Última actualización: 9 de diciembre de 2024
El presente apéndice sobre tratamiento de datos (“DPA”), forma parte y está sujeta a las Condiciones de servicio de SocialPilot entre usted (“Cliente”) y SocialPilot Technologies, Inc. (“Proveedor”) que hagan referencia a esta DPA (la “Términos”). Las partes celebran el presente APD en nombre propio y, en la medida en que lo exijan las Leyes de Protección de Datos aplicables, en nombre y por cuenta de sus filiales, y el presente APD entrará en vigor en la fecha de entrada en vigor de las Condiciones (“Fecha de entrada en vigor”).
Todos los términos en mayúsculas no definidos en el presente APD tendrán el significado establecido en las Condiciones.
2.1 Alcance y aplicabilidad. El presente APD se aplica cuando y sólo en la medida en que el Proveedor Procese Datos Personales del Cliente en nombre del Cliente como Procesador de Datos en el curso de la prestación de Servicios de conformidad con las Condiciones. Cualquier otro Tratamiento de Datos Personales con respecto al Cliente y sus usuarios realizado por el Proveedor como Responsable del Tratamiento, incluida la administración de las relaciones comerciales y la seguridad del sistema, se llevará a cabo de conformidad con la política de privacidad vigente en ese momento del Proveedor. A pesar de la expiración o rescisión de las Condiciones, el presente APD y las Cláusulas tipo (si procede) permanecerán en vigor hasta la eliminación de todos los Datos personales del Cliente tratados por el Proveedor según lo descrito en el presente APD, y expirarán automáticamente en el momento de dicha eliminación.
3.1 Función de las Partes. Si, y en la medida en que, los Servicios prestados por el Proveedor en virtud de las Condiciones requieran que el Proveedor procese Datos Personales, entre el Proveedor y el Cliente, el Proveedor procesará los Datos Personales del Cliente únicamente como Procesador de Datos que actúa en nombre del Cliente. El Cliente es el Responsable del Tratamiento de los Datos Personales del Cliente o, en caso de que el Cliente actúe en nombre de un Tercero Responsable del Tratamiento, un Encargado del Tratamiento.
3.2 Tratamiento de datos personales por parte del Cliente. El Cliente declara y garantiza al Proveedor: (i) el Cliente cumplirá con sus obligaciones en virtud de las Leyes de Protección de Datos con respecto a su Procesamiento de Datos Personales, incluidas las obligaciones específicas de su función como Controlador de Datos; (ii) el Cliente ha proporcionado todas las notificaciones y obtenido todos los consentimientos, cesiones, licencias, autorizaciones, permisos y / o derechos necesarios en virtud de las Leyes de Protección de Datos para que el Proveedor Procese legalmente los Datos Personales según lo contemplado en estos Términos para el Propósito; y (iii) se asegurará de que sus instrucciones de Tratamiento sean lícitas, y de que el Tratamiento por parte del Proveedor de los Datos Personales del Cliente de conformidad con dichas instrucciones no infrinja ni viole las Leyes de Protección de Datos aplicables ni los derechos de propiedad intelectual, publicidad, privacidad u otros derechos que rijan dichos Datos Personales del Cliente. Si el propio Cliente es un Procesador de datos que actúa en nombre de un Controlador de datos de terceros, el Cliente también declara al Proveedor que las instrucciones y acciones del Cliente con respecto a los Datos personales del cliente, incluida la designación del Proveedor como otro Procesador de datos, han sido autorizadas por el Controlador de datos pertinente. Sin perjuicio de lo dispuesto en el presente documento o en las Condiciones, el Cliente reconoce y acepta que es el único responsable de todos los Datos Personales del Cliente que envíe a los Servicios y/o que ordene al Proveedor que envíe a los Servicios, incluidos, entre otros, los Datos Personales del Cliente que estén mal atribuidos, mal etiquetados y/o mal categorizados.
