes también acuerdan que las transferencias de datos personales a Sojern pueden realizarse de acuerdo con una solución, distinta de las disposiciones de contrato estándar, que permite la transferencia legal de datos personales a un tercer país de acuerdo con la ley de privacidad y protección de datos aplicable (una “Solución de Transferencia”). Esto incluye, pero no se limita a, un marco de protección de datos aprobado reconocido como garantía de que las entidades participantes brinden una adecuada protección de los Datos Personales.
En la medida en que los Datos Personales que se originan fuera de los Estados Unidos (incluido el Espacio Económico Europeo (EEE), el Reino Unido o Suiza) se trasladan a Sojern, el procesamiento de datos requiere adecuación según las leyes del país de la Compañía, no se aplica ninguna decisión de adecuación o Solución de Transferencia, y la adecuación requerida puede cumplirse con los términos de este DPA, las partes que acuerden este DPA se incorpora por referencia, según sea, el (UE) 2021/914 Contratos tipo de la Comisión Europea para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016-679 por los controladores de la UE/EEE a los procesadores que se han puesto fuera de la UE/EEE (“Módulo 2”) y/o por los controladores de la UE/EEE a los controladores fuera de la UE/EEE (“Módulo 1”), y a que medida sean modificados o reemplazados de vez en cuando por la Comisión Europea (“Las Cases”). Por lo que a su vez, las Cases hiperderivadas anteriormente se van a generar en base a texto puestos a disposición por la Comisión Europea con el único propósito de incorporar las Claves al Acuerdo, seleccionar el/los Módulo (s) apropiado (s), y agregar información en el Appendio según lo que se permitieran las Claves. A los efectos de las transferencias de Datos Personales, la Compañía será el “exportador de datos” y Sojern será el “importador de datos” (incluso si la Compañía es una entidad situada fuera de la UE/EEE, siempre que la Compañía esté sujeta al Reglamento (UE) 2016-679). Cuando se le han puesto las Claves, se ha de tener en cuenta que la Compañía y Sojern han suscrito las Claves en sus nombres y en su propio nombre, y los nombres, direcciones, datos de contacto, roles y actividades relacionadas con los Datos Personales transferidos bajo estas Claves se brinden en el Acuerdo. La ejecución del Acuerdo se prevé ejecución de las Fraudes, en específico ejecución del Anexo I.A de las Clausas. En la medida en que exista algún conflicto entre los términos de este DPA y las Clausure, regirán y prevalecirán las Clausure.
Cada parte implementará y tendrá las medidas técnicas, físicas y organizativas necesarias para proteger los Datos Personales contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño.
La Compañía le da una autorización general a Sojern para utilizar otros procesadores de datos para el procesamiento de Datos Personales (“Subprocesadores”), que están a sujetos obligaciones de confidencialidad y protección de datos conincidentes con este DPA y las leyes de privacidad y protección de datos aplicable, enumeradas en www.sojern.com/legal/lista-socia/. Cuando lo requiere el Acuerdo o cuando Sojern acuse como procesador de datos, Sojern le notifique a la Compañía de cualquier cambio relacionado con la suma o reemplazo de Subprocesadores actualizando la lista anteriormente mencionado, dando así a la Compañía la oportunidad de objetar a dichos cambios, y las instrucciones para las objeciones se les dan en la misma URL. Si la Compañía se opone de manera responsable a un cambio y Sojern no puede resolver dicha objeción, la Compañía puede rescindir el Acuerdo y el DPA.
Este DPA se detendrá en pleno vigor y efecto hasta que el último de (a) el (los) Acuerdo (s) se (s) esté (s) vigente (s) y (b) Sojern conserve copias de los Datos personales. Cualquiera de las partes puede rescindir este DPA después inmediatamente de una violación material de este DPA o una autoridad reguladora y/o un tribunal o tribunal con jurisdicción determinó que el procesamiento de Datos Personales por las partes viola materialmente las leyes de privacidad y protección de datos aplicable, siempre que la parte en la infracción deba informar el presunto incumplimiento, y dicho incumplimiento no se curará durante un período de quince (15) días después de dicha notificación.
Este DPA se va a tener en cuenta realizado y se interpretará de conformidad con las leyes del Estado de California, EE. UU., sin tener en cuenta las disposiciones sobre conflictos de leyes del mismo.
Viajeros y otros clientes de la Compañía.
Los Datos Personales transferidos por la Compañía se le dan de acuerdo con el Acuerdo, y pueden incluir, pero no se le conforma a:
Ninguno
Base continua, por la duración del Acuerdo aplicable.
