En relación con los Servicios prestados de conformidad con el acuerdo de servicio (“Acuerdo de Servicio”) por parte del proveedor de servicios como encargado del tratamiento, que será Imprima o la Filial correspondiente que sea parte del Acuerdo de Servicio (la parte relevante denominada el “Proveedor de Servicios”), al Cliente como responsable del tratamiento (“Cliente”), las partes han acordado que estos términos de tratamiento de datos (“Términos”) se aplicarán para abordar las obligaciones de cumplimiento impuestas al Cliente en virtud de la Ley de Protección de Datos. Estos Términos se incorporarán en el Acuerdo de Servicio por referencia.
AL CONTINUAR PRESTANDO O RECIBIENDO LOS SERVICIOS, SEGÚN SEA APLICABLE, LAS PARTES ACEPTAN ESTAR OBLIGADAS POR ESTOS TÉRMINOS.
EN VISTA DE LO ANTERIOR, POR EL PRESENTE, SE ACUERDA lo siguiente:
- DEFINICIONES
- En estos Términos, las palabras en mayúscula tendrán el significado que se les atribuye en el Acuerdo de Servicio, a menos que estos Términos indiquen expresamente otra cosa a continuación o en otra parte de estos Términos:
- “Filial” significa cualquier entidad que directa o indirectamente controla una parte, es controlada por ella o está bajo control común con ella, oportunamente, durante el Período;
- “Ley de Protección de Datos” significa las leyes de privacidad de datos aplicables al tratamiento en relación con los Servicios, incluido, cuando corresponda, el Reglamento (UE) 2016/679, enmendado o reemplazado por cualquier Reglamento, Directiva u otro instrumento jurídico posterior de la Unión Europea, incluido el Reglamento General de Protección de Datos o una ley similar, o las leyes de privacidad de datos aplicables de cualquier otra jurisdicción pertinente;
- “Usuario Final” tendrá el significado que se le atribuye en el Acuerdo de Servicio;
- “Servicios” hace referencia a los servicios descritos en el Acuerdo de Servicio y el apartado siguiente;
- “Cláusulas Contractuales” hace referencia a las cláusulas contractuales tipo de la Comisión Europea para la transferencia de datos personales a través de las fronteras, en su forma ocasionalmente enmendada o reemplazada, o a cualquier conjunto equivalente de cláusulas contractuales aprobadas para su uso con arreglo a la Ley de Protección de Datos; y
- “Datos Personales del Cliente” se refiere a los datos personales tratados por nosotros en relación con los Servicios, tal como se describe con más detalle a continuación. De acuerdo con la cláusula 2.2, esto puede incluir los datos personales de una Filial del Cliente.
- Las palabras “interesado”, “datos personales”, “tratamiento” y variantes, “responsable del tratamiento” y “encargado del tratamiento” tendrán el significado que se les atribuye en la Ley de Protección de Datos.
- NOMBRAMIENTO
- El Cliente es designado por sus Filiales y Usuarios Finales para prestar y administrar varios servicios, incluidos los Servicios, en su nombre. En consecuencia, los Datos Personales del Cliente pueden contener datos personales en relación con los cuales las Filiales y los Usuarios Finales del Cliente sean responsables del tratamiento. El Cliente confirma que está autorizado a comunicar al Proveedor de Servicios cualquier instrucción u otros requisitos en nombre de las Filiales y los Usuarios Finales del Cliente con respecto al tratamiento de los Datos Personales del Cliente por parte del Proveedor de Servicios en relación con los Servicios.
- El Proveedor de Servicios es designado por el Cliente para tratar los Datos Personales del Cliente en nombre del Cliente y/o las Filiales y/o Usuarios Finales del Cliente, según sea el caso, en función de lo que sea necesario para prestar los Servicios o según lo acordado por escrito por las partes.
- DURACIÓN
- Estos Términos entrarán en vigor en (lo que ocurra primero): (i) la fecha de su otorgamiento, o (ii) la fecha de entrada en vigor del Acuerdo de Servicio (la “Fecha deEntrada en Vigor”) y continuarán en pleno vigor y efecto hasta la rescisión o la extinción del Acuerdo de Servicio (el “Período”).
