Acuerdo para el procesamiento de datos
Última modificación: 9 de diciembre de 2021
Este Acuerdo para el Procesamiento de Datos (“DPA”) de Influencity, que incluye las Cláusulas Contractuales Estándar adoptadas por la Comisión Europea, según corresponda, refleja el acuerdo entre las partes con respecto a los términos que rigen el procesamiento de datos personales de conformidad con los Términos y Condiciones del Servicio para Clientes de Influencity (el “Acuerdo”).
Este Acuerdo para el Procesamiento de Datos es un anexo del Acuerdo y entra en vigor en el momento de su incorporación al Acuerdo; dicha incorporación debe especificarse en el Acuerdo, una Orden de Compra u otro anexo al Acuerdo. Después de la incorporación en el Acuerdo, el DPA formará parte de este Acuerdo. En caso de conflicto o inconsistencia con los términos del Acuerdo, este DPA tendrá prioridad sobre los términos del Acuerdo en la medida de dicho conflicto o inconsistencia.
Actualizamos estos términos periódicamente. Si tienes una suscripción de Influencity activa, te informaremos por correo electrónico o recibirás una notificación en la app cuando lo hagamos.
La vigencia de este DPA será la misma que la vigencia del Acuerdo. Los términos no definidos de otra manera en el presente documento tendrán el mismo significado que se establece en el Acuerdo.
1. Definiciones
“Controlador o Responsable de datos” hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del procesamiento de datos personales.
“Ley de Protección de Datos” hace referencia a toda la legislación aplicable relacionada con la protección y la privacidad de los datos, incluidas, sin limitaciones, la Directiva de la Unión Europea relativa a la protección de datos 95/46/EC y todas las leyes y normativas locales que la modifican o sustituyen, incluido el Reglamento General de Protección de Datos (RGPD), junto con las leyes de implementación nacionales de cualquier estado miembro de la Unión Europea o, en la medida que corresponda, cualquier otro país, según se modifique, derogue, consolide o reemplace periódicamente. Los términos "procesar", "procesamientos" y "procesado" se interpretarán como corresponda.
“Parte interesada” hace referencia a la persona con la que se relacionan los datos personales.
“RGPD” significa Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales.
“Instrucción” significa la instrucción escrita y documentada emitida por el controlador al procesador y mediante la cual se solicita una acción específica con respecto a los datos personales (incluidos, sin limitación, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).
“Afiliados Permitidos” significa cualquiera de los Afiliados del Cliente que (i) tienen permiso para usar los Servicios de Suscripción de conformidad con el Acuerdo, pero que no han firmado su propio acuerdo por separado con Influencity y no son un "Cliente" según se define en el Acuerdo, (ii ) se clasifica como Controlador de Datos Personales Procesados por Influencity, y (iii) están sujetos a las Leyes Europeas de Protección de Datos.
“Datos personales” hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información está incluida dentro de los datos del cliente y protegida de manera similar a los datos personales o a la información personalmente identificable de conformidad con la Ley de Protección de Datos.
“Violación de los datos personales” hace referencia a una violación de la seguridad que genera la destrucción, la pérdida, la alteración y la divulgación no autorizada de los datos personales transmitidos, almacenados o procesados de cualquier otra manera, o el acceso a estos de manera accidental o ilegal.
“Procesamiento” hace referencia a cualquier operación o conjunto de operaciones que se realiza con los datos personales, incluidos el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o puesta a disposición, la alineación o combinación, la restricción o el borrado.
“Procesador o Encargado del tratamiento” hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.
“Cláusulas Contractuales Estándar” hace referencia a las cláusulas contractuales estándar para procesadores aprobadas de conformidad con la decisión de la Comisión Europea del 4.6.2021 sobre cláusulas contractuales estándar entre controladores y procesadores de conformidad con el artículo 28 (7) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y el artículo 29 (7) del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo.
“Listado de Subencargados” se refiere a la página de subencargados de Influencity disponible en https://influencity.com/es/legallistado-subencargados.
