Aviso legal

Un poco de jerga legal

Acuerdo para el Procesamiento de Datos

Última modificación: 20 de Enero de 2020

 

Este Acuerdo para el Procesamiento de Datos (“DPA”) de Influencity, que incluye las Cláusulas Contractuales Estándar adoptadas por la Comisión Europea, según corresponda, refleja el acuerdo entre las partes con respecto a los términos que rigen el procesamiento de datos personales de conformidad con los Términos y Condiciones del Servicio para Clientes de Influencity (el “Acuerdo”).

Este Acuerdo para el Procesamiento de Datos es un anexo del Acuerdo y entra en vigor en el momento de su incorporación al Acuerdo; dicha incorporación debe especificarse en el Acuerdo, una Orden de Compra u otro anexo al Acuerdo. Después de la incorporación en el Acuerdo, el DPA formará parte de este Acuerdo. En caso de conflicto o inconsistencia con los términos del Acuerdo, este DPA tendrá prioridad sobre los términos del Acuerdo en la medida de dicho conflicto o inconsistencia.

Actualizamos estos términos periódicamente. Si tienes una suscripción de Influencity activa, te informaremos por correo electrónico o recibirás una notificación en la app cuando lo hagamos.

La vigencia de este DPA será la misma que la vigencia del Acuerdo. Los términos no definidos de otra manera en el presente documento tendrán el mismo significado que se establece en el Acuerdo.

 

1. Definiciones

“Controlador o Responsable de datos” hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del procesamiento de datos personales.

“Ley de Protección de Datos” hace referencia a toda la legislación aplicable relacionada con la protección y la privacidad de los datos, incluidas, sin limitaciones, la Directiva de la Unión Europea relativa a la protección de datos 95/46/EC y todas las leyes y normativas locales que la modifican o sustituyen, incluido el Reglamento General de Protección de Datos (RGPD), junto con las leyes de implementación nacionales de cualquier estado miembro de la Unión Europea o, en la medida que corresponda, cualquier otro país, según se modifique, derogue, consolide o reemplace periódicamente. Los términos "procesar", "procesamientos" y "procesado" se interpretarán como corresponda.

“Parte interesada” hace referencia a la persona con la que se relacionan los datos personales.

“RGPD” significa Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales.

“Instrucción” significa la instrucción escrita y documentada emitida por el controlador al procesador y mediante la cual se solicita una acción específica con respecto a los datos personales (incluidos, sin limitación, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).

“Datos personales” hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información está incluida dentro de los datos del cliente y protegida de manera similar a los datos personales o a la información personalmente identificable de conformidad con la Ley de Protección de Datos.

“Violación de los datos personales” hace referencia a una violación de la seguridad que genera la destrucción, la pérdida, la alteración y la divulgación no autorizada de los datos personales transmitidos, almacenados o procesados de cualquier otra manera, o el acceso a estos de manera accidental o ilegal.

“Procesamiento” hace referencia a cualquier operación o conjunto de operaciones que se realiza con los datos personales, incluidos el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o puesta a disposición, la alineación o combinación, la restricción o el borrado.

“Procesador o Encargado del tratamiento” hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.

“Cláusulas Contractuales Estándar” hace referencia a las cláusulas adjuntas al presente como Documento 1 de conformidad con la decisión de la Comisión Europea (C(2010)593) del 5 de febrero de 2010 respecto de las Cláusulas Contractuales Estándar para la transferencia de datos personales a los procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos.

“Listado de Subencargados” se refiere a la página de subencargados de Influencity disponible en https://influencity.com/es/legallistado-subencargados.

 

2. Información del procesamiento

a. Categorías de partes interesadas. El controlador puede presentar datos personales al Servicio de Suscripción, en la medida en que sean determinados y controlados por este a su absoluto criterio, incluidos, sin limitaciones, los contactos y otros usuarios finales, como los empleados, contratistas, colaboradores, clientes, influencers, proveedores y subcontratistas del controlador. Se consideran también como partes interesadas las personas que intentan comunicar o transferir datos personales a los usuarios finales del controlador.

b. Tipos de datos personales. La información de contacto (como se define en los Términos y Condiciones del Servicio para clientes de Influencity), en la medida en que es determinada y controlada por el cliente a su absoluto criterio, y otros datos personales, como los datos de navegación (incluida la información de uso de sitios web), los datos de correos electrónicos, los datos de uso del sistema, los datos de integración de aplicaciones y otros datos electrónicos enviados, guardados o recibidos por los usuarios finales mediante el Servicio de Suscripción.

c. Naturaleza y objeto del procesamiento. El objeto del procesamiento de datos personales por parte del procesador es suministrar servicios al controlador que participa del procesamiento de datos personales. Los datos personales estarán sujetos a esas actividades de procesamiento, según se especifique en el Acuerdo o en una Orden de Compra.

d. Propósito del procesamiento. Los datos personales se procesarán para proporcionar los servicios establecidos, en la medida indicada por el Controlador y su uso de los servicios, y acordados en el Acuerdo y en cualquier Orden de Compra correspondiente.

e. Duración del procesamiento. Los datos personales se procesarán durante la vigencia del Acuerdo, en virtud de la Sección 4 de este DPA.

