Acuerdo de Procesamiento de Datos (“APD”)

1.1 Alcance. Este Acuerdo de Procesamiento de Datos (“APD”) rige el procesamiento por dss⁺ como procesador de datos del Cliente, de los datos personales que se envían a dss⁺ en relación con la prestación de los Servicios de dss⁺, ya sea por el Cliente o por terceros en nombre del Cliente y cualquier usuario final de los Servicios (los “Datos Personales del Cliente”) en virtud del Acuerdo de Servicio. Este APD es válido durante el Acuerdo de Servicio.

1.2 Definiciones. Los términos en mayúscula que no se definen aquí tienen el significado que se les da en el Acuerdo. Además, tal como se usan en este documento, los siguientes términos tienen el siguiente significado:

• “ley aplicable de protección de datos” significa cualquier legislación de protección de datos aplicable al procesamiento de Datos Personales del Cliente y, dependiendo de las circunstancias, todo lo que pueda ser modificado en algún momento: (i) la Ley Federal de Protección de Datos de Suiza y sus ordenanzas de aplicación (la “Legislación de Protección de Datos de Suiza”); (ii) el Reglamento General de Protección de Datos (“RGPD”) de la UE y su equivalente en el Reino Unido (el “RGPD UK”); y/u (iii) otra legislación aplicable en materia de protección de datos.
• “controlador” significa la entidad que determina, sola o en conjunto con otras, los propósitos y medios del procesamiento de Datos Personales.
• “sujeto de datos” significa la persona identificada o identificable a quien se relacionan los datos personales.
• “datos personales” significa cualquier información relacionada con un sujeto de datos; una persona natural identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador tal como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona natural.
• “procesador” significa la entidad que procesa datos personales en nombre del controlador.
• “proceso” o “procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o conjuntos de datos personales, ya sea por medios automáticos o no, tales como recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, divulgación por transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción.

1.3 Legislaciones de Protección de Datos. A menos que se indique lo contrario, este APD se aplicará independientemente de la legislación aplicable al procesamiento de los Datos Personales del Cliente. Si al procesamiento de los Datos Personales del Cliente se aplican leyes de protección de datos distintas de la legislación suiza de protección de datos y el RGPD, el Cliente se compromete con dss⁺ a cumplir con las obligaciones aplicables con respecto a tal procesamiento y a informar a dss⁺ por escrito de cualquier disposición contenida en dicha legislación que podría afectar el procesamiento por parte de dss⁺ de los Datos Personales del Cliente.

12.1 Roles y cumplimiento. Las Partes reconocen y acuerdan que: (i) el objeto y los detalles del procesamiento se especifican en el Anexo 1 del presente; (ii) cada Parte cumplirá con sus obligaciones en virtud de las leyes de protección de datos aplicables al procesamiento de los Datos Personales del Cliente; (iii) el Cliente es un controlador o un procesador para un tercero, según el caso, de los Datos Personales del Cliente; y (iv) dss⁺ es un procesador de los Datos Personales del Cliente, excepto cuando procesa dichos datos personales para las operaciones comerciales legítimas de dss⁺ relacionadas con la prestación de los Servicios, como se detalla en la Política de Privacidad de dss⁺.

2.2 Alcance del procesamiento. dss⁺ procesará los Datos personales del Cliente de acuerdo con este APD. Cuando dss⁺ actúa como procesador o subprocesador de los Datos Personales del Cliente, dss⁺ se compromete a procesar los Datos Personales siguiendo únicamente las instrucciones documentadas del Cliente, a menos que una legislación aplicable a dss⁺ requiera otro procesamiento por parte de dss⁺ de los Datos Personales del Cliente. Al celebrar el Acuerdo de Servicio, el Cliente le indica a dss⁺ que procese los Datos Personales del Cliente como procesador solo en estricto cumplimiento de cualquier Legislación Aplicable de Protección de Datos y solo para proporcionar y mejorar los Servicios, como se documenta en el Acuerdo, incluyendo este APD. El Cliente acepta que esas son las instrucciones documentadas completas del Cliente a dss⁺ para el procesamiento de los Datos Personales del Cliente y que cualquier instrucción adicional o alternativa debe acordarse por escrito.

2.3 Obligaciones del Cliente. El Cliente es responsable, en especial, de la calidad, legalidad y relevancia de los Datos Personales del Cliente procesados en el contexto de los Servicios y será responsable ante los terceros afectados por el procesamiento y ante las autoridades competentes en materia de protección de datos. En particular, el Cliente se compromete a: (i) tener y mantener en todo momento motivos válidos para el procesamiento de dichos datos personales, incluida la obtención del consentimiento si fuere necesario; y (ii) proporcionar información suficiente a los interesados sobre la recopilación y el procesamiento de sus datos personales.