2. Información del procesamiento
a. Categorías de partes interesadas. El controlador puede presentar datos personales al Servicio de Suscripción, en la medida en que sean determinados y controlados por este a su absoluto criterio, incluidos, sin limitaciones, los contactos y otros usuarios finales, como los empleados, contratistas, colaboradores, clientes, influencers, proveedores y subcontratistas del controlador. Se consideran también como partes interesadas las personas que intentan comunicar o transferir datos personales a los usuarios finales del controlador.
b. Tipos de datos personales. La información de contacto (como se define en los Términos y Condiciones del Servicio para clientes de Influencity), en la medida en que es determinada y controlada por el cliente a su absoluto criterio, y otros datos personales, como los datos de navegación (incluida la información de uso de sitios web), los datos de correos electrónicos, los datos de uso del sistema, los datos de integración de aplicaciones y otros datos electrónicos enviados, guardados o recibidos por los usuarios finales mediante el Servicio de Suscripción.
c. Naturaleza y objeto del procesamiento. El objeto del procesamiento de datos personales por parte del procesador es suministrar servicios al controlador que participa del procesamiento de datos personales. Los datos personales estarán sujetos a esas actividades de procesamiento, según se especifique en el Acuerdo o en una Orden de Compra.
d. Propósito del procesamiento. Los datos personales se procesarán para proporcionar los servicios establecidos, en la medida indicada por el Controlador y su uso de los servicios, y acordados en el Acuerdo y en cualquier Orden de Compra correspondiente.
e. Duración del procesamiento. Los datos personales se procesarán durante la vigencia del Acuerdo, en virtud de la Sección 4 de este DPA.
3. Responsabilidad del controlador (el Cliente)
a. Cumplimiento de las leyes. Dentro del alcance del Acuerdo y en su uso de los servicios, el Cliente será responsable de cumplir con todos los requisitos que le sean aplicables según las Leyes de Protección de Datos aplicables con respecto al Procesamiento de Datos Personales y las Instrucciones que emite a Influencity.
En particular, pero sin perjuicio de lo anterior, el Cliente reconoce y acepta que será el único responsable de: (i) la precisión, calidad y legalidad de los Datos del Cliente y los medios por los cuales el Cliente adquirió los Datos Personales; (ii) cumplir con todos los requisitos necesarios de transparencia y legalidad según las Leyes de Protección de Datos aplicables para la recopilación y uso de los Datos Personales, incluida la obtención de los consentimientos y autorizaciones necesarios (particularmente para el uso del Cliente con fines de comercialización); (iii) garantizar que tiene derecho a transferir o proporcionar acceso a los Datos personales a Influencity para su procesamiento de acuerdo con los términos del Acuerdo (incluido este DPA); (iv) asegurar que sus Instrucciones de Influencity con respecto al Procesamiento de Datos Personales cumplan con las leyes aplicables, incluidas las Leyes de Protección de Datos; y (v) cumplir con todas las leyes (incluidas las Leyes de protección de datos) aplicables a cualquier correo electrónico u otro contenido creado, enviado o administrado a través de los Servicios de suscripción, incluidos los relacionados con la obtención de consentimientos (cuando sea necesario) para enviar correos electrónicos, el contenido de los correos electrónicos y sus prácticas de implementación de correo electrónico. El Cliente deberá informar a Influencity sin demora indebida si no puede cumplir con sus responsabilidades bajo esta subsección (a) o las Leyes de Protección de Datos aplicables.
b. Instrucciones del controlador. Las partes acuerdan que el Acuerdo (incluido este DPA), junto con el uso del Servicio de suscripción por parte del Cliente de conformidad con el Acuerdo, constituyen las Instrucciones completas y finales a Influencity del Cliente en relación con el Procesamiento de datos personales, y las instrucciones adicionales fuera del alcance de Las Instrucciones requerirán un acuerdo previo por escrito entre el Cliente y Influencity.
4. Obligaciones del procesador (Influencity)
a. Cumplimiento de las instrucciones. Las partes reconocen y acuerdan que el cliente es el controlador de los datos personales y Influencity es el procesador de dicha información. Influencity solo procesará datos personales para los fines descritos en este DPA o según lo acordado dentro del alcance de las instrucciones legales del cliente, excepto donde y en la medida en que lo exija la ley aplicable. Influencity no es responsable del cumplimiento de las Leyes de protección de datos aplicables al Cliente o la industria del Cliente que generalmente no se aplican a Influencity.