3.3 Tratamiento de los Datos personales por parte del Proveedor. El Proveedor procesará los Datos Personales del Cliente únicamente en la medida y de la forma en que sea necesario para los Fines y de conformidad con las instrucciones legales documentadas del Cliente. El Proveedor no combinará, y se asegurará de que sus Subprocesadores no lo hagan, los Datos Personales del Cliente con ningún Dato Personal de otras fuentes, o que el Proveedor o su Subprocesador haya recopilado en su propio nombre, excepto en los casos permitidos por las Leyes de Protección de Datos, y no “venderá” ningún Dato Personal del Cliente en el sentido de la CCPA o de otro modo. Además, el Proveedor cumplirá las obligaciones aplicables en virtud de la CPRA, incluido el hecho de que el Proveedor proporcionará el mismo nivel de protección de la privacidad que exige la CPRA. Las partes acuerdan que las Condiciones (incluido el presente APD) establecen las instrucciones completas y definitivas del Cliente al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente. El Tratamiento adicional fuera del ámbito de dichas instrucciones requerirá un acuerdo previo por escrito entre las partes.
3.4 Detalles del tratamiento. A continuación se describen los detalles del Tratamiento que el Proveedor proporcionará al Cliente en virtud del presente APD.
(a) Objeto. El objeto del Tratamiento en virtud de la presente DPA son los Datos Personales del Cliente.
(b) Duración. La duración del Tratamiento en virtud del presente APD será la de las Condiciones.
(c) Fines. La finalidad del Tratamiento en virtud de la presente DPA es la prestación de los Servicios al Cliente.
(d) Naturaleza del procesamiento. La naturaleza del Tratamiento en virtud de la presente DPA es la prestación de Servicios de gestión de redes sociales, incluido el cómputo, almacenamiento y tratamiento de Datos Personales, así como otros servicios acordados entre el Proveedor y el Cliente.
(e) Tipo de datos. El tipo de Datos del Cliente que se tratarán en virtud de la presente DPA incluye los Datos Personales del Cliente cargados en los Servicios a través de las cuentas del Cliente, cuyo alcance determina y controla el Cliente a su entera discreción, y que pueden incluir, entre otros, los siguientes tipos de Datos Personales: (i) Información de cuentas de redes sociales y datos de contacto (como nombre, cargo, datos de contacto, dirección, número de teléfono, identificadores de dispositivos, dirección de correo electrónico, nombre de usuario del Cliente u otros identificadores de usuario, y manejo de redes sociales); (ii) Información informática (direcciones IP, datos de uso, datos de cookies y datos de ubicación); e (iii) Información de facturación y números de tarjetas de crédito.
(f) Categorías de interesados. Los sujetos de datos del Tratamiento en virtud de la presente DPA pueden incluir, sin limitación, clientes, empleados, agentes, asesores, representantes, consultores, clientes potenciales, clientes potenciales, socios comerciales, contratistas independientes, vendedores y proveedores, así como usuarios finales autorizados por el Cliente para utilizar los Servicios.
3.5 Notificación de las obligaciones de procesamiento. Si, en cualquier momento, el Proveedor no puede cumplir sus obligaciones en virtud del presente APD: (i) el Proveedor notificará al Cliente; (ii) el Cliente podrá recuperar todos los Datos Personales del Cliente proporcionados en virtud del presente APD; y (iii) el Proveedor dispondrá adecuadamente de los Datos Personales del Cliente de conformidad con los requisitos de conservación del presente APD.
4.1 Subprocesadores autorizados. El Cliente acepta que el Proveedor pueda contratar a Subprocesadores para procesar los Datos Personales del Cliente en su nombre. El Proveedor (i) proporcionará una lista actualizada de los Subencargados del tratamiento que haya designado previa solicitud por escrito del Cliente; y (ii) notificará al Cliente si añade o elimina Subencargados del tratamiento al menos catorce (14) días antes de permitir que dicho Subencargado del tratamiento procese Datos personales del Cliente. El Cliente podrá oponerse por escrito a la designación por parte del Proveedor de un nuevo Subencargado del tratamiento en un plazo de diez (10) días naturales a partir de dicha notificación, siempre que dicha oposición se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes debatirán de buena fe dichas objeciones con vistas a alcanzar una solución. Si el Proveedor no puede proporcionar un Subencargado alternativo, o si las partes no son capaces de alcanzar una solución según lo dispuesto en la frase anterior, el Cliente, como único y exclusivo recurso, podrá rescindir los Términos (incluido el presente DPA) mediante notificación por escrito al Proveedor, pero no tendrá derecho a ningún reembolso y el Cliente deberá abonar inmediatamente todas las tasas pagaderas en virtud de los Términos.