2.4 Eliminación de Datos. dss⁺ eliminará o tornará anónimos permanentemente todos los Datos Personales del Cliente, incluidas las copias existentes, en los sistemas de dss⁺ al vencimiento o rescisión del Acuerdo de Servicio, de conformidad con las leyes aplicables de protección de datos. dss⁺ cumplirá con esta instrucción tan pronto como sea posible, a menos que dss⁺ deba retener la totalidad o parte de los Datos Personales del Cliente por razones técnicas o legales. El Cliente reconoce y acepta que es responsabilidad exclusiva del Cliente transferir y/o salvaguardar los Datos Personales del Cliente que desee conservar.

2.5 Asistencia de dss⁺. A pedido del Cliente, dss⁺ deberá, siempre sujeto al pago de sus tarifas y costos relacionados, brindar al Cliente la asistencia razonablemente necesaria para que éste cumpla con sus obligaciones en virtud de las leyes de protección de datos pertinentes y el RGPD o la legislación suiza de protección de datos, según corresponda, incluso en relación con las solicitudes de los interesados y la evaluación de consecuencias y las obligaciones de consulta previa según los artículos 35 y 36 del RGPD, en la medida en que sea compatible con la funcionalidad de los Servicios. Cuando dss⁺ actúa como procesador, dss⁺ reenviará al Cliente cualquier solicitud que reciba del sujeto de datos con respecto a los Datos Personales del Cliente, el cual será responsable de responder a dichas solicitudes.

13.1 Medidas de seguridad. dss⁺ implementará y mantendrá las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente contra la ocurrencia de una violación de seguridad que resulte en la destrucción, pérdida, alteración o acceso accidental o ilegal a los Datos Personales del Cliente (“Incidentes de Seguridad”). dss⁺ tomará las medidas apropiadas para garantizar el cumplimiento de las medidas de seguridad antes mencionadas por parte de sus empleados y subcontratistas, asegurando que todas las personas autorizadas a manejar los Datos Personales del Cliente estén comprometidos y obligados por contrato a mantener la confidencialidad o estén sujetos a una obligación legal apropiada de confidencialidad.

3.1.1 Adecuación de las medidas de seguridad. El Cliente garantiza que ha verificado y se compromete a verificar continuamente que las medidas técnicas y organizativas especificadas en esta Sección 3 son suficientes para proteger adecuadamente los Datos Personales del Cliente de acuerdo con los requisitos establecidos en cualquier ley aplicable de protección de datos.

3.2 Incidentes de Seguridad. Si las leyes aplicables de protección de datos así lo exigen y dss⁺ se entera de un Incidente de Seguridad, dss⁺ informará al Cliente lo antes posible por cualquier medio útil, en particular a través de la persona de contacto designada por el Cliente. Las acciones de dss⁺ en relación con esta Sección 3.2 no constituirán ni se interpretarán como una admisión por parte de dss⁺ de cualquier culpa o responsabilidad. El Cliente será responsable de realizar cualquier análisis de los Datos Personales del Cliente y de cumplir con las disposiciones legales que le sean aplicables, tales como las obligaciones de notificación. En este contexto, dss⁺ proporcionará al Cliente, a costa del Cliente, cualquier asistencia que éste razonablemente requiera para cumplir con sus obligaciones.

3.3 Información y auditorías de las medidas de seguridad. Información. Si lo exigen las leyes aplicables de protección de datos, dss⁺ pondrá a disposición del Cliente todos los documentos e información razonablemente necesarios para demostrar el cumplimiento de dss⁺ con sus obligaciones en virtud del presente y permitir que el Cliente o un auditor independiente designado por él y razonablemente aceptable para dss⁺ audite el cumplimiento de dss⁺ con sus obligaciones en virtud de este APD. Cualquier información o solicitud de auditoría debe comunicarse a dss⁺ por escrito e indicar los documentos específicos que se revisarán, respectivamente las obligaciones específicas de dss⁺ que se auditarán. dss⁺ informará al Cliente las fechas en las que podrá consultar los documentos en las oficinas de dss⁺ o en las que se podrá realizar la auditoría y las modalidades de la misma. Los costes del Cliente, incluidos los de cualquier auditor independiente designado por él, correrán a cargo del Cliente en su totalidad. dss⁺ puede facturar al Cliente sus propios costos incurridos en relación con esta Sección. Una vez finalizada la auditoría, el Cliente deberá enviar el informe de auditoría completo a dss⁺, sin cargo. El Cliente se compromete expresamente a utilizar la información recopilada únicamente para asegurar que dss⁺ cumple con sus obligaciones con respecto a los Datos Personales del Cliente y, en particular, que la información recopilada no se utilizará en relación con ningún procedimiento judicial o administrativo contra dss⁺. Las disposiciones contenidas en esta Sección 3.3 no se interpretarán en el sentido de que requieren que dss⁺ proporcione al Cliente (i) cualquier información relacionada con los secretos comerciales de dss⁺ o cualquier información de naturaleza confidencial o (ii) cualquier información sobre los clientes de dss⁺, excepto el Cliente mismo. dss⁺ puede supeditar la revisión de documentos o la realización de una auditoría a la conclusión de un acuerdo de confidencialidad específico.

