1.1 Este Acuerdo de procesamiento de datos ("DPA") es un anexo a los Términos de servicio del cliente ("Acuerdo") entre Digital Decent LLC ("Digital Decent") y el Cliente. Digital Decent LLC y el Cliente son individualmente una "parte" y, colectivamente, las "partes".
1.2 Este DPA se aplica donde y solo en la medida en que Digital Decent LLC procese Datos personales en nombre del Cliente en el curso de la prestación de los Servicios y dichos Datos personales estén sujetos a las Leyes de protección de datos de la jurisdicción correspondiente, incluido el Estado de California, la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y/o el Reino Unido. Las partes acuerdan cumplir con los términos y condiciones de este DPA en relación con dichos Datos personales.
1.3 La duración del Procesamiento cubierto por este DPA estará de acuerdo con la duración del Acuerdo.
2.1 Los siguientes términos tienen los significados establecidos a continuación. Todos los términos en mayúsculas no definidos en este DPA tendrán los significados establecidos en el Acuerdo.
2.2 Los siguientes términos tienen las definiciones que se les dan en la CCPA: "Negocio", "Venta", "Proveedor de servicios" y "Tercero".
2.3 “Controlador” significa la entidad que determina los propósitos y medios del Procesamiento de Datos Personales. "Controlador" incluye términos equivalentes en otras leyes de protección de datos, como el término definido por la CCPA "Empresa" o "Tercero", según lo requiera el contexto.
2.4 "Ley de protección de datos" hace referencia a todas las leyes de privacidad y protección de datos aplicables al procesamiento de Datos personales en virtud del Acuerdo en relación con el Cliente, incluido el Reglamento 2016/679 (Reglamento general de protección de datos) ("GDPR"), y Cal. civ. Título del Código 1.81.5, § 1798.100 et seq. (Ley de Privacidad del Consumidor de California) ("CCPA").
2.5 "Sujeto de datos" significa una persona física identificada o identificable.
2.6 "Datos no identificados" significa un conjunto de datos que no contiene ningún dato personal. Los datos agregados son datos no identificados. “Desidentificar” significa crear Datos Desidentificados a partir de Datos Personales.
2.7 “EEE” significa el Espacio Económico Europeo.
2.8 “Cláusulas contractuales tipo” se refiere a las cláusulas contractuales tipo de la Unión Europea para transferencias internacionales desde el Espacio Económico Europeo a terceros países, Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
2.9 "Datos personales" significa información que identifica, se relaciona con, describe, es razonablemente capaz de asociarse con, o podría razonablemente vincularse, directa o indirectamente, con un Sujeto de datos, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. "Datos personales" incluye términos equivalentes en otras leyes de protección de datos, como el término "Información personal" definido por la CCPA, según lo requiera el contexto.
2.10 "Violación de datos personales" significa una violación de la seguridad de los Servicios que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales.
2.11 “Proceso” o “Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales, ya sea por medios automáticos, tales como recolección, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión , difusión o puesta a disposición, alineación o combinación, bloqueo, borrado o destrucción.
2.12 "Procesador" significa una entidad que procesa Datos personales en nombre de otra entidad. “Procesador” incluye términos equivalentes en otras leyes de protección de datos, como el término definido por la CCPA “Proveedor de servicios”, según lo requiera el contexto.
2.13 “Datos confidenciales” significa los siguientes tipos y categorías de datos: datos que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación sindical; datos genéticos; Información biométrica; datos relacionados con la salud, incluida la información médica protegida regida por la Ley de responsabilidad y portabilidad de seguros médicos; datos relativos a la vida sexual o la orientación sexual de una persona física; números de identificación del gobierno (por ejemplo, SSN, licencia de conducir); información de la tarjeta de pago; información personal no pública regida por la Ley Gramm Leach Bliley; un identificador no cifrado en combinación con una contraseña u otro código de acceso que permitiría el acceso a la cuenta de un sujeto de datos; y geolocalización precisa.
2.14 "Subprocesador" significa un Procesador contratado por una parte que actúa como Procesador.
3.1 Los Anexos 1-3 adjuntos describen los propósitos del Procesamiento de las partes, los tipos o categorías de Datos personales involucrados en el Procesamiento y las categorías de Sujetos de datos afectados por el Procesamiento.
3.2 Los Anexos 1-3 enumeran los estados de las partes según la Ley de Protección de Datos pertinente.
4.1 Con respecto a los Datos personales de los Sujetos de datos ubicados en el EEE, Suiza o el Reino Unido que el Cliente transfiere a Digital Decent LLC o permite el acceso de Digital Decent LLC, las partes acuerdan que al ejecutar este DPA también ejecutan las Cláusulas contractuales estándar , que se incorporarán por referencia y formarán parte integral de este DPA. Las partes acuerdan que, con respecto a los elementos de las Cláusulas contractuales estándar que requieren la participación de las partes, los Anexos 1 a 3 contienen toda la información relevante.
