CONSIDERANDO:
A. El Cliente actúa como un Controlador de Datos.
B. El Cliente desea subcontratar ciertos Servicios, que implican el procesamiento de datos personales, a Zonos como el Procesador.
C. Las Partes buscan implementar un DPA que cumpla con los requisitos del marco legal actual en relación con el procesamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
D. Las Partes desean establecer sus derechos y obligaciones.
Este DPA incluye e incorpora por referencia los anexos y adendas mencionados al final de este documento. Todos los términos en mayúsculas no definidos en este DPA tendrán el significado establecido en el Acuerdo Principal.
Las partes acuerdan lo siguiente:
1. Definiciones
A menos que se defina de otra manera en este Acuerdo de Procesamiento de Datos (DPA, por sus siglas en inglés), los términos y expresiones en mayúsculas utilizados en este DPA tendrán el siguiente significado:
-
"Procesador Contratado" significa un Subprocesador;
-
"Leyes de Protección de Datos" significa las leyes de protección de datos de la UE y, en la medida aplicable, las leyes de protección de datos o privacidad de cualquier otro país;
-
"Transferencia de Datos" significa:
- Una transferencia de Datos Personales del Cliente a un Procesador Contratado; o
- Una transferencia ulterior de Datos Personales de un Procesador Contratado a un Subprocesador, o entre dos establecimientos de un Procesador Contratado, en cada caso, donde dicha transferencia estaría prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);
-
"DPA" significa este Acuerdo de Procesamiento de Datos y todos los Anexos;
-
"AEE" significa el Área Económica Europea;
-
"Leyes de Protección de Datos de la UE" significa la Directiva de la UE 95/46/CE, tal como se transpone en la legislación nacional de cada Estado miembro y según sea enmendada, reemplazada o derogada de vez en cuando, incluyendo el GDPR y las leyes que implementan o complementan el GDPR;
-
"GDPR" significa el Reglamento General de Protección de Datos de la UE 2016/679;
-
"Datos Personales" significa cualquier Datos Personales Procesados por un Procesador Contratado en nombre del Cliente de conformidad con o en relación con el Acuerdo Principal;
-
"Servicios" significa cualquier producto o servicio proporcionado por Zonos al Cliente de conformidad con y según se describe más detalladamente en el Acuerdo Principal;
-
"Subprocesador" significa cualquier Procesador designado por o en nombre de Zonos para procesar Datos Personales en nombre del Cliente en relación con el DPA.
-
Los términos "Controlador", "Sujeto de Datos", "Estado miembro", "Datos Personales", "Violación de Datos Personales" y "Procesamiento" tendrán el mismo significado que en el GDPR y sus términos afines se interpretarán en consecuencia.
2. Obligaciones del Cliente
-
Cumplimiento con las Leyes.
- Dentro del alcance del DPA y en su uso de los Servicios, el Cliente acepta que cumplirá con sus obligaciones como Controlador bajo las Leyes de Protección de Datos en el Procesamiento de Datos Personales y cualquier instrucción de Procesamiento que emita a Zonos.
- El Cliente ha notificado y ha obtenido (o obtendrá) todos los consentimientos y derechos necesarios bajo las Leyes de Protección de Datos para que Zonos procese Datos Personales y proporcione los Servicios de conformidad con el Acuerdo Principal y este DPA.
-
Instrucciones del Controlador. Las Partes acuerdan que el Acuerdo Principal (incluido este DPA), junto con el uso por parte del Cliente de los Servicios de Zonos de conformidad con el Acuerdo Principal, constituyen las instrucciones completas y finales del Cliente a Zonos en relación con el Procesamiento de Datos Personales, y las instrucciones adicionales fuera del alcance de las instrucciones requerirán un acuerdo previo por escrito entre el Cliente y Zonos.
3. Obligaciones de Zonos
-
Cumplimiento con las Leyes. Dentro del alcance del DPA y en su uso de los Servicios, Zonos deberá:
- Ser responsable de cumplir con todas las Leyes de Protección de Datos aplicables como Procesador en el Procesamiento de Datos Personales; y
- No Procesar los Datos Personales del Cliente salvo según las instrucciones documentadas del Cliente.
-
Personal de Zonos. Zonos tomará medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista que pueda tener acceso a los Datos Personales, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer/acceder a los Datos Personales relevantes, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con las Leyes Aplicables en el contexto de las obligaciones de ese individuo hacia el Procesador Contratado, asegurando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.
-
Seguridad.
- Teniendo en cuenta el estado de la técnica, los costos de implementación, y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas naturales, Zonos deberá, en relación con los Datos Personales, implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluyendo, según corresponda, las medidas mencionadas en el Artículo 32(1) del GDPR.
- Al evaluar el nivel adecuado de seguridad, Zonos tendrá en cuenta los riesgos que se presentan en el Procesamiento, en particular de una Violación de Datos Personales.
-
Subprocesamiento. Zonos no designará (ni revelará ningún Dato Personal a) ningún Subprocesador a menos que sea requerido o autorizado por el Cliente.
-
Derechos de los Sujetos de Datos.
-
Teniendo en cuenta la naturaleza del Procesamiento, Zonos asistirá al Cliente implementando medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de las obligaciones de Zonos, según lo entienda razonablemente Zonos, para responder a solicitudes de ejercicio de los derechos de los Sujetos de Datos bajo las Leyes de Protección de Datos.
