Información Legal
Acuerdo para el Procesamiento de Datos (RGPD) de Innovating People México
Última actualización 28 septiembre 2018
Este Acuerdo para el Procesamiento de Datos (“DPA”) de Innovating People México, que incluye las Cláusulas Contractuales Estándar adoptadas por la Comisión Europea, según corresponda, refleja el acuerdo entre las partes con respecto a los términos que rigen el procesamiento de datos personales de conformidad con los Términos de Servicio para Clientes de Innovating People México (el “Acuerdo”). Este Acuerdo para el Procesamiento de Datos es una enmienda del Acuerdo y entra en vigor en el momento de su incorporación al Acuerdo; dicha incorporación debe especificarse en el Acuerdo, un Pedido o una enmienda ejecutada al Acuerdo. Después de la incorporación en el Acuerdo, el DPA formará parte de este Acuerdo.
Actualizamos estos términos periódicamente. Si tienes una suscripción de Innovating People México activa, te informaremos por correo electrónico o recibirás una notificación cuando lo hagamos.
La vigencia de este DPA será la misma que la vigencia del Acuerdo. Los términos no definidos de otra manera en el presente documento tendrán el mismo significado que se establece en el Acuerdo.
ESTE DPA INCLUYE LO SIGUIENTE:
(i) Cláusulas Contractuales Estándar, adjuntas al presente como DOCUMENTO 1.
(a) Anexo 1 a las Cláusulas Contractuales Estándar, que incluye especificaciones acerca de los datos personales transferidos por el exportador de datos al importador de datos.
(b) Anexo 2 a las Cláusulas Contractuales Estándar, que incluye una descripción de las medidas de seguridad técnicas y organizacionales implementadas por el importador de datos, tal como se indica.
(ii) La página de Subprocesadores de Innovating People México que se encuentra aquí, que incluye una lista de los subprocesadores que usamos en conexión con el suministro del Servicio de Suscripción.
1. Definiciones
“Controlador” hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del procesamiento de datos personales.
“Ley de Protección de Datos” hace referencia a toda la legislación aplicable relacionada con la protección y la privacidad de los datos, incluidas, sin limitación, la Directiva de la Unión Europea relativa a la protección de datos 95/46/EC y todas las leyes y normativas locales que la modifican o sustituyen, incluido el Reglamento General de Protección de Datos (RGPD), junto con las leyes de implementación nacionales de cualquier estado miembro de la Unión Europea o, en la medida que corresponda, cualquier otro país, según se modifique, derogue, consolide o reemplace periódicamente. Los términos "procesar", "procesamientos" y "procesado" se interpretarán como corresponda.
“Parte interesada” hace referencia a la persona con la que se relacionan los datos personales.
“RGPD” significa Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas con respecto al tratamiento y a la libre circulación de datos personales.
“Instrucción” significa la instrucción escrita y documentada emitida por el controlador al procesador y mediante la cual se solicita una acción específica con respecto a los datos personales (incluidos, sin limitación, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).
“Datos personales” hace referencia a cualquier información relacionada con una persona identificada o identificable cuando dicha información está incluida dentro de los datos del cliente y protegida de manera similar a los datos personales o a la información personalmente identificable de conformidad con la Ley de Protección de Datos.
“Violación de los datos personales” hace referencia a una violación de la seguridad que genera la destrucción, la pérdida, la alteración y la divulgación no autorizada de los datos personales transmitidos, almacenados o procesados de cualquier otra manera, o el acceso a estos de manera accidental o ilegal.
“Procesamiento” hace referencia a cualquier operación o conjunto de operaciones que se realiza con los datos personales, incluidos el registro, la recopilación, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o puesta a disposición, la alineación o combinación, la restricción o el borrado.
“Procesador” hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.
“Cláusulas Contractuales Estándar” hace referencia a las cláusulas adjuntas al presente como Documento 1 de conformidad con la decisión de la Comisión Europea (C(2010)593) del 5 de febrero de 2010 respecto de las Cláusulas Contractuales Estándar para la transferencia de datos personales a los procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos.
“Página de Subprocesadores” se refiere a la página de subprocesadores de Innovating People México disponible en http://innovatingpeople.com.mx.
2. Información del procesamiento
a. Categorías de partes interesadas. Los contactos del controlador y otros usuarios finales, incluidos los empleados, contratistas, colaboradores, clientes, prospectos, proveedores y subcontratistas del controlador. Se consideran también como partes interesadas las personas que intentan comunicar o transferir datos personales a los usuarios finales del controlador.
b. Tipos de datos personales. La información de contacto, en la medida en que es determinada y controlada por el cliente a su absoluto criterio, y otros datos personales, como los datos de navegación (incluida la información de uso de sitios web), los datos de correos electrónicos, los datos de uso del sistema, los datos de integración de aplicaciones y otros datos electrónicos enviados, guardados o recibidos por los usuarios finales mediante el Servicio de Suscripción.
c. Naturaleza y objeto del procesamiento. El objeto del procesamiento de datos personales por parte del procesador es suministrar servicios al controlador que participa del procesamiento de datos personales. Los datos personales estarán sujetos a esas actividades de procesamiento, según se especifique en el Acuerdo o en un Pedido.
d. Propósito del procesamiento.Los datos personales se procesarán para proporcionar los servicios establecidos y acordados en el Acuerdo y en cualquier Pedido correspondiente.
e. Duración del procesamiento. Los datos personales se procesarán durante la vigencia del Acuerdo, en virtud de la Sección 4 de este DPA.