 

3. Responsabilidad del controlador (el Cliente)

a. Cumplimiento de las leyes. Dentro del alcance del Acuerdo y en su uso de los servicios, el Cliente será responsable de cumplir con todos los requisitos que le sean aplicables según las Leyes de Protección de Datos aplicables con respecto al Procesamiento de Datos Personales y las Instrucciones que emite a Influencity.

En particular, pero sin perjuicio de lo anterior, el Cliente reconoce y acepta que será el único responsable de: (i) la precisión, calidad y legalidad de los Datos del Cliente y los medios por los cuales el Cliente adquirió los Datos Personales; (ii) cumplir con todos los requisitos necesarios de transparencia y legalidad según las Leyes de Protección de Datos aplicables para la recopilación y uso de los Datos Personales, incluida la obtención de los consentimientos y autorizaciones necesarios (particularmente para el uso del Cliente con fines de comercialización); (iii) garantizar que tiene derecho a transferir o proporcionar acceso a los Datos personales a Influencity para su procesamiento de acuerdo con los términos del Acuerdo (incluido este DPA); (iv) asegurar que sus Instrucciones de Influencity con respecto al Procesamiento de Datos Personales cumplan con las leyes aplicables, incluidas las Leyes de Protección de Datos; y (v) cumplir con todas las leyes (incluidas las Leyes de protección de datos) aplicables a cualquier correo electrónico u otro contenido creado, enviado o administrado a través de los Servicios de suscripción, incluidos los relacionados con la obtención de consentimientos (cuando sea necesario) para enviar correos electrónicos, el contenido de los correos electrónicos y sus prácticas de implementación de correo electrónico. El Cliente deberá informar a Influencity sin demora indebida si no puede cumplir con sus responsabilidades bajo esta subsección (a) o las Leyes de Protección de Datos aplicables.

b. Instrucciones del controlador. Las partes acuerdan que el Acuerdo (incluido este DPA), junto con el uso del Servicio de suscripción por parte del Cliente de conformidad con el Acuerdo, constituyen las Instrucciones completas y finales a Influencity del Cliente en relación con el Procesamiento de datos personales, y las instrucciones adicionales fuera del alcance de Las Instrucciones requerirán un acuerdo previo por escrito entre el Cliente y Influencity.

 

4. Obligaciones del procesador (Influencity)

a. Cumplimiento de las instrucciones. Las partes reconocen y acuerdan que el cliente es el controlador de los datos personales y Influencity es el procesador de dicha información. Influencity solo procesará datos personales para los fines descritos en este DPA o según lo acordado dentro del alcance de las instrucciones legales del cliente, excepto donde y en la medida en que lo exija la ley aplicable. Influencity no es responsable del cumplimiento de las Leyes de protección de datos aplicables al Cliente o la industria del Cliente que generalmente no se aplican a Influencity.

b. Conflicto entre leyes. Si el procesador considera que una instrucción del controlador infringe la Ley de Protección de Datos, debe informárselo al controlador de inmediato. Si el procesador no puede procesar datos personales de acuerdo con las instrucciones debido a un requisito legal en virtud de cualquier ley de la Unión Europea o de un estado miembro, el procesador (i) informará de inmediato al controlador acerca de ese requisito legal antes de llevar a cabo el procesamiento relevante en la medida permitida por la Ley de Protección de Datos; y (ii) suspenderá el procesamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales afectados) hasta que el controlador dé nuevas instrucciones que el procesador pueda cumplir. Si se invoca esta disposición, de conformidad con el Acuerdo, el procesador no será responsable ante el controlador por el incumplimiento sobre la prestación de los Servicios de Suscripción correspondientes hasta que el controlador dé nuevas instrucciones con respecto al procesamiento.

c. Seguridad. Influencity implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger de forma adecuada a los datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada y el acceso accidentales o ilegales, como se describe en el Anexo 2 de este DPA ("Medidas de seguridad"). No obstante cualquier disposición en contrario, Influencity puede modificar o actualizar las Medidas de Seguridad a su discreción, siempre que dicha modificación o actualización no resulte en una degradación material en la protección ofrecida por las Medidas de Seguridad. Dichas medidas incluyen, sin limitación, lo siguiente:

i. Prevenir el acceso de personas no autorizadas a los sistemas de procesamiento de datos personales.

ii. Prevenir el uso sin autorización de los sistemas de procesamiento de datos personales.

iii. Garantizar que las personas aptas para usar el sistema de procesamiento de datos personales tengan acceso solo a los datos personales a los que están autorizados a acceder de acuerdo con sus derechos de acceso, y que, durante el procesamiento o el uso y después del almacenamiento, los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización.

iv. Garantizar que los datos personales no se lean, copien, modifiquen ni eliminen sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer y verificar las entidades destinatarias de cualquier transferencia de datos personales mediante instalaciones de transmisión de datos.

v. Garantizar el establecimiento de un registro de auditoría para documentar si se ingresaron, modificaron o eliminaron datos personales de los sistemas de procesamiento, y quién lo hizo.

vi. Garantizar que los datos personales se procesen solo de acuerdo con las instrucciones.

vii. Garantizar que los datos personales se protegen contra la destrucción o pérdida accidentales.