b. Conflicto entre leyes. Si el procesador considera que una instrucción del controlador infringe la Ley de Protección de Datos, debe informárselo al controlador de inmediato. Si el procesador no puede procesar datos personales de acuerdo con las instrucciones debido a un requisito legal en virtud de cualquier ley de la Unión Europea o de un estado miembro, el procesador (i) informará de inmediato al controlador acerca de ese requisito legal antes de llevar a cabo el procesamiento relevante en la medida permitida por la Ley de Protección de Datos; y (ii) suspenderá el procesamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales afectados) hasta que el controlador dé nuevas instrucciones que el procesador pueda cumplir. Si se invoca esta disposición, de conformidad con el Acuerdo, el procesador no será responsable ante el controlador por el incumplimiento sobre la prestación de los Servicios de Suscripción correspondientes hasta que el controlador dé nuevas instrucciones con respecto al procesamiento.
c. Seguridad. Influencity implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger de forma adecuada a los datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada y el acceso accidentales o ilegales, como se describe en el Anexo 2 de este DPA ("Medidas de seguridad"). No obstante cualquier disposición en contrario, Influencity puede modificar o actualizar las Medidas de Seguridad a su discreción, siempre que dicha modificación o actualización no resulte en una degradación material en la protección ofrecida por las Medidas de Seguridad. Dichas medidas incluyen, sin limitación, lo siguiente:
i. Prevenir el acceso de personas no autorizadas a los sistemas de procesamiento de datos personales.
ii. Prevenir el uso sin autorización de los sistemas de procesamiento de datos personales.
iii. Garantizar que las personas aptas para usar el sistema de procesamiento de datos personales tengan acceso solo a los datos personales a los que están autorizados a acceder de acuerdo con sus derechos de acceso, y que, durante el procesamiento o el uso y después del almacenamiento, los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización.
iv. Garantizar que los datos personales no se lean, copien, modifiquen ni eliminen sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer y verificar las entidades destinatarias de cualquier transferencia de datos personales mediante instalaciones de transmisión de datos.
v. Garantizar el establecimiento de un registro de auditoría para documentar si se ingresaron, modificaron o eliminaron datos personales de los sistemas de procesamiento, y quién lo hizo.
vi. Garantizar que los datos personales se procesen solo de acuerdo con las instrucciones.
vii. Garantizar que los datos personales se protegen contra la destrucción o pérdida accidentales.
El procesador ayudará al controlador a cumplir con su obligación de implementar medidas de seguridad con respecto a los datos personales (incluidas, si corresponde, las obligaciones del controlador de conformidad con los Artículos 32 a 34 [inclusive] del RGPD), (i) implementando y manteniendo las medidas de seguridad que se describen en el Anexo 2, (ii) cumpliendo con los términos de la Sección 4.d. (Violación de datos personales); y (iii) proporcionando al controlador información relacionada con el procesamiento de acuerdo con la Sección 6 (Auditorías).
d. Confidencialidad. El procesador debe garantizar que el personal autorizado por este a procesar datos personales en su nombre está sujeto a obligaciones de confidencialidad con respecto a esos datos personales. El compromiso de confidencialidad subsistirá tras la finalización de las actividades mencionadas antes.
e. Violación de datos personales. El procesador notificará al controlador sin demora indebida cualquier violación de datos personales de la que sea consciente. A petición del controlador, el procesador le ofrecerá a este toda la ayuda razonablemente necesaria para que pueda notificar a las autoridades competentes o las partes interesadas afectadas acerca de cualquier violación de datos personales relevante, si se requiere que el controlador lo haga de conformidad con la Ley de Protección de Datos.
f. Eliminación o recuperación de datos personales. Además de en la medida en que se requiera para cumplir con la Ley de Protección de Datos, después de la finalización o del vencimiento del Acuerdo, el procesador eliminará o devolverá todos los datos personales (incluidas las copias de estos) procesados de conformidad con este DPA. Si el procesador no puede eliminar datos personales por motivos técnicos u otros, tomará las medidas necesarias para garantizar que se bloqueen los datos personales para cualquier otro procesamiento.
Al término o vencimiento del Acuerdo y previa emisión de una instrucción, el controlador deberá estipular, dentro de un período establecido por el procesador, las medidas razonables para devolver los datos o eliminar los datos guardados. Cualquier costo adicional derivado de la devolución o la eliminación de datos personales después de la finalización o del vencimiento del Acuerdo correrá a cargo del controlador.