3. Responsabilidades del cliente
Dentro del ámbito de aplicación del Acuerdo y su uso de los servicios, el controlador será el único responsable de cumplir con los requisitos estatutarios relacionados con la protección y la privacidad de los datos, en particular con respecto a la divulgación y la transferencia de datos personales al procesador y al procesamiento de datos personales. Para evitar cualquier duda, las instrucciones del controlador para el procesamiento de datos personales deben cumplir con la Ley de Protección de Datos. Este DPA es la instrucción completa y final del cliente a Innovating People México en relación con los datos personales, y las instrucciones adicionales fuera del alcance del DPA requerirán un acuerdo previo por escrito entre las partes. Las instrucciones deben especificarse inicialmente en el Acuerdo y, de forma periódica, pueden ser modificadas, ampliadas o reemplazadas por el controlador en otras instrucciones escritas (como instrucciones individuales).
El controlador debe informar al procesador sin demora indebida y en detalle acerca de cualquier error o irregularidad relacionados con las disposiciones estatutarias respecto del procesamiento de datos personales.
4. Obligaciones del procesador
a. Cumplimiento de las instrucciones. Las partes reconocen y acuerdan que el cliente es el controlador de los datos personales e Innovating People México es el procesador de dicha información. El procesador debe recopilar, procesar y usar los datos personales solo dentro del ámbito de las instrucciones del controlador. Si el procesador considera que una instrucción del controlador infringe la Ley de Protección de Datos, debe informárselo al controlador de inmediato. Si el procesador no puede procesar datos personales de acuerdo con las instrucciones debido a un requisito legal en virtud de cualquier ley de la Unión Europea o de un estado miembro, el procesador (i) informará de inmediato al controlador acerca de ese requisito legal antes de llevar a cabo el procesamiento relevante en la medida permitida por la Ley de Protección de Datos; y (ii) suspenderá el procesamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales afectados) hasta que el controlador dé nuevas instrucciones que el procesador pueda cumplir. Si se invoca esta disposición, de conformidad con el Acuerdo, el procesador no será responsable ante el controlador por el incumplimiento de los servicios correspondientes hasta que el controlador dé nuevas instrucciones con respecto al procesamiento.
b. Seguridad. El procesador debe tomar las medidas técnicas y organizacionales correspondientes para proteger de forma adecuada a los datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada y el acceso accidentales o ilegales, como se describe en el Anexo 2 de las Cláusulas Contractuales Estándar. Dichas medidas incluyen, sin limitación, lo siguiente:
i. Prevenir el acceso de personas no autorizadas a los sistemas de procesamiento de datos personales.
ii. Prevenir el uso sin autorización de los sistemas de procesamiento de datos personales.
iii. Garantizar que las personas aptas para usar el sistema de procesamiento de datos personales tengan acceso solo a los datos personales a los que están autorizados a acceder de acuerdo con sus derechos de acceso, y que, durante el procesamiento o el uso y después del almacenamiento, los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización.
iv. Garantizar que los datos personales no se lean, copien, modifiquen ni eliminen sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer y verificar las entidades destinatarias de cualquier transferencia de datos personales mediante instalaciones de transmisión de datos.
v. Garantizar el establecimiento de un registro de auditoría para documentar si se ingresaron, modificaron o eliminaron datos personales de los sistemas de procesamiento, y quién lo hizo.
vi. Garantizar que los datos personales se procesen solo de acuerdo con las instrucciones.
vii. Garantizar que los datos personales se protegen contra la destrucción o pérdida accidentales.
El procesador ayudará al controlador a cumplir con su obligación de implementar medidas de seguridad con respecto a los datos personales (incluidas, si corresponde, las obligaciones del controlador de conformidad con los Artículos 32 a 34 [inclusive] del RGPD), (i) implementando y manteniendo las medidas de seguridad que se describen en el Anexo 2, (ii) cumpliendo con los términos de la Sección 4.d. (Violación de datos personales); y (iii) proporcionando al controlador información relacionada con el procesamiento de acuerdo con la Sección 5 (Auditorías).
c. Confidencialidad. El procesador debe garantizar que el personal autorizado por este a procesar datos personales en su nombre está sujeto a obligaciones de confidencialidad con respecto a esos datos personales. El compromiso de confidencialidad subsistirá tras la finalización de las actividades mencionadas antes.