El procesador ayudará al controlador a cumplir con su obligación de implementar medidas de seguridad con respecto a los datos personales (incluidas, si corresponde, las obligaciones del controlador de conformidad con los Artículos 32 a 34 [inclusive] del RGPD), (i) implementando y manteniendo las medidas de seguridad que se describen en el Anexo 2, (ii) cumpliendo con los términos de la Sección 4.d. (Violación de datos personales); y (iii) proporcionando al controlador información relacionada con el procesamiento de acuerdo con la Sección 6 (Auditorías).

d. Confidencialidad. El procesador debe garantizar que el personal autorizado por este a procesar datos personales en su nombre está sujeto a obligaciones de confidencialidad con respecto a esos datos personales. El compromiso de confidencialidad subsistirá tras la finalización de las actividades mencionadas antes.

e. Violación de datos personales. El procesador notificará al controlador sin demora indebida cualquier violación de datos personales de la que sea consciente. A petición del controlador, el procesador le ofrecerá a este toda la ayuda razonablemente necesaria para que pueda notificar a las autoridades competentes o las partes interesadas afectadas acerca de cualquier violación de datos personales relevante, si se requiere que el controlador lo haga de conformidad con la Ley de Protección de Datos.

f. Eliminación o recuperación de datos personales. Además de en la medida en que se requiera para cumplir con la Ley de Protección de Datos, después de la finalización o del vencimiento del Acuerdo, el procesador eliminará o devolverá todos los datos personales (incluidas las copias de estos) procesados de conformidad con este DPA. Si el procesador no puede eliminar datos personales por motivos técnicos u otros, tomará las medidas necesarias para garantizar que se bloqueen los datos personales para cualquier otro procesamiento.

Al término o vencimiento del Acuerdo y previa emisión de una instrucción, el controlador deberá estipular, dentro de un período establecido por el procesador, las medidas razonables para devolver los datos o eliminar los datos guardados. Cualquier costo adicional derivado de la devolución o la eliminación de datos personales después de la finalización o del vencimiento del Acuerdo correrá a cargo del controlador.

Le procesador permitirá que el controlador elimine datos personales de usuarios finales utilizando la funcionalidad del Servicio de Suscripción.

g. Evaluaciones del impacto de la protección de datos y la consulta con autoridades supervisoras. En la medida en que la información solicitada esté disponible para el procesador y el controlador no tenga acceso a la información requerida, el procesador ofrecerá la asistencia razonable al controlador con las evaluaciones del impacto de la protección de datos y, previa consulta con las autoridades supervisoras u otras autoridades competentes, que el controlador considere razonables de conformidad con el artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación al procesamiento de datos personales.

 

5. Solicitudes de la parte interesada

El procesador permitirá que el controlador responda a las solicitudes de la parte interesada para ejercer sus derechos en virtud de la Ley de Protección de Datos aplicable de una manera consistente con la funcionalidad del Servicio de Suscripción. En la medida en que el controlador no sea capaz de satisfacer una solicitud de la parte interesada, a solicitud del controlador, el procesador puede ofrecer asistencia razonable al controlador para cumplir con dicha solicitud en la medida posible y solo según lo requiera la Ley de Protección de Datos aplicable. El controlador deberá reembolsar al procesador los costos comercialmente razonables derivados de esta asistencia.

El procesador ofrecerá la asistencia razonable, incluida la implementación de medidas técnicas y organizacionales adecuadas sujetas a la naturaleza del procesamiento, para permitir que el controlador responda a cualquier solicitud de las partes interesadas que quieran ejercitar sus derechos en virtud de la Ley de Protección de Datos respecto de datos personales (incluidas la rectificación, la restricción, la eliminación o la portabilidad de datos personales, y el acceso a estos según corresponda), en la medida permitida por la ley.  Si dicha solicitud se hace directamente al procesador, este informará de inmediato al controlador y sugerirá a las partes interesadas que envíen su solicitud al controlador. El controlador será el único responsable de responder a las solicitudes de las partes interesadas.

 

6. Auditorías

De acuerdo con las leyes de protección de datos y en respuesta a una solicitud escrita razonable del controlador, el procesador podrá poner a disposición del controlador información que posea o controle en relación con el cumplimiento del procesador de las obligaciones de los procesadores de datos en virtud de la Ley de Protección de Datos, en lo que respecta a su procesamiento de datos personales.

El controlador podrá, tras una solicitud por escrito y un aviso de al menos 30 días al procesador, durante el horario habitual de atención y sin interrumpir las operaciones comerciales del procesador, realizar una inspección del sitio de las operaciones comerciales del procesador o solicitárselo a un auditor externo calificado con la aprobación del procesador, que no deberá denegarse sin motivo.