Le procesador permitirá que el controlador elimine datos personales de usuarios finales utilizando la funcionalidad del Servicio de Suscripción.
g. Evaluaciones del impacto de la protección de datos y la consulta con autoridades supervisoras. En la medida en que la información solicitada esté disponible para el procesador y el controlador no tenga acceso a la información requerida, el procesador ofrecerá la asistencia razonable al controlador con las evaluaciones del impacto de la protección de datos y, previa consulta con las autoridades supervisoras u otras autoridades competentes, que el controlador considere razonables de conformidad con el artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación al procesamiento de datos personales.
5. Solicitudes de la parte interesada
El procesador permitirá que el controlador responda a las solicitudes de la parte interesada para ejercer sus derechos en virtud de la Ley de Protección de Datos aplicable de una manera consistente con la funcionalidad del Servicio de Suscripción. En la medida en que el controlador no sea capaz de satisfacer una solicitud de la parte interesada, a solicitud del controlador, el procesador puede ofrecer asistencia razonable al controlador para cumplir con dicha solicitud en la medida posible y solo según lo requiera la Ley de Protección de Datos aplicable. El controlador deberá reembolsar al procesador los costos comercialmente razonables derivados de esta asistencia.
El procesador ofrecerá la asistencia razonable, incluida la implementación de medidas técnicas y organizacionales adecuadas sujetas a la naturaleza del procesamiento, para permitir que el controlador responda a cualquier solicitud de las partes interesadas que quieran ejercitar sus derechos en virtud de la Ley de Protección de Datos respecto de datos personales (incluidas la rectificación, la restricción, la eliminación o la portabilidad de datos personales, y el acceso a estos según corresponda), en la medida permitida por la ley. Si dicha solicitud se hace directamente al procesador, este informará de inmediato al controlador y sugerirá a las partes interesadas que envíen su solicitud al controlador. El controlador será el único responsable de responder a las solicitudes de las partes interesadas.
6. Auditorías
De acuerdo con las leyes de protección de datos y en respuesta a una solicitud escrita razonable del controlador, el procesador podrá poner a disposición del controlador información que posea o controle en relación con el cumplimiento del procesador de las obligaciones de los procesadores de datos en virtud de la Ley de Protección de Datos, en lo que respecta a su procesamiento de datos personales.
El controlador podrá, tras una solicitud por escrito y un aviso de al menos 30 días al procesador, durante el horario habitual de atención y sin interrumpir las operaciones comerciales del procesador, realizar una inspección del sitio de las operaciones comerciales del procesador o solicitárselo a un auditor externo calificado con la aprobación del procesador, que no deberá denegarse sin motivo.
A petición por escrito del controlador con una antelación de al menos 30 días, el procesador podrá proporcionar al controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté dentro del control del procesador y este no se vea impedido de divulgarla de conformidad con la ley aplicable, una obligación de confidencialidad o cualquier otra obligación hacia un tercero.
7. Subprocesadores o Subencargados
a. Designación de subprocesadores. El controlador reconoce y acepta (a) la interacción como subprocesador de las empresas afiliadas al procesador y los terceros enumerados en nuestra Listado de Subencargados, y (b) que el procesador y las empresas afiliadas al procesador podrán designar respectivamente subprocesadores externos en conexión con el suministro del Servicio de Suscripción.
Cuando la actividad del procesador incluya la participación de un subprocesador, el procesador celebrará un contrato con dicho subprocesador que imponga sobre este las mismas obligaciones que corresponden al procesador en virtud de este DPA. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos, el procesador seguirá siendo responsable ante el controlador por el cumplimiento de dichas obligaciones de los procesadores.
Cuando se involucra a un subprocesador, el controlador debe tener derecho a monitorizar e inspeccionar las actividades del subprocesador de acuerdo con este DPA y la Ley de Protección de Datos, incluso para obtener información del procesador, previa solicitud por escrito, respecto de las condiciones sustanciales del contrato y la implementación de obligaciones de protección de datos de conformidad con el contrato de subprocesamiento, cuando sea necesario, mediante la revisión de los documentos correspondientes.