d. Violación de datos personales. El procesador notificará al controlador tan pronto como sea posible cualquier violación de datos personales de la que sea consciente. A petición del controlador, el procesador le ofrecerá a este toda la ayuda razonablemente necesaria para que pueda notificar a las autoridades competentes o las partes interesadas afectadas acerca de cualquier violación de datos personales relevante, si se requiere que el controlador lo haga de conformidad con la Ley de Protección de Datos.
e. Solicitudes de la parte interesada. El procesador ofrecerá la asistencia razonable, incluida la implementación de medidas técnicas y organizacionales adecuadas sujetas a la naturaleza del procesamiento, para permitir que el controlador responda a cualquier solicitud de las partes interesadas que quieran ejercitar sus derechos en virtud de la Ley de Protección de Datos respecto de datos personales (incluidas la rectificación, la restricción, la eliminación o la portabilidad de datos personales, y el acceso a estos según corresponda), en la medida permitida por la ley. Si dicha solicitud se hace directamente al procesador, este informará de inmediato al controlador y sugerirá a las partes interesadas que envíen su solicitud al controlador. El controlador será el único responsable de responder a las solicitudes de las partes interesadas.
En la medida en que el controlador no sea capaz de satisfacer una solicitud de la parte interesada, a pedido del controlador, el procesador puede ofrecer asistencia razonable al controlador para cumplir con dicha solicitud en la medida posible y solo según lo requiera la Ley de Protección de Datos aplicable. El controlador deberá reembolsar al procesador los costos comercialmente razonables derivados de esta asistencia.
f. Eliminación o recuperación de datos personales. Además de en la medida en que se requiera para cumplir con la Ley de Protección de Datos, después de la finalización o del vencimiento del Acuerdo, el procesador eliminará o devolverá todos los datos personales (incluidas las copias de estos) procesados de conformidad con este DPA. Si el procesador no puede eliminar datos personales por motivos técnicos u otros, tomará las medidas necesarias para garantizar que se bloqueen los datos personales para cualquier otro procesamiento.
Al término o vencimiento del Acuerdo y previa emisión de una instrucción, el controlador deberá estipular, dentro de un período establecido por el procesador, las medidas razonables para devolver los datos o eliminar los datos guardados. Cualquier costo adicional derivado de la devolución o la eliminación de datos personales después de la finalización o del vencimiento del Acuerdo correrá a cargo del controlador.
g. Evaluaciones del impacto de la protección de datos y la consulta con autoridades supervisoras. En la medida en que la información solicitada esté disponible para el procesador y el controlador no tenga acceso a la información requerida, el procesador ofrecerá la asistencia razonable al controlador con las evaluaciones del impacto de la protección de datos y, previa consulta con las autoridades supervisoras u otras autoridades competentes, que el controlador considere razonables de conformidad con el artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación al procesamiento de datos personales.
5. Auditorías
De acuerdo con las leyes de protección de datos y en respuesta a una solicitud escrita razonable del controlador, el procesador podrá poner a disposición del controlador información que posea o controle en relación con el cumplimiento del procesador de las obligaciones de los procesadores de datos en virtud de la Ley de Protección de Datos, en lo que respecta a su procesamiento de datos personales.
El controlador no podrá realizar una inspección del sitio de las operaciones comerciales del procesador o solicitárselo a un auditor externo.
A petición por escrito del controlador con una antelación de al menos 30 días, el procesador podrá proporcionar al controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté dentro del control del procesador y este no se vea impedido de divulgarla de conformidad con la ley aplicable, una obligación de confidencialidad o cualquier otra obligación hacia un tercero.
6. Subprocesadores
a. Designación de subprocesadores. El controlador reconoce y acepta (a) la interacción como subprocesador de las empresas afiliadas al procesador y los terceros enumerados en nuestra Página de Subprocesadores, y (b) que el procesador y las empresas afiliadas al procesador podrán designar respectivamente subprocesadores externos en conexión con el suministro del Servicio de Suscripción. Para evitar dudas, la autorización mencionada anteriormente constituye el consentimiento previo por escrito del controlador al subprocesamiento por parte del procesador para los fines de la Cláusula 11 de las Cláusulas Contractuales Estándar.
Cuando la actividad del procesador incluya la participación de un subprocesador, el procesador celebrará un contrato con dicho subprocesador que imponga sobre este las mismas obligaciones que corresponden al procesador en virtud de este DPA. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos, el procesador seguirá siendo responsable ante el controlador por el cumplimiento de dichas obligaciones de los procesadores.
Cuando se involucra a un subprocesador, el controlador debe tener derecho a monitorizar e inspeccionar las actividades del subprocesador de acuerdo con este DPA y la Ley de Protección de Datos, incluso para obtener información del procesador, previa solicitud por escrito, respecto de las condiciones sustanciales del contrato y la implementación de obligaciones de protección de datos de conformidad con el contrato de subprocesamiento, cuando sea necesario, mediante la revisión de los documentos correspondientes.