- SERVICIOS
- El Proveedor de Servicios puede llevar a cabo el tratamiento de los Datos Personales del Cliente, tal como se describe a continuación:
- Descripción de los Servicios: servicios de Virtual Data Room (VDR) basados en la nube.
- Objeto del tratamiento: actividades de tratamiento en relación con la prestación de Servicios.
- Duración del tratamiento: durante la vigencia del Acuerdo de Servicio.
- Naturaleza y finalidad del tratamiento: alojar datos personales en la data room y permitir que los Usuarios Finales accedan a los Datos Personales del Cliente y los traten como parte de los Servicios.
- Tipo de datos personales: datos de empleo, datos de accionistas, datos de clientes, datos comerciales, datos de ventas, datos financieros, etc.
- Categorías de interesados: personal, asesores, accionistas, clientes y otras personas.
- CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS
- En relación con el tratamiento de los Datos Personales del Cliente durante el Período, salvo que la ley disponga lo contrario, el Proveedor de Servicios se compromete a:
- cumplir con la Ley de Protección de Datos en relación con el tratamiento de los Datos Personales del Cliente;
- tratar los Datos Personales del Cliente solo según se requiera en relación con los Servicios, de acuerdo con las instrucciones legales documentadas del Cliente que se den razonablemente en el contexto de los Servicios periódicamente, y para análisis comerciales internos. El Cliente garantiza y declara de manera continua que sus instrucciones no supondrán un incumplimiento de la ley para el Proveedor de Servicios;
- informar al Cliente si, en su opinión, una instrucción infringe la Ley de Protección de Datos;
- asegurarse de que todo el personal autorizado por el Proveedor de Servicios para tratar los Datos Personales del Cliente se haya comprometido con la confidencialidad o esté bajo una obligación legal de confidencialidad adecuada;
- implementar medidas técnicas y organizativas apropiadas para salvaguardar adecuadamente los Datos Personales del Cliente teniendo en cuenta la naturaleza de los Datos Personales del Cliente que deben protegerse y el riesgo de daño que podría derivarse de cualquier violación de la seguridad (como se define a continuación), como se establece en el Acuerdo de Servicio, o medidas alternativas adecuadas y, como mínimo, las medidas establecidas en el Apéndice;
- informar sin dilación indebida al Cliente de cualquier solicitud de los interesados en virtud de la Ley de Protección de Datos o de solicitudes reglamentarias o policiales relacionadas con los Datos Personales del Cliente. El Proveedor de Servicios puede reconocer cada solicitud de acceso de los interesados. Si así se acuerda, el Proveedor de Servicios puede, a expensas del Cliente, responder a las solicitudes de acceso de los interesados en nombre del Cliente;
- a cargo del Cliente, proporcionar la asistencia que el Cliente pueda razonablemente requerir para garantizar el cumplimiento por parte del Cliente de la Ley de Protección de Datos en relación con la seguridad de los datos, notificaciones de violaciones de la seguridad de los datos, evaluaciones de impacto relativas a la protección de datos y consultas previas con las autoridades de control competentes con responsabilidad relativa a asuntos de privacidad y protección de datos;
- a elección y cargo del Cliente, suprimir o devolver todos los Datos Personales del Cliente al Cliente una vez finalizada la prestación de los Servicios, y suprimir las copias existentes de todos los Datos Personales del Cliente, salvo los Datos Personales del Cliente archivados con la finalidad de la continuidad del negocio y la recuperación ante desastres, cuando corresponda, y los Datos Personales del Cliente anonimizados conservados para fines comerciales legítimos. El Proveedor de Servicios puede suprimir o destruir cualquier Dato Personal del Cliente que ya no sea necesario para cumplir con estos Términos; y
- a cargo del Cliente, poner a disposición del Cliente la información que sea razonablemente necesaria para demostrar el cumplimiento de estos Términos por parte del Proveedor de Servicios y permitir auditorías realizadas por un tercero independiente, según lo acuerden las partes.
- El Cliente prestará de inmediato la asistencia que el Proveedor de Servicios pueda requerir razonablemente para cumplir con sus obligaciones de privacidad y seguridad de los datos en virtud de estos Términos.
- AVISO
- El Proveedor de Servicios, a petición del Cliente y por cuenta del Cliente, proporcionará a cada interesado un aviso de privacidad estándar del Cliente que el Cliente podrá ocasionalmente solicitar de forma razonable con arreglo al Acuerdo de Servicio.