Deben aplicarse mutuamente las disposiciones de esta Sección 7 si la actividad del procesador incluye la participación de un subprocesador en un país que no pertenece al Espacio Económico Europeo ("EEE") y que, según la Comisión Europea, no proporcione un nivel adecuado de protección de datos personales. Si durante la vigencia de este DPA Influencity transfiere datos personales a un subprocesador ubicado fuera del EEE, antes de concretar dicha transferencia, Influencity deberá garantizar que se implemente un mecanismo legal para lograr la adecuación del procesamiento.
b. Lista de procesadores actuales y notificación u objeción a los procesadores nuevos. Si el procesador pretende dar instrucciones a subprocesadores que no sean las empresas enumeradas en el Listado de Subencargados, deberá notificárselo al controlador actualizando el Listado y darle la oportunidad de oponerse a la interacción de los nuevos subprocesadores dentro de los 30 días posteriores a la notificación. La objeción se debe basar en motivos razonables. Si el procesador y el controlador no pueden resolver dicha objeción, cada parte puede finalizar el Acuerdo proporcionando una notificación escrita a la otra parte. El controlador podrá recibir un reembolso de las tarifas prepagas y no utilizadas para el período posterior a la fecha efectiva de finalización.
8. Transferencias de datos
El controlador reconoce y acepta que, en conexión con la prestación de los servicios establecidos en el Acuerdo, los datos personales se transferirán a Influencity, S.L., en la UE y a otras jurisdicciones donde los subprocesadores tienen operaciones. El procesador puede acceder a los datos personales y realizar el procesamiento de estos de manera global según sea necesario para proporcionar el Servicio de Suscripción, de acuerdo con los Términos y Condiciones del Servicio para Clientes de Influencity.
En la medida en que el controlador o el procesador utilicen un mecanismo estatutario específico para normalizar las transferencias de datos internacionales y ese mecanismo se revoque posteriormente o sea declarado no válido por una corte de jurisdicción competente, el controlador y el procesador acuerdan cooperar de buena fe para lograr un mecanismo alternativo adecuado que permita realizar la transferencia de manera legal.
9. Disposiciones adicionales para datos europeos
a. Alcance de la Sección 9. Esta Sección 9 (Disposiciones adicionales para datos europeos) se aplicará únicamente con respecto a los datos europeos.
b. Roles de las Partes. Al procesar datos europeos de acuerdo con las instrucciones del cliente, las partes reconocen y aceptan que el cliente es el controlador de datos europeos e Influencity es el procesador.
c. Instrucciones. Si Influencity cree que una Instrucción del Cliente infringe las Leyes europeas de protección de datos (cuando corresponda), informará al Cliente sin demora.
d. Notificación y objeción a nuevos subprocesadores. Influencity notificará al Cliente sobre cualquier cambio en los Subprocesadores actualizando la Lista de Subprocesadores y le dará al Cliente la oportunidad de oponerse a la contratación del nuevo Subprocesador por motivos razonables relacionados con la protección de Datos personales dentro de los 30 días posteriores a la actualización. la lista de subprocesadores. Si el Cliente notifica a Influencity de tal objeción, las partes discutirán las inquietudes del Cliente de buena fe con miras a lograr una resolución comercialmente razonable. Si no se puede llegar a tal resolución, Influencity, a su entera discreción, no designará al nuevo Subprocesador o permitirá que el Cliente suspenda o cancele el Servicio de Suscripción afectado de acuerdo con las disposiciones de terminación del Acuerdo sin responsabilidad para ninguna de las partes. (pero sin perjuicio de las tarifas incurridas por el Cliente antes de la suspensión o rescisión).
e. Evaluaciones del impacto de la protección de datos y consulta con las autoridades supervisoras. En la medida en que la información requerida esté razonablemente disponible para Influencity, y el Cliente no tenga acceso a la información requerida, Influencity brindará asistencia razonable al Cliente con cualquier evaluación de impacto de protección de datos y consultas previas con las autoridades de supervisión u otra privacidad de datos competente. autoridades en la medida requerida por las leyes europeas de protección de datos.
f. Mecanismos de transferencia para transferencias de datos. Influencity no transferirá Datos europeos a ningún país o destinatario que no se reconozca como proveedor de un nivel adecuado de protección de Datos personales (en el sentido de la Ley europea de protección de datos), a menos que primero tome todas las medidas necesarias para garantizar la La transferencia cumple con las leyes europeas de protección de datos aplicables. Dichas medidas pueden incluir (sin limitación) la transferencia de dichos datos a un destinatario que haya obtenido la autorización de normas corporativas vinculantes de conformidad con la Ley europea de protección de datos, oa un destinatario que haya ejecutado las cláusulas contractuales estándar adoptadas o aprobadas por la Comisión Europea.