A petición por escrito del controlador con una antelación de al menos 30 días, el procesador podrá proporcionar al controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté dentro del control del procesador y este no se vea impedido de divulgarla de conformidad con la ley aplicable, una obligación de confidencialidad o cualquier otra obligación hacia un tercero.

 

7. Subprocesadores o Subencargados

a. Designación de subprocesadores. El controlador reconoce y acepta (a) la interacción como subprocesador de las empresas afiliadas al procesador y los terceros enumerados en nuestra Listado de Subencargados, y (b) que el procesador y las empresas afiliadas al procesador podrán designar respectivamente subprocesadores externos en conexión con el suministro del Servicio de Suscripción. Para evitar dudas, la autorización mencionada anteriormente constituye el consentimiento previo por escrito del controlador al subprocesamiento por parte del procesador para los fines de la Cláusula 11 de las Cláusulas Contractuales Estándar.

Cuando la actividad del procesador incluya la participación de un subprocesador, el procesador celebrará un contrato con dicho subprocesador que imponga sobre este las mismas obligaciones que corresponden al procesador en virtud de este DPA. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos, el procesador seguirá siendo responsable ante el controlador por el cumplimiento de dichas obligaciones de los procesadores.

Cuando se involucra a un subprocesador, el controlador debe tener derecho a monitorizar e inspeccionar las actividades del subprocesador de acuerdo con este DPA y la Ley de Protección de Datos, incluso para obtener información del procesador, previa solicitud por escrito, respecto de las condiciones sustanciales del contrato y la implementación de obligaciones de protección de datos de conformidad con el contrato de subprocesamiento, cuando sea necesario, mediante la revisión de los documentos correspondientes.

Deben aplicarse mutuamente las disposiciones de esta Sección 6 si la actividad del procesador incluye la participación de un subprocesador en un país que no pertenece al Espacio Económico Europeo ("EEE") y que, según la Comisión Europea, no proporcione un nivel adecuado de protección de datos personales.  Si durante la vigencia de este DPA Influencity transfiere datos personales a un subprocesador ubicado fuera del EEE, antes de concretar dicha transferencia, Influencity deberá garantizar que se implemente un mecanismo legal para lograr la adecuación del procesamiento.

b. Lista de procesadores actuales y notificación u objeción a los procesadores nuevos. Si el procesador pretende dar instrucciones a subprocesadores que no sean las empresas enumeradas en el Listado de Subencargados, deberá notificárselo al controlador actualizando el Listado y darle la oportunidad de oponerse a la interacción de los nuevos subprocesadores dentro de los 30 días posteriores a la notificación. La objeción se debe basar en motivos razonables. Si el procesador y el controlador no pueden resolver dicha objeción, cada parte puede finalizar el Acuerdo proporcionando una notificación escrita a la otra parte. El controlador podrá recibir un reembolso de las tarifas prepagas y no utilizadas para el período posterior a la fecha efectiva de finalización.

 

8. Transferencias de datos

El controlador reconoce y acepta que, en conexión con la prestación de los servicios establecidos en el Acuerdo, los datos personales se transferirán a Influencity, S.L., en la UE y a otras jurisdicciones donde los subprocesadores tienen operaciones. El procesador puede acceder a los datos personales y realizar el procesamiento de estos de manera global según sea necesario para proporcionar el Servicio de Suscripción, de acuerdo con los Términos y Condiciones del Servicio para Clientes de Influencity.

En la medida en que el controlador o el procesador utilicen un mecanismo estatutario específico para normalizar las transferencias de datos internacionales y ese mecanismo se revoque posteriormente o sea declarado no válido por una corte de jurisdicción competente, el controlador y el procesador acuerdan cooperar de buena fe para lograr un mecanismo alternativo adecuado que permita realizar la transferencia de manera legal.

 

9. Disposiciones generales

a. Anexos. Con respecto a las actualizaciones y los cambios de este DPA, se aplicarán los términos de la sección "Modificación; no exención" de "Varios" del Acuerdo.

b. Nulidad e ineficacia. En caso de conflicto, este DPA tendrá prioridad sobre las regulaciones del Acuerdo. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposición de este DPA no se verán afectadas.

Tras la incorporación de este DPA en el Acuerdo, las partes indicadas en la Sección 10 a continuación (Partes de este DPA) aceptan las Cláusulas Contractuales Estándar (donde y según corresponda) y todos los anexos adjuntos. En caso de conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar en el Anexo 1, prevalecerán las Cláusulas Contractuales Estándar. Sin embargo: (a) el controlador puede ejercer su derecho de realizar auditorías en virtud de la Cláusula 5(f) de las Cláusulas Contractuales Estándar sujeto a los requisitos establecidos en la Sección 6 de este DPA; y (b) el procesador podrá designar subprocesadores como se establece en la Sección 4 y la Sección 7 de este DPA.

 

10. Partes de este DPA

Este DPA es un anexo del Acuerdo y forma parte del mismo. A partir de la incorporación de este DPA al Acuerdo, (i) el controlador y la entidad de Influencity que sean partes del Acuerdo también serán partes de este DPA, y (ii) en la medida en que Influencity, S.L., no sea parte de este Acuerdo, Influencity, S.L., será parte de este DPA, pero solo respecto del acuerdo de las Cláusulas Contractuales Estándar del DPA, esta Sección 7 del DPA y las Cláusulas Contractuales Estándar en sí.