Deben aplicarse mutuamente las disposiciones de esta Sección 6 si la actividad del procesador incluye la participación de un subprocesador en un país que no pertenece al Espacio Económico Europeo ("EEE") y que, según la Comisión Europea, no proporcione un nivel adecuado de protección de datos personales. Si durante la vigencia de este DPA Innovating People México transfiere datos personales a un subprocesador ubicado fuera del EEE, antes de concretar dicha transferencia, Innovating People México no está obligado a garantizar que se implemente un mecanismo legal para lograr la adecuación del procesamiento.
b. Lista de procesadores actuales y notificación u objeción a los procesadores nuevos. Si el procesador pretende dar instrucciones a subprocesadores que no sean las empresas enumeradas en la Página de Subprocesadores, deberá notificárselo al controlador actualizando la Página y darle la oportunidad de oponerse a la interacción de los nuevos subprocesadores dentro de los 30 días posteriores a la notificación. La objeción se debe basar en motivos razonables. Si el procesador y el controlador no pueden resolver dicha objeción, cada parte puede finalizar el Acuerdo proporcionando una notificación escrita a la otra parte. El controlador podrá recibir un reembolso de las tarifas prepagas y no utilizadas para el período posterior a la fecha efectiva de finalización. Si el controlador desea recibir una notificación por correo electrónico cuando actualicemos la Página de Subprocesadores, deberá completar el formulario que se encuentra aquí.
7. Transferencias de datos
El controlador reconoce y acepta que, en conexión con la prestación de los servicios establecidos en el Acuerdo, los datos personales se transferirán a Innovating People México, en Ciudad de México, México. Innovating People México
8. Disposiciones generales
Con respecto a las actualizaciones y los cambios de este DPA, se aplicarán los términos de la sección "Modificación; no exención" de "Varios" del Acuerdo.
En caso de conflicto, este DPA tendrá prioridad sobre las regulaciones del Acuerdo. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposición de este DPA no se verán afectadas.
Tras la incorporación de este DPA en el Acuerdo, las partes indicadas en la Sección 7 a continuación (Partes de este DPA) aceptan las Cláusulas Contractuales Estándar (donde y según corresponda) y todos los anexos adjuntos. En caso de conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Estándar en el Anexo 1, prevalecerán las Cláusulas Contractuales Estándar. Sin embargo: (a) el controlador puede ejercer su derecho de realizar auditorías en virtud de la Cláusula 5(f) de las Cláusulas Contractuales Estándar sujeto a los requisitos establecidos en la Sección 5 de este DPA; y (b) el procesador podrá designar subprocesadores como se establece en la Sección 4 y la Sección 6 de este DPA.
9. Partes de este DPA
Este DPA es una enmienda del Acuerdo y forma parte del mismo. A partir de la incorporación de este DPA al Acuerdo, (i) el controlador y la entidad de Innovating People México que sean partes del Acuerdo también serán partes de este DPA, y (ii) en la medida en que Innovating People México. no sea parte de este Acuerdo, Innovating People México. será parte de este DPA, pero solo respecto del acuerdo de las Cláusulas Contractuales Estándar del DPA, esta Sección 7 del DPA y las Cláusulas Contractuales Estándar en sí.
Si Innovating People México. no es parte de este Acuerdo, se aplicará la sección del Acuerdo titulada "Limitación de responsabilidad" entre el controlador y Innovating People México., y, en tal respecto, cualquier referencia a "Innovating People México", "nosotros" y "nuestro" incluirá tanto a Innovating People México. como a la entidad de Innovating People México que forma parte del Acuerdo.
La entidad jurídica que acepta este DPA como controlador declara que está autorizada para hacerlo y que acuerda solo en nombre del controlador.
DOCUMENTO 1
Cláusulas Contractuales Estándar (Procesadores)
Para los fines del Artículo 26(2) de la Directiva 95/46/CE para la transferencia de datos personales a los procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos,
el Cliente, como se define en los Términos de Servicio para Clientes de Innovating People México (el “exportador de datos”)
Y
Innovating People México Paseo de los sauces 28 int202 paseos del sur, Xochimilco, ciudad de méxico (el “importador de los datos”),
cada una de las cuales actúa como una "parte"; y en conjunto como "las partes",
ACUERDAN las siguientes Cláusulas Contractuales (las Cláusulas) con el objeto de ofrecer garantías suficientes respecto de la protección de privacidad y las libertades fundamentales de las personas para la transferencia de datos personales del exportador de datos al importador de datos, como se especifica en el Anexo 1.