- SUBENCARGADOS DEL TRATAMIENTO
- El Proveedor de Servicios contratará a subcontratistas involucrados en el tratamiento de los Datos Personales del Cliente (cada uno de ellos un “Subencargado del Tratamiento”) solo con el consentimiento del Cliente, que está sujeto a la cláusula 7.2 que se otorga por el presente.
- Al contratar a un Subencargado del Tratamiento, el Proveedor de Servicios deberá:
- llevar a cabo una diligencia debida razonable;
- celebrar un contrato en condiciones, en la medida de lo posible, iguales a las de estos Términos, y que puede incluir Cláusulas Contractuales para proporcionar garantías adecuadas con respecto al tratamiento de los Datos Personales del Cliente; e
- informar al Cliente de cualquier cambio previsto con respecto a la incorporación o el reemplazo ocasional de un Subencargado del Tratamiento. Si el Cliente se opone a dicho cambio por motivos razonables, actuando de buena fe, las partes colaborarán para resolver dicha objeción.
- INCIDENTES DE SEGURIDAD
- “Violación de la Seguridad” significa una violación de la seguridad que conduce a la destrucción, la pérdida, la alteración o la divulgación no autorizada de los Datos Personales del Cliente transmitidos, almacenados o tratados de otra manera, o al acceso no autorizado a tales datos.
- El Proveedor de Servicios notificará al Cliente sin demora si tiene conocimiento de alguna Violación de la Seguridad. Cuando sea posible, el Proveedor de Servicios proporcionará notificaciones por fases.
- El Proveedor de Servicios investigará la Violación de la Seguridad y adoptará las medidas razonables para identificar, prevenir y mitigar los efectos de la Violación de la Seguridad causada por el Proveedor de Servicios. A expensas del Cliente, el Proveedor de Servicios adoptará las medidas adicionales que el Cliente pueda solicitar razonablemente para cumplir con la Ley de Protección de Datos.
- El Cliente no puede divulgar ni publicar ningún archivo, comunicación, aviso, comunicado de prensa o informe sobre cualquier Violación de la Seguridad sin la aprobación previa por escrito del Proveedor de Servicios; dicha aprobación no se denegará injustificadamente.
- TRANSFERENCIAS INTERNACIONALES DE DATOS
- El Proveedor de Servicios se asegurará de que no se transfieran Datos Personales del Cliente desde una de las opciones (9.1.1) o (9.1.2) sin el consentimiento previo expreso por escrito del Cliente, que se otorga por la presente, con sujeción a la cláusula 9.2:
- el Espacio Económico Europeo; o
- cualquier otro territorio en el que se impongan restricciones a la transferencia transfronteriza de Datos Personales del Cliente en virtud de la Ley de Protección de Datos.
- A expensas del Cliente, el Proveedor de Servicios proporcionará la asistencia que el Cliente pueda razonablemente requerir para garantizar que se hayan implantado las Cláusulas Contractuales u otro mecanismo de transferencia aplicable, como el Marco del Escudo de Privacidad UE-EE. UU. en relación con las transferencias UE- EE.UU., para garantizar un nivel adecuado de protección de datos.
- DISPOSICIONES VARIAS
- Los encabezados de las cláusulas y otros encabezados de estos Términos se incluyen solo para facilitar la referencia y no formarán parte de estos Términos ni afectarán a su significado o interpretación.
- Con arreglo a la cláusula 3, la responsabilidad de cualquiera de las partes bajo estos Términos estará sujeta a las exclusiones y limitaciones de responsabilidad del Acuerdo de Servicio.
- Nada en estos Términos excluirá o limitará la responsabilidad de cualquiera de las partes que no pueda ser limitada o excluida en virtud de la ley aplicable. Con sujeción a la oración anterior, (i) estos Términos y el Acuerdo de Servicio constituyen el acuerdo completo entre las partes en relación con el tratamiento de los Datos Personales del Cliente como parte de los Servicios y reemplazan la totalidad de los acuerdos, los entendimientos, las negociaciones y las discusiones anteriores de las partes en relación con su objeto; y (ii), al suscribir estos Términos, ninguna de las partes se ha basado en ninguna declaración, manifestación o garantía, ya sea realizada de manera negligente o inocente, excepto las establecidas expresamente en estos Términos, y no la asistirá ningún derecho ni reparación sobre la base de tales declaraciones, manifestaciones o garantías.