4.2 Obligaciones del subprocesador. El Proveedor (i) celebrará un acuerdo por escrito con cada Subencargado del Tratamiento en el que se impongan condiciones de protección de datos que exijan que el Subencargado del Tratamiento trate los Datos Personales del Cliente de forma sustancialmente similar a las normas establecidas en el presente APD y, en la medida aplicable a los Servicios prestados por el Proveedor, conforme a la norma exigida por las Leyes de Protección de Datos; y (ii) seguirá siendo responsable de su cumplimiento de las obligaciones del presente APD y de cualesquiera actos u omisiones de cada Subencargado del Tratamiento.
5.1 Medidas de seguridad. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Proveedor aplicará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente frente a Incidentes de Seguridad y para preservar la seguridad y confidencialidad de los Datos Personales del Cliente Tratados por el Proveedor en nombre del Cliente (“Medidas de Seguridad”). El Cliente es responsable de revisar la información facilitada por el Proveedor en relación con la seguridad de los datos y de determinar de forma independiente si los Servicios cumplen los requisitos y las obligaciones legales del Cliente en virtud de las Leyes de Protección de Datos. El Cliente reconoce que las Medidas de seguridad están sujetas a avances y desarrollos técnicos y que el Proveedor puede actualizar o modificar las Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no supongan una degradación sustancial de la seguridad general de los Servicios o de los Datos del cliente, incluidos los Datos personales del cliente.
5.2 Medidas de seguridad por parte del Cliente. El Cliente es responsable de utilizar y configurar los Servicios de forma que le permitan cumplir las Leyes de Protección de Datos, incluida la aplicación de las medidas técnicas y organizativas adecuadas.
5.3 Confidencialidad del tratamiento. El Proveedor se asegurará de que toda persona que esté autorizada por el Proveedor a procesar Datos Personales del Cliente (incluidos su personal, agentes y subcontratistas) esté sujeta a una obligación adecuada de confidencialidad.
5.4 El Proveedor no evaluará los Datos del cliente. El Cliente reconoce que el Proveedor no evaluará el contenido de los Datos del cliente para identificar información sujeta a requisitos legales específicos. El Cliente es el único responsable de cumplir las leyes de notificación de incidentes aplicables al Cliente y de cumplir cualquier obligación de notificación a terceros relacionada con cualquier Incidente de Seguridad.
5.5 Responsabilidades del Cliente. El Cliente acepta que, sin perjuicio de las obligaciones del Proveedor en virtud de la Sección 5.1 (Medidas de seguridad) y la Sección 8.3 (Respuesta ante incidentes de seguridad):
6.1 Informes. El Proveedor reconoce que es auditado periódicamente por auditores externos independientes y/o auditores internos en relación con las Medidas de seguridad del Proveedor. Previa solicitud, el Proveedor proporcionará (de forma confidencial) al Cliente un resumen de su(s) informe(s) de auditoría vigente(s) en ese momento y cualquier otro material publicado puesto a disposición por el Proveedor, que describa con más detalle los principios, programas y prácticas del Proveedor en relación con la seguridad y privacidad de la información (colectivamente, “Informe”), de forma que el Cliente pueda verificar el cumplimiento del Proveedor con el presente DPA. No obstante lo anterior, el Cliente podrá divulgar un Informe según lo permitido en la sección de confidencialidad aplicable de las Condiciones, incluso cuando lo soliciten o exijan las autoridades de protección de datos que tengan jurisdicción sobre el Cliente, aunque no sea legalmente obligatorio (“Solicitud de la autoridad de protección de datos”), siempre que, no obstante, el Cliente, según lo permita la ley, notifique previamente por escrito al Proveedor la Solicitud de la autoridad de protección de datos para que el Proveedor pueda intentar garantizar el tratamiento confidencial del Informe. Si la ley no permite que el Cliente notifique previamente al Proveedor, el Cliente se compromete a hacer todo lo razonablemente posible para garantizar el tratamiento confidencial del Informe y, además, se compromete a no eliminar ni ocultar ninguna marca de “confidencial”, “propiedad” o similar del Informe.
6.2 Solicitudes de información. El Proveedor también proporcionará respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información realizadas por el Cliente en relación con su Procesamiento de los Datos Personales del Cliente, incluidas las respuestas a los cuestionarios de seguridad de la información y de auditoría que sean necesarias para confirmar el cumplimiento del Proveedor con el presente APD, siempre que el Cliente no ejerza este derecho más de una vez al año, salvo que este derecho también pueda ejercerse en caso de que se solicite o exija expresamente al Cliente que proporcione esta información a una autoridad de protección de datos, o el Proveedor haya experimentado un Incidente de Seguridad, u otra base razonablemente similar.