Cláusula 1
Definiciones
Para los fines de las Cláusulas:
(a) "datos personales", "categorías especiales de datos", "procesar/procesamiento", "controlador", "procesador", "parte interesada" y "autoridad supervisora" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y el Consejo del 24 de octubre de 1995 en cuanto a la protección de las personas respecto del procesamiento de datos personales y la transferencia libre de dichos datos;
(b) "el exportador de datos" significa el controlador que transfiere los datos personales;
(c) "el importador de datos" es el procesador que acepta recibir los datos personales del exportador de datos destinados al procesamiento en su nombre después de la transferencia de acuerdo con las instrucciones y los términos de las Cláusulas, y que no está sujeto al sistema de un país tercero con el fin de garantizar la protección adecuada en virtud del Artículo 25(1) de la Directiva 95/46/CE;
(d) "el subprocesador" hace referencia a cualquier procesador involucrado por el importador de datos o por otro subprocesador del importador de datos que acepte recibir datos personales del importador de datos o de cualquier otro subprocesador del importador de datos con el fin exclusivo de llevar a cabo actividades de procesamiento en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
(e) "la ley de protección de datos aplicable" hace referencia a la legislación que protege los derechos fundamentales y las libertades de las personas y, en particular, su derecho a la privacidad con respecto al procesamiento de datos personales aplicable a un controlador de datos en el estado miembro de establecimiento del exportador de datos;
(f) "medidas de seguridad técnicas y organizacionales" hacen referencia a las medidas destinadas a la protección de datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada y el acceso accidentales o ilegales, especialmente cuando el procesamiento involucra la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Anexo 1, que forma una parte integral de las Cláusulas.
Cláusula 3
Cláusula de tercero beneficiario
La parte interesada puede aplicar esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el exportador de datos como tercero beneficiario.
La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 contra el importador de datos, en los casos en que el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad.
La parte interesa puede aplicar esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y Cláusulas 9 a 12 contra el subprocesador, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o se hayan vuelto insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede aplicarlas contra dicha entidad. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.
Las partes no se oponen a que las partes interesadas estén representadas por una asociación u otras entidades, si así lo desean expresamente y si la ley nacional lo permite.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
(a) que el procesamiento, incluida la transferencia, de datos personales se ha llevado a cabo y se seguirá llevando a cabo de acuerdo con las disposiciones relevantes de la ley de protección de datos aplicable (y, cuando corresponda, se notificará a las autoridades competentes del Estado Miembro donde se establezca el exportador de datos), sin violar las disposiciones relevantes de ese Estado;
(b) que ha instruido y, durante todo el período de prestación de servicios de procesamiento de datos personales, instruirá al importador de datos que procese los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la ley de protección de datos y las Cláusulas aplicables;
(c) que el importador de datos brindará las garantías suficientes con respecto a las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 de este contrato;
(d) que, después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal, o la pérdida, la alteración, la divulgación o el acceso accidentales o no autorizados, especialmente cuando el procesamiento requiere la transmisión de los datos mediante una red, y contra todas las demás formas ilegales de procesamiento; asegura también que estas medidas garantizan un nivel apropiado de seguridad ante los riesgos presentados por el procesamiento y la naturaleza de los datos por proteger teniendo en cuenta la técnica y los costos de la implementación;
(e) que asegurará el cumplimiento con las medidas de seguridad;
(f) que si la transferencia involucra categorías especiales de datos, la parte interesada ha sido informada o será informada de antemano o en cuanto sea posible de que los datos podrían transmitirse a un país tercero que no proporcione la protección adecuada en virtud de la Directiva 95/46/CE;
(g) que reenviará cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;
(h) que, a petición de la parte interesada, pondrá a disposición de esta una copia de las Cláusulas, con excepción del Anexo 2, y una descripción resumida de las medidas de seguridad, además de una copia de cualquier contrato para los servicios de subprocesamiento que debe hacerse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminarla;
(i) que, en caso de subprocesamiento, la actividad de procesamiento se llevará a cabo de acuerdo con la Cláusula 11 por parte del subprocesador, ofreciendo al menos el mismo nivel de protección de datos personales y los mismos derechos de la parte interesada que el importador de datos en virtud de las Cláusulas; y
(j) que asegurará el cumplimiento con la Cláusula 4(a) a (i).