g. Demostración de cumplimiento. Influencity pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y permitir y contribuir a las auditorías, incluidas las inspecciones del Cliente para evaluar el cumplimiento de este DPA. El Cliente reconoce y acepta que ejercerá sus derechos de auditoría bajo este DPA instruyendo a Influencity para que cumpla con las medidas de auditoría descritas en esta subsección (g). El Cliente reconoce que el Servicio de Suscripción está alojado por los socios del centro de datos de Influencity que mantienen programas de seguridad validados de forma independiente (incluidos SOC 2 e ISO 27001) y que los sistemas de Influencity son probados regularmente por firmas independientes de pruebas de penetración de terceros. Previa solicitud, Influencity proporcionará (de forma confidencial) una copia resumida de sus informes de pruebas de penetración al Cliente para que el Cliente pueda verificar el cumplimiento de Influencity con este DPA. Además, a solicitud por escrito del Cliente, Influencity proporcionará respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información realizadas por el Cliente necesarias para confirmar el cumplimiento de Influencity con este DPA, siempre que el Cliente no ejerza este derecho más de una vez por año calendario.
10. Disposiciones generales
a. Modificaciones. Sin perjuicio de cualquier otra disposición en contrario en el Acuerdo y sin perjuicio de la Sección 4 (c) (Seguridad), Influencity se reserva el derecho de realizar actualizaciones y cambios a este DPA y los términos que se aplican en la Sección 10 (a) “Modificaciones” del Acuerdo.
b. Nulidad e ineficacia. En caso de conflicto, este DPA tendrá prioridad sobre las regulaciones del Acuerdo. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposición de este DPA no se verán afectadas.
c. Limitación de responsabilidad. Cada parte y la responsabilidad de cada uno de sus Afiliados, en conjunto, que surja de o esté relacionada con este DPA (y cualquier otro DPA entre las partes) y las Cláusulas Contractuales Estándar (cuando corresponda), ya sea en contrato, agravio o bajo cualquier otro teoría de la responsabilidad, estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en la sección del Acuerdo titulada 'Limitación de responsabilidad' y cualquier referencia en dicha sección a la responsabilidad de una parte significa responsabilidad agregada de esa parte y de todos sus Afiliados en virtud del Acuerdo (incluido este DPA). Para evitar dudas, si Influencity, SL, no es parte del Acuerdo, se aplicará la sección del Acuerdo titulada 'Limitación de responsabilidad' entre el Cliente e Influencity, SL, y en tal sentido cualquier referencia a 'Influencity' , 'nosotros', 'nos' o 'nuestro' incluirán tanto Influencity, SL, como la entidad Influencity que sea parte del Acuerdo.
d. Ley aplicable y jurisdicción competente. El presente Acuerdo queda sometido por acuerdo de ambas partes, el Cliente e Influencity, al ordenamiento jurídico español. El Cliente e Influencity, con renuncia expresa a cualquier fuero que, conforme a Derecho pudiera corresponderles, se someten a la jurisdicción de los Juzgados y Tribunales de la ciudad de Madrid. Este DPA se regirá e interpretará de acuerdo con las leyes vigentes y las disposiciones de jurisdicción en el Acuerdo, a menos que las Leyes de Protección de Datos requieran lo contrario.
11. Partes de este DPA
a. Afiliados permitidos. Al firmar el Acuerdo, el Cliente entra en este DPA en nombre de sí mismo y, en la medida requerida por las Leyes de Protección de Datos aplicables, en nombre y en nombre de sus Afiliados Permitidos, estableciendo así un DPA separado entre Influencity y cada sujeto Afiliado Permitido. al Acuerdo y las Secciones 10 y 11 y este DPA. Cada Afiliado Permitido acepta estar sujeto a las obligaciones bajo este DPA y, en la medida que sea aplicable, el Acuerdo. A los efectos de este DPA únicamente, y salvo que se indique lo contrario, el término "Cliente" incluirá al Cliente y dichos Afiliados autorizados.
b. Autorización. La entidad legal que acepta este DPA como Cliente declara que está autorizada a aceptar y celebrar este DPA para y en nombre de sí misma y, según corresponda, de cada una de sus Afiliadas autorizadas.