Si Influencity, S.L. no es parte de este Acuerdo, se aplicará la sección del Acuerdo titulada "Limitación de responsabilidad" entre el controlador y Influencity, S.L., y, en tal respecto, cualquier referencia a "Influencity", "nosotros" y "nuestro" incluirá tanto a Influencity, S.L., como a la entidad de Influencity que forma parte del Acuerdo.

La entidad jurídica que acepta este DPA como controlador declara que está autorizada para hacerlo y que acuerda solo en nombre del controlador.

 

 

CLÁUSULAS CONTRACTUALES ESTÁNDAR

 

Para los fines del Artículo 26(2) de la Directiva 95/46/CE para la transferencia de datos personales a los procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos,

El Cliente, como se define en los Términos y Condiciones del Servicio para Clientes de Influencity (el “exportador de datos”)

Y

Influencity S.L., Roger de Lauria 28, 2, Valencia, 46002, España (el “importador de los datos”),

cada una de las cuales actúa como una "parte"; y en conjunto como "las partes",

ACUERDAN las siguientes Cláusulas Contractuales (las Cláusulas) con el objeto de ofrecer garantías suficientes respecto de la protección de privacidad y las libertades fundamentales de las personas para la transferencia de datos personales del exportador de datos al importador de datos, como se especifica en el Anexo 1.

 

Cláusula 1

Definiciones

Para los fines de las Cláusulas:

"datos personales", "categorías especiales de datos", "procesar/procesamiento", "controlador", "procesador", "parte interesada" y "autoridad supervisora" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y el Consejo del 24 de octubre de 1995 en cuanto a la protección de las personas respecto del procesamiento de datos personales y la transferencia libre de dichos datos;

"el exportador de datos" significa el controlador que transfiere los datos personales;

"el importador de datos" es el procesador que acepta recibir los datos personales del exportador de datos destinados al procesamiento en su nombre después de la transferencia de acuerdo con las instrucciones y los términos de las Cláusulas, y que no está sujeto al sistema de un país tercero con el fin de garantizar la protección adecuada en virtud del Artículo 25(1) de la Directiva 95/46/CE;

"el subprocesador" hace referencia a cualquier procesador involucrado por el importador de datos o por otro subprocesador del importador de datos que acepte recibir datos personales del importador de datos o de cualquier otro subprocesador del importador de datos con el fin exclusivo de llevar a cabo actividades de procesamiento en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;

"la ley de protección de datos aplicable" hace referencia a la legislación que protege los derechos fundamentales y las libertades de las personas y, en particular, su derecho a la privacidad con respecto al procesamiento de datos personales aplicable a un controlador de datos en el estado miembro de establecimiento del exportador de datos;

"medidas de seguridad técnicas y organizacionales" hacen referencia a las medidas destinadas a la protección de datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada y el acceso accidentales o ilegales, especialmente cuando el procesamiento involucra la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento.

 

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Anexo 1, que forma una parte integral de las Cláusulas.

 

Cláusula 3

Cláusula de tercero beneficiario

  1. La parte interesada puede aplicar esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el exportador de datos como tercero beneficiario.

  2. La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el importador de datos, en los casos en que el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad.

  3. La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y Cláusulas 9 a 12 contra el subprocesador, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o se hayan vuelto insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

  4. Las partes no se oponen a que las partes interesadas estén representadas por una asociación u otras entidades, si así lo desean expresamente y si la ley nacional lo permite.

 

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza lo siguiente:

(a) que el procesamiento, incluida la transferencia, de datos personales se ha llevado a cabo y se seguirá llevando a cabo de acuerdo con las disposiciones relevantes de la ley de protección de datos aplicable (y, cuando corresponda, se notificará a las autoridades competentes del Estado Miembro donde se establezca el exportador de datos), sin violar las disposiciones relevantes de ese Estado;

(b) que ha instruido y, durante todo el período de prestación de servicios de procesamiento de datos personales, instruirá al importador de datos que procese los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la ley de protección de datos y las Cláusulas aplicables;

(c) que el importador de datos brindará las garantías suficientes con respecto a las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 de este contrato;

(d) que, después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal, o la pérdida, la alteración, la divulgación o el acceso accidentales o no autorizados, especialmente cuando el procesamiento requiere la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento; asegura también que estas medidas garantizan un nivel apropiado de seguridad ante los riesgos presentados por el procesamiento y la naturaleza de los datos por proteger teniendo en cuenta la técnica y los costos de la implementación;

(e) que asegurará el cumplimiento con las medidas de seguridad;

(f) que si la transferencia involucra categorías especiales de datos, la parte interesada ha sido informada o será informada de antemano o en cuanto sea posible de que los datos podrían transmitirse a un país tercero que no proporcione la protección adecuada en virtud de la Directiva 95/46/CE;

(g) que reenviará cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;

(h) que, a petición de la parte interesada, pondrá a disposición de esta una copia de las Cláusulas, con excepción del Anexo 2, y una descripción resumida de las medidas de seguridad, además de una copia de cualquier contrato para los servicios de subprocesamiento que debe hacerse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminarla;

(i) que, en caso de subprocesamiento, la actividad de procesamiento se llevará a cabo de acuerdo con la Cláusula 11 por parte del subprocesador, ofreciendo al menos el mismo nivel de protección de datos personales y los mismos derechos de la parte interesada que el importador de datos en virtud de las Cláusulas; y

(j) que asegurará el cumplimiento con la Cláusula 4(a) a (i).