Cláusula 5
Obligaciones del importador de datos
El importador de datos acuerda y garantiza lo siguiente:
(a) que procesará los datos personales solo en nombre del exportador de datos y de conformidad con las instrucciones y las Cláusulas; si no pudiera cumplir con estas por cualquier motivo, se compromete a informárselo de inmediato al exportador de datos, en cuyo caso el exportador de datos podrá suspender la transferencia de datos o finalizar el contrato;
(b) que no tiene motivos para creer que la legislación aplicable no le permitirá cumplir con las instrucciones recibidas de parte del exportador de datos y sus obligaciones de conformidad con el contrato y que, en caso de que cambiara la legislación de un modo que pudiera tener un efecto adverso sustancial sobre las garantías y obligaciones proporcionadas por las Cláusulas, notificará de inmediato al exportador de datos acerca del cambio en cuanto tome conocimiento de este, en cuyo caso el exportador de datos podrá suspender la transferencia de datos o finalizar el contrato;
(c) que ha implementado las medidas de seguridad técnicas y organizacionales especificadas en el Anexo 2 antes de procesar los datos personales transferidos;
(d) que notificará inmediatamente al exportador de datos acerca de:
(i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación;
(ii) todo acceso accidental o no autorizado; y
(iii) toda solicitud sin respuesta recibida directamente de las partes interesadas, a menos que haya sido autorizado para ese propósito;
(e) que resolverá de manera oportuna y adecuada todas las consultas del exportador de datos en relación con el procesamiento de los datos personales sujetos a la transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
(f) que, a petición del exportador de datos, someterá a las instalaciones en las que se lleva a cabo el procesamiento de datos a la auditoría de las actividades de procesamiento cubiertas por las Cláusulas a cargo del exportador de datos o un organismo de inspección compuesto por miembros independientes que tengan las calificaciones profesionales requeridas, que estén sujetos a una obligación de confidencialidad y que estén seleccionados por el exportador de datos, cuando corresponda, de acuerdo con la autoridad supervisora;
(g) que, a petición de la parte interesada, pondrá a su disposición una copia de las Cláusulas, o un contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contengan información sobre la empresa, en cuyo caso eliminará dicha información, con excepción del Anexo 2 que deberá ser reemplazado por una descripción resumida de las medidas de seguridad en los casos en que la parte interesada no pueda obtener una copia del exportador de datos;
(h) que, en caso de subprocesamiento, informará previamente al exportador de datos y obtendrá su consentimiento previo por escrito;
(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Cláusula 11;
(j) que enviará de inmediato al exportador de datos una copia de cualquier acuerdo con el subprocesador que celebre de conformidad con las Cláusulas.
Cláusula 6
Responsabilidad
Las partes acuerdan que cualquier parte interesada que haya sido afectada por una violación de las obligaciones que se mencionan en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por el daño sufrido.
Si la parte interesada no puede interponer la demanda de indemnización contra el exportador de datos de acuerdo con el Párrafo 1, a causa del incumplimiento de las obligaciones por parte del importador de datos o su subprocesador a las que se hace referencia en la Cláusula 3 o en la Cláusula 11, debido a que el exportador de datos ha desaparecido de facto, ha cesado de existir o se ha vuelto insolvente, el importador de datos acepta que la parte interesada puede presentar una demanda contra el importador de datos en calidad del exportador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o efecto de la ley, en cuyo caso la parte interesada puede ejercer sus derechos contra dicha entidad.
El importador de datos no podrá basarse en el incumplimiento de las obligaciones por parte de un subprocesador para eludir sus propias responsabilidades.
Si una parte interesada no puede presentar una demanda contra el exportador de datos o el importador de datos a los que se hace referencia en los párrafos 1 y 2, a causa del incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 debido a que tanto el exportador de datos como el importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o sean insolventes, el subprocesador acuerda que la parte interesada puede presentar una demanda contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por efecto de la ley, en cuyo caso la parte interesada podrá exigir sus derechos a dicha entidad. La responsabilidad del subprocesador debe limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.
Cláusula 7
Mediación y jurisdicción
1. El importador de datos acepta que, si la parte interesada invoca en su contra derechos de tercero beneficiario o reclama una indemnización por los daños en virtud de las Cláusulas, el importador de datos aceptará la decisión de la parte interesada de:
(a) remitir el conflicto a mediación por parte de una persona independiente o, si corresponde, por parte de la autoridad de control;
(b) remitir el conflicto a los tribunales del Estado miembro donde se establece el exportador de datos.
2. Las partes acuerdan que la elección que haga la parte interesada no perjudicará sus derechos sustantivos a obtener reparación de conformidad con otras disposiciones de derecho nacional o internacional.
Cláusula 8
Cooperación con las autoridades supervisoras
El exportador de datos acuerda proporcionar una copia de este contrato a la autoridad supervisora si esta lo solicita o si se requiere de conformidad con la ley de protección de datos aplicable.
Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos, y de cualquier subprocesador, que tenga el mismo alcance y esté sujeta a las mismas condiciones que corresponderían a una auditoría del exportador de datos de conformidad con la ley de protección de datos aplicable.
El importador de datos debe informar sin demora al exportador de datos acerca de la existencia de leyes aplicables a este o a cualquier subprocesador que prevengan la realización de una auditoría del importador de datos, o de cualquier subprocesador, de conformidad con el Párrafo 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5(b).
Cláusula 9
Ley vigente
Las Cláusulas deben regirse por la ley del Estado miembro donde se establece el exportador de datos.
Cláusula 10
Variantes del contrato
Las partes se comprometen a no variar o modificar las presentes Cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus empresas en caso necesario siempre y cuando estas no contradigan las Cláusulas.