c. Ejercicio de derechos. Excepto cuando las Leyes de protección de datos aplicables requieran que un Afiliado autorizado ejerza un derecho o busque cualquier remedio bajo este DPA contra Influencity directamente por sí mismo, las partes acuerdan que (i) únicamente la entidad del Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscar cualquier remedio que cualquier Afiliado Permitido pueda tener bajo este DPA en nombre de sus Afiliados, y (ii) la entidad del Cliente que es la parte contratante del Acuerdo ejercerá dichos derechos bajo este DPA no por separado para cada Afiliado Permitido individualmente sino en de manera combinada para sí mismo y todos sus Afiliados autorizados juntos. La entidad del Cliente que es la entidad contratante es responsable de coordinar todas las comunicaciones con Influencity según el DPA y tiene derecho a realizar y recibir cualquier comunicación relacionada con este DPA en nombre de sus Afiliados autorizados.
d. Otros derechos. Las partes acuerdan que el Cliente, al revisar el cumplimiento de Influencity con este DPA de conformidad con la Sección 9 (g) (Demostración de cumplimiento), tomará todas las medidas razonables para limitar cualquier impacto en Influencity y sus Afiliados combinando varias solicitudes de auditoría realizadas en nombre de la entidad del Cliente que es la parte contratante del Acuerdo y todas sus Filiales Permitidas en una sola auditoría.
Anexo 1: Detalles del procesamiento
Este Anexo forma parte de las Cláusulas. Los Estados miembros pueden completar o especificar, según sus procedimientos nacionales, cualquier información necesaria adicional que deba incluirse en este Anexo.
A. Exportador de datos
El exportador de datos es el Cliente, como se define en los Términos y Condiciones del Servicio para Clientes de Influencity (“Acuerdo”).
B. Importador de datos
El importador de datos es Influencity, S.L., un proveedor global de software de influencer marketing.
C. Partes interesadas
Categorías de partes interesadas establecidas de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas.
D. Categorías de datos
Categorías de datos personales establecidos de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas.
E. Categorías de datos especiales (si corresponde)
Las partes no anticipan la transferencia de categorías especiales de datos.
F. Operaciones de procesamiento
Actividades de procesamiento establecidas de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas:
Anexo 2: Medidas de seguridad técnica y organizativa
Este Anexo forma parte de las Cláusulas.
Descripción de las medidas de seguridad técnicas y organizacionales implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o la documentación/legislación adjunta):
Actualmente, Influencity cumple con las prácticas de seguridad descriptas en este Anexo 2. No obstante cualquier disposición contraria aceptada por el exportador de datos, Influencity puede modificar o actualizar estas prácticas a su discreción siempre y cuando dichas modificación y actualización no generen una degradación material en la protección ofrecida por estas prácticas. Todos los términos en letras mayúsculas no definidos en el presente tendrán los significados establecidos en el Acuerdo.
a) Control de acceso
i) Prevención del acceso no autorizado a productos
Procesamiento externalizado: Influencity aloja su servicio con proveedores externos de infraestructura de nube. Además, Influencity mantiene relaciones contractuales con proveedores con el fin de proporcionar el servicio de conformidad con nuestro Acuerdo para el Procesamiento de Datos. Influencity recurre a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos procesados o almacenados por estos.
Seguridad física y ambiental: Influencity aloja su infraestructura de producto con proveedores externos de infraestructura multinquilino. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con SOC 2 Tipo II e ISO 27001, entre otras certificaciones.
Autenticación: Influencity implementó una política de contraseñas uniforme para los productos de sus clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.
Autorización: Los datos de los clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de la aplicación. El modelo de autorización en cada uno de los productos de Influencity está diseñado para garantizar que solo las personas asignadas de manera adecuada pueden acceder a las características, las visualizaciones y las opciones de personalización relevantes. Las verificaciones de autorización para acceder a los conjuntos de datos se realizan validando los permisos del usuario contra los atributos asociados con cada conjunto de datos.
Acceso a la interfaz de programación de aplicaciones (API): Se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.
ii) Prevención del uso no autorizado de productos
Influencity implementa los controles de acceso y capacidades de detección estándares de la industria para las redes internas que respaldan sus productos.
Controles de acceso: Los mecanismos de control de acceso de red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura de producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.