- Dentro de los 15 días posteriores a la fecha de la factura, el Cliente pagará al Proveedor de Servicios cualquier coste y gasto, incluidos, entre otros, los honorarios razonables de abogados y el coste de preparación y envío de correspondencia en que hayan incurrido el Proveedor de Servicios y/o sus Filiales al desempeñar funciones a cargo del Cliente en virtud de estos Términos.
- En caso de que el Cliente haga que los Servicios ya no se presten en virtud del Acuerdo de Servicio según lo previsto por el Proveedor de Servicios debido a la solicitud del Cliente de, en su totalidad o en parte, suspender o cesar cualquier contrato con un Subencargado del Tratamiento, suspender o cesar cualquier transferencia de Datos Personales del Cliente, destruir o devolver al Cliente todos los Datos Personales del Cliente o suspender o cesar el acceso a los Datos Personales del Cliente o una solicitud similar, el Proveedor de Servicios tendrá derecho a rescindir, sin responsabilidad y en cualquier momento, el Acuerdo de Servicio con efecto inmediato o retrasado mediante notificación por escrito al Cliente. Tras la rescisión del Acuerdo de Servicio por parte del Proveedor de Servicios o el Cliente por motivos relacionados con estos Términos o el cumplimiento de la Ley de Protección de Datos, la totalidad de las tarifas de los Servicios, los gastos y otros pagos en virtud del Acuerdo de Servicio serán inmediatamente pagaderos por el Cliente al Proveedor de Servicios calculados como si el Acuerdo de Servicio hubiese sido rescindido legalmente por conveniencia por parte del Cliente de conformidad con sus términos.
- Todos los avisos de rescisión o incumplimiento deben estar en inglés, formularse por escrito y dirigirse a la persona de contacto principal o al departamento jurídico de la otra parte. El aviso se considerará entregado en el momento de la recepción, según se verifique mediante un recibo o un registro electrónico válidos. Los avisos enviados por correo postal se considerarán recibidos 48 horas después de la fecha de envío mediante entrega certificada de correo certificado.
- Las disposiciones de estos Términos son divisibles. Si alguna frase, cláusula o disposición es inválida o inaplicable en su totalidad o en parte, dicha invalidez o inaplicabilidad afectará solo a dicha frase, cláusula o disposición, y el resto de estos Términos permanecerá en pleno vigor y efecto.
- Cualquiera de las partes puede transferir sus derechos y/u obligaciones en virtud de estos Términos a su sucesor como resultado de una fusión, adquisición, venta, reestructuración o liquidación.
- Estos Términos se rigen por la legislación inglesa y las partes se someten a la jurisdicción exclusiva de los tribunales ingleses en relación con cualquier litigio (contractual o no contractual) relacionado con estos Términos, salvo por el hecho de que cualquiera de las partes puede solicitar a cualquier tribunal medidas cautelares o de otro tipo para proteger su propiedad, sus derechos de propiedad intelectual o su información confidencial.
APÉNDICE: Medidas de seguridad
El Proveedor de Servicios deberá implementar las siguientes medidas mínimas, según corresponda:
- mantener la certificación ISO 27001:2013
- cortafuegos de última generación
- control de acceso de usuario con privilegios mínimos del sistema con ID de usuario y contraseñas con una vida útil limitada, cuando corresponda
- acceso remoto restringido y autenticación multifactor para acceso remoto
- software antivirus, antimalware y antispyware con protección en tiempo real
- cumplimiento de las instrucciones de los fabricantes del hardware y el software
- separación de datos según cliente y finalidad en su caso
- actualizaciones regulares del software
- eliminación segura de datos de dispositivos dados de baja
- cifrado de 256 bits en dispositivos portátiles de almacenamiento de datos y cifrado de datos personales en tránsito
- sistemas de detección y prevención de intrusiones
- copia de seguridad de datos con pruebas periódicas
- procedimientos de recuperación ante desastres y continuidad del negocio
- investigación de antecedentes del personal
- control de acceso físico con privilegios mínimos
- acuerdos de confidencialidad para el personal
- formación del personal sobre confidencialidad