Cláusula 11
Subprocesamiento
El importador de datos no deberá subcontratar ninguna de sus operaciones de procesamiento en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con respecto a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subprocesador, en el que se le impongan las mismas obligaciones que se imponen al importador de datos de conformidad con las Cláusulas. En caso de que el subprocesador no cumpla con sus obligaciones de protección de datos de conformidad con dicho acuerdo escrito, el importador de datos continuará asumiendo plena responsabilidad ante el exportador de datos por el desempeño de las obligaciones del subprocesador en virtud de dicho acuerdo.
El contrato escrito previo entre el importador de datos y el subprocesador contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3, para los casos en que la parte interesada no pueda interponer la demanda de indemnización a la que se refiere en el Párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, y en caso de que ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud del contrato o por efecto de la ley. Dicha responsabilidad del subprocesador deberá limitarse a sus propias operaciones de procesamiento de conformidad con las Cláusulas.
Las disposiciones relacionadas con los aspectos de protección de datos para el subprocesamiento del contrato que se mencionan en el Párrafo 1 deben regirse por la ley del Estado miembro en el que se establece el exportador de datos.
El exportador de datos debe mantener una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5(j). Dicha lista se debe actualizar, al menos, una vez al año. La lista debe ponerse a disposición de la autoridad supervisora de protección de datos del exportador de datos.
Cláusula 12
Obligaciones una vez finalizada la prestación de los servicios de procesamiento de los datos personales
Las partes acuerdan que, al término de la prestación de servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de estos al exportador de datos o deberán destruir los datos personales y certificar al exportador de datos que esto se ha hecho, a menos que las leyes impuestas al importador de datos lo impidan. En ese caso, el importador de datos asegura que garantizará la confidencialidad de los datos personales transferidos y que no volverá a procesar activamente los datos personales transferidos.
El importador de datos y el subprocesador garantizan que, a petición del exportador de datos o de la autoridad supervisora, pondrán a disposición sus instalaciones de procesamiento de datos para realizar una auditoría de las medidas mencionadas en el Párrafo 1.
ANEXO 1 a las Cláusulas Contractuales Estándar
Este Anexo forma parte de las Cláusulas. Los Estados miembros pueden completar o especificar, según sus procedimientos nacionales, cualquier información necesaria adicional que deba incluirse en este Anexo.
A. Exportador de datos
El exportador de datos es el Cliente, como se define en los Términos de Servicio para Clientes de Innovating People México (“Acuerdo”).
B. Importador de datos
El importador de datos es Innovating People México, un proveedor global de software de administración y detección de talento para innovar y de entrenamientos cognitivos.
C. Partes interesadas
Categorías de partes interesadas establecidas de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas.
D. Categorías de datos
Categorías de datos personales establecidos de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas.
E. Categorías de datos especiales (si corresponde)
Las partes no anticipan la transferencia de categorías especiales de datos.
F. Operaciones de procesamiento
Actividades de procesamiento establecidas de conformidad con la Sección 2 del Acuerdo para el Procesamiento de Datos al que se anexan las Cláusulas:
Anexo 2 a las Cláusulas Contractuales Estándar
Este Anexo forma parte de las Cláusulas.
Descripción de las medidas de seguridad técnicas y organizacionales implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o la documentación/legislación adjunta):
Actualmente, Innovating People México cumple con las prácticas de seguridad descriptas en este Anexo 2. No obstante cualquier disposición contraria aceptada por el exportador de datos, Innovating People México puede modificar o actualizar estas prácticas a su discreción siempre y cuando dichas modificación y actualización no generen una degradación material en la protección ofrecida por estas prácticas. Todos los términos en letras mayúsculas no definidos en el presente tendrán los significados establecidos en el Acuerdo.
a) Control de acceso
i) Prevención del acceso no autorizado a productos
Procesamiento externalizado: Innovating People México aloja su servicio con proveedores externos de infraestructura de nube. Además, Innovating People México mantiene relaciones contractuales con proveedores con el fin de proporcionar el servicio de conformidad con nuestro Acuerdo para el Procesamiento de Datos. Innovating People México recurre a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos procesados o almacenados por estos.
Seguridad física y ambiental: Innovating People México aloja su infraestructura de producto con proveedores externos de infraestructura multinquilino. Los controles de seguridad física y ambiental se auditan para comprobar el cumplimiento con SOC 2 Tipo II e ISO 27001, entre otras certificaciones.
Autenticación: Innovating People México implementó una política de contraseñas uniforme para los productos de sus clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.
Autorización: Los datos de los clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de la aplicación. El modelo de autorización en cada uno de los productos de Innovating People México está diseñado para garantizar que solo las personas asignadas de manera adecuada pueden acceder a las características, las visualizaciones y las opciones de personalización relevantes. Las verificaciones de autorización para acceder a los conjuntos de datos se realizan validando los permisos del usuario contra los atributos asociados con cada conjunto de datos.