Detección y prevención de intrusiones: Influencity implementó una solución de Firewall de Aplicación Web (WAF, por sus siglas en inglés) para proteger a los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.
Análisis de código estático: Se realizan revisiones de seguridad de los códigos guardados en los depósitos de código fuente de Influencity para comprobar las buenas prácticas de codificación y las fallas de software identificables.
Prueba de penetración: Influencity recurre a proveedores de servicios de pruebas de penetración reconocidos en la industria para realizar cuatro pruebas de penetración al año. El objetivo de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y posibles situaciones de abuso.
Recompensas por detección de errores: Un programa de recompensas por detección de errores invita e incentiva a los investigadores de seguridad independientes a descubrir y divulgar éticamente las fallas de seguridad. Influencity implementó un programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad de seguridad y mejorar la defensa de productos contra ataques sofisticadas.
iii) Limitaciones de los requisitos de privilegio y autorización
Acceso a productos: Un subconjunto de empleados de Influencity tiene acceso a los productos y datos del cliente mediante interfaces controladas. El objetivo de brindar acceso a un subconjunto de empleados es proporcionar al cliente asistencia técnica efectiva, solucionar problemas potenciales, detectar y resolver incidentes de seguridad, e implementar medidas de protección de seguridad de datos. El acceso se habilita mediante solicitudes just-in-time (justo en el momento); estas solicitudes se registran. Los empleados obtienen acceso en función de su puesto, y se revisan los otorgamientos de privilegios de alto riesgo a diario. Las funciones de los empleados se revisan al menos una vez cada seis meses.
Comprobación de antecedentes: Todos los empleados de Influencity se someten a una comprobación de antecedentes a cargo de un tercero antes de recibir una oferta de trabajo, de conformidad con las leyes aplicables. Todos los empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.
b) Control de transmisión
En tránsito: Influencity ofrece la encriptación HTTPS (también conocida como SSL o TLS) en cada una de sus interfaces de inicio de sesión y de manera gratuita en cada sitio de cliente alojado en productos de Influencity. Influencity implementa el protocolo HTTPS usando algoritmos y certificados estándares de la industria.
En reposo: Influencity almacena las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar de la industria para la seguridad. Influencity ha implementado tecnologías para garantizar que los datos guardados se cifren en reposo.
c) Control de entrada
Detección: Influencity diseñó su infraestructura para registrar amplia información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos agregados registran datos y alertan a los empleados pertinentes acerca de actividades maliciosas, no deseadas o anómalas. El personal de Influencity, incluidos los empleados de seguridad, operaciones y asistencia técnica, responden ante los incidentes conocidos.
Respuesta y monitorización: Influencity mantiene un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de los incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados; las medidas apropiadas para la solución de estos incidentes se identifican y documentan. Ante cualquier incidente confirmado, Influencity seguirá los pasos adecuados para minimizar el daño del producto o del cliente, o la divulgación no autorizada.
Comunicación: Si Influencity toma conocimiento de un acceso ilegal a los datos del cliente guardados en sus productos: 1) notificará a los clientes afectados acerca del incidente; 2) proporcionará una descripción de los pasos que Influencity está siguiendo para el incidente; y 3) proporcionará actualizaciones de estado al contacto del cliente, según Influencity considere necesario. En caso de que haya notificaciones de incidentes, se enviarán a uno o más de los contactos del cliente de la manera en que Influencity lo disponga, ya sea por correo electrónico o por teléfono.
d) Control de disponibilidad
Disponibilidad de la infraestructura: Los proveedores de infraestructura realizan esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99.9%. Los proveedores mantienen un mínimo de redundancia N+1 para los servicios de energía, redes y aire acondicionado.
Tolerancia a fallas: Las estrategias de copia de seguridad y replicación están diseñadas para garantizar las protecciones de redundancia y conmutación por error durante un error importante de procesamiento. Las datos del cliente con copias de seguridad se guardan en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.
Réplicas y copias de seguridad en línea: En la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos 1 base de datos primaria y 1 secundaria. Todas las bases de datos se respaldan y mantienen usando métodos estándar de la industria.
Los productos de Influencity están diseñados para garantizar la redundancia y la conmutación por error sin problemas. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que las operaciones de Influencity mantengan y actualicen las aplicaciones de producto y la capacidad back-end, mientras limitan el tiempo de inactividad.