 

Cláusula 5

Obligaciones del importador de datos

El importador de datos acuerda y garantiza lo siguiente:

(a) que procesará los datos personales solo en nombre del exportador de datos y de conformidad con las instrucciones y las Cláusulas; si no pudiera cumplir con estas por cualquier motivo, se compromete a informárselo de inmediato al exportador de datos, en cuyo caso el exportador de datos podrá suspender la transferencia de datos o finalizar el contrato;

(b) que no tiene motivos para creer que la legislación aplicable no le permitirá cumplir con las instrucciones recibidas de parte del exportador de datos y sus obligaciones de conformidad con el contrato y que, en caso de que cambiara la legislación de un modo que pudiera tener un efecto adverso sustancial sobre las garantías y obligaciones proporcionadas por las Cláusulas, notificará de inmediato al exportador de datos acerca del cambio en cuanto tome conocimiento de este, en cuyo caso el exportador de datos podrá suspender la transferencia de datos o finalizar el contrato;

(c) que ha implementado las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 antes de procesar los datos personales transferidos;

(d) que notificará inmediatamente al exportador de datos acerca de:

(i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación;

(ii) todo acceso accidental o no autorizado; y

(iii) toda solicitud sin respuesta recibida directamente de las partes interesadas, a menos que haya sido autorizado para ese propósito;

(e) que resolverá de manera oportuna y adecuada todas las consultas del exportador de datos en relación con el procesamiento de los datos personales sujetos a la transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

(f) que, a petición del exportador de datos, someterá a las instalaciones en las que se lleva a cabo el procesamiento de datos a la auditoría de las actividades de procesamiento cubiertas por las Cláusulas a cargo del exportador de datos o un organismo de inspección compuesto por miembros independientes que tengan las calificaciones profesionales requeridas, que estén sujetos a una obligación de confidencialidad y que estén seleccionados por el exportador de datos, cuando corresponda, de acuerdo con la autoridad supervisora;

(g) que, a petición de la parte interesada, pondrá a su disposición una copia de las Cláusulas, o un contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contengan información sobre la empresa, en cuyo caso eliminará dicha información, con excepción del Anexo 2 que deberá ser reemplazado por una descripción resumida de las medidas de seguridad en los casos en que la parte interesada no pueda obtener una copia del exportador de datos;

(h) que, en caso de subprocesamiento, informará previamente al exportador de datos y obtendrá su consentimiento previo por escrito;

(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Cláusula 11;

(j) que enviará de inmediato al exportador de datos una copia de cualquier acuerdo con el subprocesador que celebre de conformidad con las Cláusulas.

 

Cláusula 6

Responsabilidad

  1. Las partes acuerdan que cualquier parte interesada que haya sido afectada por una violación de las obligaciones que se mencionan en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por el daño sufrido.

  2. Si la parte interesada no puede interponer la demanda de indemnización contra el exportador de datos de acuerdo con el Párrafo 1, a causa del incumplimiento de las obligaciones por parte del importador de datos o su subprocesador a las que se hace referencia en la Cláusula 3 o en la Cláusula 11, debido a que el exportador de datos ha desaparecido de facto, ha cesado de existir o se ha vuelto insolvente, el importador de datos acepta que la parte interesada puede presentar una demanda contra el importador de datos en calidad del exportador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede ejercer sus derechos contra dicha entidad. El importador de datos no podrá basarse en el incumplimiento de las obligaciones por parte de un subprocesador para eludir sus propias responsabilidades.

  3. Si una parte interesada no puede presentar una demanda contra el exportador de datos o el importador de datos a los que se hace referencia en los párrafos 1 y 2, a causa del incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 debido a que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o sean insolventes, el subprocesador acuerda que la parte interesada puede presentar una demanda contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por efecto de la ley, en cuyo caso la parte interesada podrá exigir sus derechos a dicha entidad. La responsabilidad del subprocesador debe limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

 

Cláusula 7

Mediación y jurisdicción

  1. El importador de datos acepta que, si la parte interesada invoca en su contra derechos de tercero beneficiario o reclama una indemnización por los daños en virtud de las Cláusulas, el importador de datos aceptará la decisión de la parte interesada de:
    (a) remitir el conflicto a mediación por parte de una persona independiente o, si corresponde, por parte de la autoridad de control;
    (b) remitir el conflicto a los tribunales del Estado miembro donde se establece el exportador de datos.