Recogida de información de navegación en línea mediante el uso de cookies y otras tecnologías de seguimiento.
Para cualquier propósito legal relacionado con los Servicios prestados en virtud del Acuerdo entre el exportador de datos y el importador de datos, en particular publicidad dirigida basada en información de navegación en línea. No se permite ningún procesamiento adicional.
Durante la vigencia del Acuerdo aplicable, a menos que, a elección del exportador de datos, se elimina o deregresa Datos personales.
Los subprocesadores se citen en www.sojern.com/legal/lista-socia/ según lo permitido por el Modelo 1 Claula 9 a).
La autoridad de control de uno de los Estados miembros en el que se encuentra los sujetos de datos cuyos Datos Personales se transfereran en virtud de las presentes Claves en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea supervisado, como indica en el Anexo I.C, actuará como autoridad supervisora competente.
1. General. Sojern se detendrá, implementará y mantendrá las medidas administrativas, técnicas y organizativas que se han diseñado para proteger contra el procesamiento no autorizado o ilegal de Datos Personales y contra la pérdida accidental o destrucción o daño de los Datos Personales. Estas medidas serán aptas para cumplir con las leyes de protección de datos aplicable y Sojern cumplirá en todo momento con sus políticas de seguridad de la información y programa de seguridad de la información.
2. Políticas y Estándares de Seguridad de la Información. Mantiene políticas, estándares y procedimientos de seguridad de la información. Estas políticas, normas y procedimientos se mantendrán actualizadas y revisadas siempre que se van a llevar a cabo cambios relevantes en los sistemas de información que utilizan o mantienen Datos Personales.
3. Administración de las Anozales. Sojern tiene un programa de administración de vulnerabilidad para todos los sistemas que Procesan Datos Personales que incluye, sin limitación, análisis de vulnerabilidad internas y EXTERNAS con hallazgos de calificación de riesgo y planes formales de remediación para abordar cualquier vulnerabilidad que se le depare.
4. Evaluación de Riesgos. Sojern se realizará a cabo evaluaciones periódicas de riesgos para identificar y evaluar los riesgos de manera bastante previsibles para la seguridad, confidencialidad e integridad de los registros que contienen Datos Personales y evaluará y ayudará, cuando sea necesario, la efectividad de sus salvaguardias para la conformación de esos riesgos.
5. Data classificate. Sojern debe tener políticas y procedimientos para clasificar los activos de información confidencial, aclarar las responsabilidades de seguridad y promover la conciencia para todos los empleados.
6. Cifrado. Sojern implementará mecanismos de cifrado estándar de la industria y conjuntos de cifrado fuertes (se recomienda AES de 256 bits) para almacenamiento y transmisión. Sojern aceptará conexiones a través de canales cifrados (se recomienda TLS).
7. Seguridad de la red. Sojern aseguró su red mediante el empleo de un enfoque de defensa en profundidad que utiliza equipos disponibles comercialmente y técnicas estándar de la industria, entre ellos, sin limitación, firewalls, sistemas de detección de intrusiones, listas de control de acceso y protocolos de enrutamiento.
8. Controles de virus y malware. Sojern protegerá los Datos Personales del código malicioso e instalará y Mantendrá software de protección antivirus y malware en cualquier sistema que maneje Datos Personales.
9. Control de acceso. Sojern practicará el principio de privilegio mínimo donde el acceso a los Datos Personales solo se otorgue a aquellos dentro de la organización que tienen una necesidad comercial de dicho acceso y los permisos se limitarán a la cantidad mínima requerida realizar para la función laboral específica.
10. Ubicación de procesamiento. Los datos personales serán trabajados por Sojern en los Estados Unidos, sujeto a las leyes de protección de datos aplicable que pueden requerir lo contrario.
11. Respuesta a incidentes. Sojern Mantiene un programa de respuesta a incidentes de seguridad de datos y documentará todos los incidentes de seguridad de datos. Sojern investigará cualquier incidente de seguridad de datos y tendrá todas las medidas necesarias para eliminar o contenido el incidente de seguridad de datos.
12. Personal. Sojern tiene un programa de concientización y capacitación sobre seguridad de la información y capacitará al personal crítico de Sojern en medidas de protección de datos y protecciones generales de ciberseguridad.
13. Proveedor. Sojern mantiene un programa de administración de proveedores que evaluará a todos los proveedores con lo que Sojern intercambia Datos personales. Dicho proveedor estarán bajo estándares de seguridad de datos no menos restrictivos que los que se encuentran en este documento.