5.1 Cumplimiento. Las partes cumplirán con sus respectivas obligaciones bajo la Ley de Protección de Datos y sus avisos de privacidad.
5.2 Procesamiento de datos personales por parte del cliente. El Cliente declara y garantiza que tiene el consentimiento u otra base legal necesaria para recopilar Datos personales en relación con los Servicios.
5.3 Cooperación.
5.3.1 Solicitudes de interesados. Las partes se brindarán mutuamente asistencia razonable para que cada una pueda cumplir con sus obligaciones de responder a las solicitudes de los Sujetos de datos para ejercer los derechos a los que esos Sujetos de datos pueden tener derecho en virtud de la Ley de protección de datos.
5.3.2 Solicitudes gubernamentales y de investigación. El Cliente notificará de inmediato a Digital Decent LLC si el Cliente recibe una queja o consulta de una autoridad reguladora que indique que Digital Decent LLC ha violado o está violando la Ley de Protección de Datos.
5.3.3 Otros Requisitos de la Ley de Protección de Datos. Previa solicitud, las partes se proporcionarán información relevante para cumplir con sus respectivas obligaciones (si las hubiere) de realizar evaluaciones de impacto de la protección de datos o consultas previas con las autoridades de protección de datos.
5.4 Confidencialidad. Las partes se asegurarán de que sus empleados, contratistas independientes, agentes y representantes estén sujetos a la obligación de mantener la confidencialidad de los Datos personales y hayan recibido capacitación sobre privacidad y seguridad de datos que sea acorde con sus responsabilidades y la naturaleza de los Datos personales.
5.5 Datos no identificados, anonimizados o agregados. Las partes pueden crear Datos Anonimizados a partir de Datos Personales y Procesar los Datos Anonimizados para cualquier propósito.
6.1 Controles de seguridad. Cada parte mantendrá una política de seguridad de la información por escrito que defina los controles de seguridad que se basan en la evaluación del riesgo de la parte para los Datos personales que procesa y los sistemas de información de la parte.
7.1 Digital Decent LLC tendrá las obligaciones establecidas en esta Sección 7 si Procesa Datos Personales en su calidad de Procesador o Proveedor de Servicios del Cliente; para mayor claridad, estas obligaciones no se aplican a Digital Decent LLC en su calidad de Controlador, Empresa o Tercero.
7.2 Alcance del procesamiento.
7.2.1 Digital Decent LLC Procesará los Datos personales para proporcionar Servicios a los Clientes en virtud del Acuerdo y cumplir con la ley aplicable. Digital Decent LLC notificará al Cliente si la ley cambia y esos cambios hacen que Digital Decent LLC no pueda cumplir con el Acuerdo.
7.3 Solicitudes de los interesados para ejercer derechos. Digital Decent LLC informará de inmediato al Cliente si Digital Decent LLC recibe una solicitud de un Sujeto de datos para ejercer sus derechos con respecto a sus Datos personales en virtud de la Ley de protección de datos aplicable. Los clientes serán responsables de responder a dichas solicitudes. Digital Decent LLC no responderá a dichos Sujetos de datos excepto para reconocer sus solicitudes. Digital Decent LLC proporcionará al Cliente asistencia comercialmente razonable, previa solicitud, para ayudar al Cliente a responder a la solicitud de un Sujeto de datos.
7.4 Subprocesadores de Digital Decent LLC.
7.4.1 Subprocesadores existentes. Los clientes aceptan que Digital Decent LLC puede usar los subprocesadores.
7.4.2 Uso de Subprocesadores. El cliente otorga a Digital Decent LLC autorización general para contratar subprocesadores si Digital Decent LLC y un subprocesador celebran un acuerdo que requiere que el subprocesador cumpla con obligaciones que no son menos protectoras que este DPA.
7.4.3 Notificación de Adiciones o Cambios a Subprocesadores. Digital Decent LLC notificará al Cliente sobre cualquier adición o reemplazo de sus Subprocesadores por correo electrónico u otros métodos de contacto y pondrá a disposición esa lista a pedido del Cliente. Digital Decent LLC proporcionará al Cliente al menos 30 días para oponerse a la adición o reemplazo de Subprocesadores en relación con el desempeño de Digital Decent LLC en virtud del Acuerdo, calculado a partir de la fecha en que Digital Decent LLC notifique al Cliente. Si el Cliente se opone razonablemente a la adición o reemplazo del Subprocesador de Digital Decent LLC, Digital Decent LLC dejará de usar inmediatamente ese Subprocesador en relación con los Servicios de Digital Decent LLC en virtud del Acuerdo, y las partes entablarán negociaciones de buena fe para resolver el asunto. Si las partes no pueden resolver el asunto dentro de los 15 días posteriores a la objeción razonable del Cliente (plazo que las partes pueden extender mediante un acuerdo por escrito), el Cliente puede rescindir el Acuerdo y/o cualquier declaración de trabajo, orden de compra u otros acuerdos por escrito. Las partes acuerdan que Digital Decent LLC tiene la discreción exclusiva de determinar si la objeción del Cliente es razonable; sin embargo, las partes acuerdan que la objeción del Cliente es presuntamente razonable si el Subprocesador es un competidor del Cliente y el Cliente tiene motivos para creer que el competidor podría obtener una ventaja competitiva de los Datos personales que Digital Decent LLC le revela, o si el Cliente anticipa que Digital Decent El uso del Subprocesador por parte de LLC sería contrario a la ley aplicable al Cliente.