  2. Las partes acuerdan que la elección que haga la parte interesada no perjudicará sus derechos sustantivos a obtener reparación de conformidad con otras disposiciones de derecho nacional o internacional.

 

Cláusula 8

Cooperación con las autoridades supervisoras

  1. El exportador de datos acuerda proporcionar una copia de este contrato a la autoridad supervisora si esta lo solicita o si se requiere de conformidad con la ley de protección de datos aplicable.

  2. Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos, y de cualquier subprocesador, que tenga el mismo alcance y esté sujeta a las mismas condiciones que corresponderían a una auditoría del exportador de datos de conformidad con la ley de protección de datos aplicable.

  3. El importador de datos debe informar sin demora al exportador de datos acerca de la existencia de leyes aplicables a este o a cualquier subprocesador que prevengan la realización de una auditoría del importador de datos, o de cualquier subprocesador, de conformidad con el Párrafo 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5(b).

 

Cláusula 9

Ley vigente

Las Cláusulas deben regirse por la ley del Estado miembro donde se establece el exportador de datos.

Cláusula 10

Variantes del contrato

Las partes se comprometen a no variar o modificar las presentes Cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus empresas en caso necesario siempre y cuando estas no contradigan las Cláusulas.

 

Cláusula 11

Subprocesamiento

  1. El importador de datos no deberá subcontratar ninguna de sus operaciones de procesamiento en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con respecto a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subprocesador, en el que se le impongan las mismas obligaciones que se imponen al importador de datos de conformidad con las Cláusulas. En caso de que el subprocesador no cumpla con sus obligaciones de protección de datos de conformidad con dicho acuerdo escrito, el importador de datos continuará asumiendo plena responsabilidad ante el exportador de datos por el desempeño de las obligaciones del subprocesador en virtud de dicho acuerdo.

  2. El contrato escrito previo entre el importador de datos y el subprocesador contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3, para los casos en que la parte interesada no pueda interponer la demanda de indemnización a la que se refiere en el Párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, y en caso de que ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud del contrato o por efecto de la ley. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

  3. Las disposiciones relacionadas con los aspectos de protección de datos para el subprocesamiento del contrato que se mencionan en el Párrafo 1 deben regirse por la ley del Estado miembro en el que se establece el exportador de datos.

  4. El exportador de datos debe mantener una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5(j). Dicha lista se debe actualizar, al menos, una vez al año. La lista debe ponerse a disposición de la autoridad supervisora de protección de datos del exportador de datos.

 

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de procesamiento de los datos personales

  1. Las partes acuerdan que, al término de la prestación de servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de estos al exportador de datos o deberán destruir los datos personales y certificar al exportador de datos que esto se ha hecho, a menos que las leyes impuestas al importador de datos lo impidan. En ese caso, el importador de datos asegura que garantizará la confidencialidad de los datos personales transferidos y que no volverá a procesar activamente los datos personales transferidos.

  2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos o de la autoridad supervisora, pondrán a disposición sus instalaciones de procesamiento de datos para realizar una auditoría de las medidas mencionadas en el Párrafo

 

Anexo 1: Detalles del procesamiento

Este Anexo forma parte de las Cláusulas. Los Estados miembros pueden completar o especificar, según sus procedimientos nacionales, cualquier información necesaria adicional que deba incluirse en este Anexo.

 

A. Exportador de datos

El exportador de datos es el Cliente, como se define en los Términos y Condiciones del Servicio para Clientes de Influencity (“Acuerdo”).

B. Importador de datos

El importador de datos es Influencity, S.L., un proveedor global de software de influencer marketing.

C. Partes interesadas

Categorías de partes interesadas establecidas de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas.

D. Categorías de datos

Categorías de datos personales establecidos de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas.

E. Categorías de datos especiales (si corresponde)

Las partes no anticipan la transferencia de categorías especiales de datos.

F. Operaciones de procesamiento

Actividades de procesamiento establecidas de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas:

 

Anexo 2: Medidas de seguridad técnica y organizativa

Este Anexo forma parte de las Cláusulas.

Descripción de las medidas de seguridad técnicas y organizacionales implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o la documentación/legislación adjunta):

Actualmente, Influencity cumple con las prácticas de seguridad descriptas en este Anexo 2. No obstante cualquier disposición contraria aceptada por el exportador de datos, Influencity puede modificar o actualizar estas prácticas a su discreción siempre y cuando dichas modificación y actualización no generen una degradación material en la protección ofrecida por estas prácticas. Todos los términos en letras mayúsculas no definidos en el presente tendrán los significados establecidos en el Acuerdo.

 

a) Control de acceso

i)  Prevención del acceso no autorizado a productos

Procesamiento externalizado: Influencity aloja su servicio con proveedores externos de infraestructura de nube. Además, Influencity mantiene relaciones contractuales con proveedores con el fin de proporcionar el servicio de conformidad con nuestro Acuerdo para el Procesamiento de Datos. Influencity recurre a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos procesados o almacenados por estos.

Seguridad física y ambiental: Influencity aloja su infraestructura de producto con proveedores externos de infraestructura multinquilino. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con SOC 2 Tipo II e ISO 27001, entre otras certificaciones.