14.1 Subdelegación. El cliente autoriza específicamente a dss⁺ a utilizar subprocesadores. dss⁺ se compromete a garantizar por escrito que: (i) el subprocesador solo accederá y procesará los Datos Personales del Cliente en la medida necesaria para cumplir con sus obligaciones; (ii) el subprocesador tiene obligaciones contractuales con dss⁺ que son al menos equivalentes a las de dss⁺ con el Cliente que surgen de este APD y el Acuerdo de Servicio; y (iii) si se aplica el RGPD, las obligaciones establecidas en el artículo 28 (3) del RGPD se han impuesto al subprocesador. Si se aplica el RGPD, dss⁺ se compromete a informar al Cliente por adelantado y por escrito de cualquier cambio planificado con respecto a la adición o reemplazo de otros subprocesadores; Después de haber sido informado, el Cliente dispondrá de 14 días para presentar sus objeciones. Si dss⁺ confirma la designación del subprocesador a pesar de las objeciones del Cliente, el Cliente tendrá derecho a rescindir los Servicios correspondientes, en lo que se refiere a los Servicios afectados, con efecto inmediato mediante notificación por escrito enviada dentro de los 14 días posteriores a la recepción de la confirmación de dss⁺ mencionada anteriormente. Este derecho de rescisión será el único y exclusivo recurso del Cliente en caso de objeción a un nuevo subprocesador. La falta de objeción y/o rescisión por parte del cliente dentro de los plazos especificados en esta Sección 4.1 se considerará una aceptación del nuevo subprocesador.

4.2 Transferencias de Datos. Los Datos Personales del Cliente que dss⁺ procesa en nombre del Cliente no pueden transferirse, almacenarse ni procesarse fuera de la ubicación geográfica del Cliente, excepto de conformidad con el APD y las garantías proporcionadas en esta sección. El Cliente acepta que dss⁺ puede procesar o transferir Datos Personales del Cliente en Suiza, la Unión Europea o en cualquier otro país, siempre que dicho país haya sido reconocido por la Comisión Europea y Suiza como garante de un nivel adecuado de protección de datos personales o que la transferencia está sujeta a las garantías apropiadas tales como confiar en las Cláusulas Contractuales Estándar de la Comisión Europea u otro mecanismo legal.

15.1 Persona de Contacto de Protección de Datos. Todas las comunicaciones que se realicen a dss⁺ en relación con este DPA y/o la protección de datos se dirigirán a privacy@consultdss.com. El Cliente debe proporcionar a dss⁺ los datos de contacto de su Delegado de Protección de Datos, o en caso de que no se requiera legalmente tal designación, de una persona de contacto encargada en materia de protección de datos.

5.2 Registro de Actividades de Procesamiento. El Cliente reconoce que dss⁺ puede estar obligado, en particular por el RGPD, a: (i) recopilar y almacenar determinada información, incluyendo el nombre y los datos de contacto de cada procesador y/o controlador con quienes dss⁺ actúa y, en su caso, el representante local del controlador y/o el delegado de protección de datos, así como las categorías del procesamiento realizado; y (ii) poner dicha información a disposición de cualquier autoridad competente. El Cliente se compromete a proporcionar a dss⁺ toda la información razonablemente necesaria para que dss⁺ cumpla con sus obligaciones.

5.3 Jerarquía. En caso de conflicto o contradicción entre los términos de este APD y los términos de cualquier Acuerdo de Servicio aplicable, prevalecerán los términos de este APD. Los términos del Acuerdo de Servicio se aplicarán a todos los aspectos que no estén cubiertos por este APD.

5.4 Divisibilidad. Si alguna disposición de este APD se considera inválida o inaplicable por algún motivo, las Partes la reemplazarán por una disposición sustituta que logre, en la mayor medida posible, los mismos propósitos legales y económicos que los de la disposición inválida o inaplicable.

En cualquier caso, el resto de este APD permanecerá en pleno vigor y efecto entre las Partes. Sin perjuicio de lo anterior, si las disposiciones del Acuerdo sobre la ley aplicable no se aplican en relación con la totalidad o parte de este APD debido a una disposición obligatoria de una ley aplicable de protección de datos, las Partes acuerdan aplicar la ley del Estado que impone tal restricción y, donde pueda aplicarse la ley de varios países, aquellos con los cuales dss⁺ tiene la relación más cercana.