7.4.4 Responsabilidad de los Subprocesadores. Digital Decent LLC será responsable de los actos u omisiones de sus Subprocesadores en la misma medida en que Digital Decent LLC sería responsable si prestara los servicios del Subprocesador directamente bajo el DPA, excepto que se establezca lo contrario en el Acuerdo.
7.5 Violación de datos personales. Digital Decent LLC notificará al Cliente sin demora indebida sobre una Violación de datos personales que afecte los Procesos de Datos personales de Digital Decent LLC en relación con los Servicios. Bajo previa solicitud, Digital Decent LLC proporcionará información al Cliente sobre la Violación de datos personales en la medida necesaria para que el Cliente cumpla con las obligaciones que tiene de investigar o notificar a las autoridades, excepto que Digital Decent LLC se reserva el derecho de redactar información confidencial o competitiva y/o sensible. Las notificaciones se enviarán a la dirección de correo electrónico que el Cliente proporcione en la cuenta del Cliente. Los clientes aceptan que la notificación por correo electrónico de una violación de datos personales es suficiente. Digital Decent LLC acepta que notificará al Cliente si cambia su información de contacto. El Cliente acepta que Digital Decent LLC no puede notificar al Cliente sobre eventos relacionados con la seguridad que no resulten en una Violación de datos personales.
7.6 Eliminación y devolución de datos personales. Tras la desactivación de los Servicios, se eliminarán todos los Datos personales, excepto que este requisito no se aplicará en la medida en que la ley aplicable requiera que Digital Decent LLC conserve algunos o todos los Datos personales, o los Datos Personales que tiene archivados en sistemas de respaldo, que dicho Personal Data Digital Decent LLC aislará de forma segura y protegerá de cualquier procesamiento posterior, excepto en la medida en que lo exija la ley aplicable.
7.7 Auditorías.
7.7.1 Digital Decent LLC mantendrá registros de sus estándares de seguridad. Previa solicitud por escrito del Cliente, Digital Decent LLC proporcionará (confidencialmente) copias de las certificaciones de SGSI externas pertinentes, resúmenes de informes de auditoría y/u otra documentación razonablemente requerida por el Cliente para verificar el cumplimiento de Digital Decent LLC con este DPA. Digital Decent LLC proporcionará además respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información realizadas por el Cliente, incluidas las respuestas a los cuestionarios de auditoría y seguridad de la información, que el Cliente (actuando razonablemente) considere necesarios para confirmar el cumplimiento de Digital Decent LLC con este DPA. , siempre que el Cliente no ejerza este derecho más de una vez al año.
7.7.2 En la medida en que se apliquen las Cláusulas contractuales tipo y el Cliente argumente y establezca razonablemente que la documentación anterior y/u otros informes de auditoría de terceros no son suficientes para demostrar el cumplimiento de las obligaciones establecidas en este DPA, el Cliente puede ejecutar una auditoría como se describe en la Cláusula 8.9 de las Cláusulas contractuales tipo, siempre que, en tal caso, las partes acuerden: (a) El Cliente es responsable de todos los costos y tarifas relacionados con dicha auditoría (incluido el tiempo, el costo y los materiales gastados por Digital Decent LLC); (b) un auditor externo debe ser acordado mutuamente entre las partes para seguir los estándares de la industria y los procedimientos de auditoría apropiados; (c) dicha auditoría no debe interferir injustificadamente con las actividades comerciales de Digital Decent LLC y debe ser razonable en tiempo y alcance; y (d) las partes deben acordar un plan de auditoría específico antes de dicha auditoría, que debe ser negociado de buena fe entre las partes. Para evitar dudas, nada en esta Sección 7.7.2 modifica o varía las Cláusulas contractuales estándar y, en la medida en que una autoridad competente determine lo contrario, o cualquier parte de la Sección 7.7.2 esté prohibida, inaplicable o inapropiada en vista de las Cláusulas contractuales estándar. Cláusulas, la parte correspondiente se separará y las demás disposiciones del presente no se verán afectadas.
Si tiene preguntas sobre este Acuerdo de procesamiento de datos, comuníquese con Digital Decent LLC enviando un correo electrónico a [email protected]. Hablamos inglés, español y rumano.
1021 E Lincolnway Suite #5753,
Cheyenne, Wyoming 82001
Estados Unidos.