Autenticación: Influencity implementó una política de contraseñas uniforme para los productos de sus clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.

Autorización: Los datos de los clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de la aplicación. El modelo de autorización en cada uno de los productos de Influencity está diseñado para garantizar que solo las personas asignadas de manera adecuada pueden acceder a las características, las visualizaciones y las opciones de personalización relevantes. Las verificaciones de autorización para acceder a los conjuntos de datos se realizan validando los permisos del usuario contra los atributos asociados con cada conjunto de datos.

Acceso a la interfaz de programación de aplicaciones (API): Se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.

 

ii)  Prevención del uso no autorizado de productos

Influencity implementa los controles de acceso y capacidades de detección estándares de la industria para las redes internas que respaldan sus productos.

Controles de acceso: Los mecanismos de control de acceso de red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura de producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Detección y prevención de intrusiones: Influencity implementó una solución de Firewall de Aplicación Web (WAF, por sus siglas en inglés) para proteger a los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.

Análisis de código estático: Se realizan revisiones de seguridad de los códigos guardados en los depósitos de código fuente de Influencity para comprobar las buenas prácticas de codificación y las fallas de software identificables.

Prueba de penetración: Influencity recurre a proveedores de servicios de pruebas de penetración reconocidos en la industria para realizar cuatro pruebas de penetración al año. El objetivo de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y posibles situaciones de abuso.

Recompensas por detección de errores: Un programa de recompensas por detección de errores invita e incentiva a los investigadores de seguridad independientes a descubrir y divulgar éticamente las fallas de seguridad. Influencity implementó un programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad de seguridad y mejorar la defensa de productos contra ataques sofisticadas.

 

iii)    Limitaciones de los requisitos de privilegio y autorización

Acceso a productos: Un subconjunto de empleados de Influencity tiene acceso a los productos y datos del cliente mediante interfaces controladas. El objetivo de brindar acceso a un subconjunto de empleados es proporcionar al cliente asistencia técnica efectiva, solucionar problemas potenciales, detectar y resolver incidentes de seguridad, e implementar medidas de protección de seguridad de datos. El acceso se habilita mediante solicitudes just-in-time (justo en el momento); estas solicitudes se registran. Los empleados obtienen acceso en función de su puesto, y se revisan los otorgamientos de privilegios de alto riesgo a diario. Las funciones de los empleados se revisan al menos una vez cada seis meses.

 

b) Control de transmisión

En tránsito: Influencity ofrece la encriptación HTTPS (también conocida como SSL o TLS) en cada una de sus interfaces de inicio de sesión y de manera gratuita en cada sitio de cliente alojado en productos de Influencity. Influencity implementa el protocolo HTTPS usando algoritmos y certificados estándares de la industria.

En reposo: Influencity almacena las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar de la industria para la seguridad. Influencity ha implementado tecnologías para garantizar que los datos guardados se cifren en reposo. 

 

c) Control de entrada

Detección: Influencity diseñó su infraestructura para registrar amplia información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos agregados registran datos y alertan a los empleados pertinentes acerca de actividades maliciosas, no deseadas o anómalas. El personal de Influencity, incluidos los empleados de seguridad, operaciones y asistencia técnica, responden ante los incidentes conocidos.

Respuesta y monitorización: Influencity mantiene un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de los incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados; las medidas apropiadas para la solución de estos incidentes se identifican y documentan. Ante cualquier incidente confirmado, Influencity seguirá los pasos adecuados para minimizar el daño del producto o del cliente, o la divulgación no autorizada.

Comunicación: Si Influencity toma conocimiento de un acceso ilegal a los datos del cliente guardados en sus productos: 1) notificará a los clientes afectados acerca del incidente; 2) proporcionará una descripción de los pasos que Influencity está siguiendo para el incidente; y 3) proporcionará actualizaciones de estado al contacto del cliente, según Influencity considere necesario. En caso de que haya notificaciones de incidentes, se enviarán a uno o más de los contactos del cliente de la manera en que Influencity lo disponga, ya sea por correo electrónico o por teléfono.

 

d) Control de disponibilidad

Disponibilidad de la infraestructura: Los proveedores de infraestructura realizan esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99.9%. Los proveedores mantienen un mínimo de redundancia N+1 para los servicios de energía, redes y aire acondicionado.

Tolerancia a fallas: Las estrategias de copia de seguridad y replicación están diseñadas para garantizar las protecciones de redundancia y conmutación por error durante un error importante de procesamiento. Las datos del cliente con copias de seguridad se guardan en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad en línea: En la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos 1 base de datos primaria y 1 secundaria. Todas las bases de datos se respaldan y mantienen usando métodos estándar de la industria.

Los productos de Influencity están diseñados para garantizar la redundancia y la conmutación por error sin problemas. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que las operaciones de Influencity mantengan y actualicen las aplicaciones de producto y la capacidad back-end, mientras limitan el tiempo de inactividad.

Recibe toda la información del Influencer Marketing y conoce las novedades de Influencity.

a nuestra newsletter.