-
Zonos se compromete a:
- Notificar al Cliente de inmediato si recibe una solicitud de un Sujeto de Datos bajo cualquier Ley de Protección de Datos con respecto a Datos Personales; y
- Asegurarse de que no responde a esa solicitud excepto según las instrucciones documentadas del Cliente o según lo requiera las Leyes Aplicables a las que Zonos esté sujeto, en cuyo caso Zonos informará al Cliente de ese requisito legal antes de que el Procesador Contratado responda a la solicitud, en la medida en que lo permitan las Leyes Aplicables.
-
-
Violación de Datos Personales.
- Zonos notificará al Cliente sin demora indebida una vez que Zonos tenga conocimiento de una Violación de Datos Personales que afecte a Datos Personales, proporcionando al Cliente información suficiente para permitir al Cliente cumplir con cualquier obligación de informar a los Sujetos de Datos sobre la Violación de Datos Personales bajo las Leyes de Protección de Datos.
- Zonos cooperará con el Cliente y tomará medidas comerciales razonables según lo indique el Cliente para ayudar en la investigación, mitigación y remedio de cada Violación de Datos Personales.
-
Evaluación de Impacto en la Protección de Datos y Consulta Previa. Zonos proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto en la protección de datos, y consultas previas con Autoridades de Supervisión u otras autoridades competentes de privacidad de datos, que el Cliente considere razonablemente necesarias según el artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales por, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para, los Procesadores Contratados.
-
Devolución o Eliminación de Datos. Al desactivar o terminar los Servicios, todos los Datos Personales serán eliminados, salvo que este requisito no se aplique en la medida en que Zonos esté obligado por la ley aplicable a retener algunos o todos los Datos Personales, o a Datos Personales archivados en sistemas de respaldo, los cuales Zonos aislará y protegerá de manera segura de cualquier procesamiento adicional, excepto en la medida requerida por la ley aplicable.
-
Informes de Seguridad. Zonos mantendrá registros de sus estándares de seguridad. A solicitud por escrito del Cliente, Zonos proporcionará respuestas (de manera confidencial) a todas las solicitudes razonables de información realizadas por el Cliente, incluidas respuestas a cuestionarios de seguridad de la información y auditorías, que el Cliente (actuando de manera razonable) considere necesarias para confirmar el cumplimiento de Zonos con este DPA, siempre que el Cliente no ejerza este derecho más de una vez al año.
-
Transferencia de Datos. El Cliente reconoce y acepta que Zonos puede acceder y procesar Datos Personales a nivel global según sea necesario para proporcionar los Servicios de conformidad con el Acuerdo Principal, y en particular que los Datos Personales serán transferidos y procesados por Zonos en los Estados Unidos y en otras jurisdicciones donde los Subprocesadores de Zonos tengan operaciones. Zonos garantizará que dichas transferencias se realicen cumpliendo con los requisitos de las Leyes de Protección de Datos, incluido el cumplimiento con las cláusulas contractuales estándar aprobadas por la UE para la transferencia de datos personales.
-
Disposiciones Adicionales para la Información Personal de California.
-
Esta Sección 11 se aplicará únicamente con respecto a la Información Personal de California.
-
Al procesar Información Personal de California de acuerdo con las instrucciones del Cliente, las Partes reconocen y acuerdan que el Cliente es un negocio y Zonos es un proveedor de servicios para los fines de la CCPA.
-
Las Partes acuerdan que Zonos procesará la Información Personal de California como un proveedor de servicios estrictamente con el propósito de realizar los Servicios bajo el Acuerdo Principal. Zonos utiliza los datos del servicio para sus propios fines comerciales legítimos según la Política de Privacidad de Zonos. Las Partes acuerdan que Zonos no realizará lo siguiente:
- Vender Información Personal de California (según se define en la CCPA);
- Retener, usar o divulgar Información Personal de California con fines comerciales que no sean para el propósito comercial o según lo permita la CCPA; o
- Retener, usar o divulgar Información Personal de California fuera de la relación comercial directa entre el Cliente y Zonos.
-
Zonos certifica que entiende y cumplirá con las restricciones establecidas en la Sección 11(c).
-
4. Términos Generales
-
Confidencialidad. Cada Parte debe mantener este Acuerdo y la información que reciba sobre la otra Parte y su negocio en relación con este DPA ("Información Confidencial") confidencial y no debe usar ni divulgar esa Información Confidencial sin el consentimiento previo por escrito de la otra Parte, excepto en la medida en que:
- La divulgación sea requerida por ley;
- La información relevante ya esté en el dominio público.
-
Notificaciones. Todas las notificaciones y comunicaciones realizadas en virtud de este DPA deben ser por escrito y se entregarán personalmente, se enviarán por correo o se enviarán por correo electrónico a la dirección o dirección de correo electrónico establecida en el encabezado de este DPA en la dirección que las Partes notifiquen de vez en cuando al cambiar de dirección.
5. Ley y Jurisdicción Aplicables
Este DPA está regido por las leyes y disposiciones de jurisdicción en el Acuerdo Principal a menos que las Leyes de Protección de Datos requieran lo contrario.
Anexo A. Lista de Subprocesadores de Zonos
Disponible bajo solicitud
Anexo B. Medidas de Seguridad
Disponible bajo solicitud
Acuerdo de Procesamiento de Datos de Zonos
Este Acuerdo de Procesamiento de Datos ("DPA") actúa como un anexo a los Términos de Servicio y la Política de Privacidad de Zonos ("Acuerdo Principal") entre iGlobal Exports, LLC, DBA Zonos ("Zonos") y el Cliente ("Cliente"), (conjuntamente como las "Partes").