Acceso a la interfaz de programación de aplicaciones (API): Se puede acceder a las API de productos públicos usando una clave de API o mediante la autorización de Oauth.
ii) Prevención del uso no autorizado de productos
Innovating People México implementa los controles de acceso y capacidades de detección estándares de la industria para las redes internas que respaldan sus productos.
Controles de acceso: Los mecanismos de control de acceso de red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura de producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.
Detección y prevención de intrusiones: Innovating People México implementó una solución de Firewall de Aplicación Web (WAF, por sus siglas en inglés) para proteger a los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.
Análisis de código estático: Se realizan revisiones de seguridad de los códigos guardados en los depósitos de código fuente de Innovating People México para comprobar las buenas prácticas de codificación y las fallas de software identificables.
Prueba de penetración: Innovating People México recurre a proveedores de servicios de pruebas de penetración reconocidos en la industria para realizar cuatro pruebas de penetración al año. El objetivo de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y posibles situaciones de abuso.
Recompensas por detección de errores: Un programa de recompensas por detección de errores invita e incentiva a los investigadores de seguridad independientes a descubrir y divulgar éticamente las fallas de seguridad. Innovating People México implementó un programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad de seguridad y mejorar la defensa de productos contra ataques sofisticadas.
iii) Limitaciones de los requisitos de privilegio y autorización
Acceso a productos: Un subconjunto de empleados de Innovating People México tiene acceso a los productos y datos del cliente mediante interfaces controladas. El objetivo de brindar acceso a un subconjunto de empleados es proporcionar al cliente asistencia técnica efectiva, solucionar problemas potenciales, detectar y resolver incidentes de seguridad, e implementar medidas de protección de seguridad de datos. El acceso se habilita mediante solicitudes just-in-time (justo en el momento); estas solicitudes se registran. Los empleados obtienen acceso en función de su puesto, y se revisan los otorgamientos de privilegios de alto riesgo a diario. Las funciones de los empleados se revisan al menos una vez cada seis meses.
Comprobación de antecedentes: Todos los empleados de Innovating People México se someten a una comprobación de antecedentes a cargo de un tercero antes de recibir una oferta de trabajo, de conformidad con las leyes aplicables. Todos los empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.
b) Control de transmisión
En tránsito: Innovating People México ofrece la encriptación HTTPS (también conocida como SSL o TLS) en cada una de sus interfaces de inicio de sesión y de manera gratuita en cada sitio de cliente alojado en productos de Innovating People México. Innovating People México implementa el protocolo HTTPS usando algoritmos y certificados estándares de la industria.
En reposo: Innovating People México almacena las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar de la industria para la seguridad. Innovating People México ha implementado tecnologías para garantizar que los datos guardados se cifren en reposo.
c) Control de entrada
Detección: Innovating People México diseñó su infraestructura para registrar amplia información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos agregados registran datos y alertan a los empleados pertinentes acerca de actividades maliciosas, no deseadas o anómalas. El personal de Innovating People México, incluidos los empleados de seguridad, operaciones y asistencia técnica, responden ante los incidentes conocidos.
Respuesta y monitorización: Innovating People México mantiene un registro de incidentes de seguridad conocidos que incluye descripciones, fechas y horarios de actividades relevantes, y la resolución de los incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados; las medidas apropiadas para la solución de estos incidentes se identifican y documentan. Ante cualquier incidente confirmado, Innovating People México seguirá los pasos adecuados para minimizar el daño del producto o del cliente, o la divulgación no autorizada.
Comunicación: Si Innovating People México toma conocimiento de un acceso ilegal a los datos del cliente guardados en sus productos: 1) notificará a los clientes afectados acerca del incidente; 2) proporcionará una descripción de los pasos que Innovating People México está siguiendo para el incidente; y 3) proporcionará actualizaciones de estado al contacto del cliente, según Innovating People México considere necesario. En caso de que haya notificaciones de incidentes, se enviarán a uno o más de los contactos del cliente de la manera en que Innovating People México lo disponga, ya sea por correo electrónico o por teléfono.
d) Control de disponibilidad
Disponibilidad de la infraestructura: Los proveedores de infraestructura realizan esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99.95%. Los proveedores mantienen un mínimo de redundancia N+1 para los servicios de energía, redes y aire acondicionado.
Tolerancia a fallas: Las estrategias de copia de seguridad y replicación están diseñadas para garantizar las protecciones de redundancia y conmutación por error durante un error importante de procesamiento. Las datos del cliente con copias de seguridad se guardan en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.
Réplicas y copias de seguridad en línea: En la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos 1 base de datos primaria y 1 secundaria. Todas las bases de datos se respaldan y mantienen usando métodos estándar de la industria.
Los productos de Innovating People México están diseñados para garantizar la redundancia y la conmutación por error sin problemas. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que las operaciones de Innovating People México mantengan y actualicen las aplicaciones de producto y la capacidad back-end, mientras limitan el tiempo de inactividad