7.1 Procesamiento internacional. El Proveedor podrá procesar los Datos Personales del Cliente en cualquier lugar del mundo donde el Proveedor, sus filiales o sus Subprocesadores mantengan operaciones de Procesamiento de datos. El Proveedor proporcionará en todo momento las salvaguardas adecuadas para los Datos Personales del Cliente dondequiera que se procesen, de conformidad con los requisitos de las Leyes de Protección de Datos.
7.2 Transferencias al EEE. En la medida en que el Proveedor procese Datos Personales del Cliente protegidos por las Leyes de Protección de Datos aplicables del EEE (“Datos del EEE”), las partes acuerdan que el Proveedor pone a disposición los mecanismos de transferencia enumerados a continuación, para cualquier transferencia de Datos del EEE desde el EEE al Proveedor ubicado en un país que no garantice un nivel de protección adecuado (en el sentido de la Ley de Protección de Datos aplicable) y en la medida en que dichas transferencias estén sujetas a dichas Leyes de Protección de Datos del EEE, El Proveedor acepta cumplir y procesar los Datos del EEE de conformidad con las Cláusulas Tipo y, a estos efectos, el Proveedor acepta que es un “importador de datos” y el Cliente es el “exportador de datos” en virtud de las Cláusulas Tipo (a pesar de que el Cliente pueda ser una entidad ubicada fuera del EEE).
8.1 Eliminación por parte del Cliente. El Proveedor permitirá al Cliente eliminar sus Datos durante el Periodo de Vigencia de forma coherente con la funcionalidad del Servicio.
8.2 Eliminación en caso de rescisión. Durante los treinta (30) días siguientes a la rescisión o expiración de las Condiciones, el Cliente tendrá la opción de recuperar los Datos Personales del Cliente restantes de conformidad con las Condiciones. A partir de ese momento, el Cliente dará instrucciones al Proveedor para que elimine automáticamente todos los Datos Personales del Cliente restantes (si los hubiera) (incluidas las copias). El Proveedor no estará obligado a eliminar los Datos Personales del Cliente en la medida en que (i) la legislación aplicable o la orden de un organismo gubernamental o regulador exija al Proveedor conservar algunos o todos los Datos Personales del Cliente; y/o (ii) los Datos Personales del Cliente se hayan archivado en sistemas de copia de seguridad, cuyos Datos Personales del Cliente el Proveedor aislará y protegerá de forma segura de cualquier Procesamiento posterior, excepto en la medida en que lo exija la legislación aplicable.
8.3 Respuesta a incidentes de seguridad. Tras confirmar un incidente de seguridad, el Proveedor deberá: (i) notificar al Cliente sin demoras indebidas y, en cualquier caso, dicha notificación se producirá a más tardar setenta y dos (72) horas después de que el Proveedor tenga conocimiento del Incidente de Seguridad; (ii) proporcionar información oportuna relacionada con el Incidente de Seguridad a medida que se conozca o según lo solicite razonablemente el Cliente; y (iii) el Proveedor tomará rápidamente medidas razonables para contener, investigar y mitigar cualquier Incidente de Seguridad. La notificación o respuesta del Proveedor a una incidencia de seguridad en virtud de la presente Cláusula 8.3 (Respuesta a incidencias de seguridad) no se interpretará como un reconocimiento por parte del Proveedor de culpa o responsabilidad alguna con respecto a la incidencia de seguridad.
9.1 Cooperación. En ningún caso el presente APD o cualquiera de las partes restringirá o limitará los derechos de cualquier interesado o de cualquier autoridad supervisora competente. Si un organismo encargado de hacer cumplir la ley envía al Proveedor una solicitud de Datos Personales del Cliente (por ejemplo, una citación u orden judicial), el Proveedor intentará redirigir al organismo encargado de hacer cumplir la ley para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, el Proveedor puede proporcionar la información de contacto del Cliente a la agencia policial. Si se ve obligado a revelar Datos Personales del Cliente a un organismo encargado de hacer cumplir la ley, el Proveedor avisará al Cliente con una antelación razonable de la demanda para permitirle solicitar una orden de protección u otro recurso adecuado en la medida en que el Proveedor esté legalmente autorizado a hacerlo.
9.2 Solicitudes de acceso de los consumidores. Teniendo en cuenta la naturaleza del Procesamiento, el Proveedor deberá (a petición y expensas del Cliente) proporcionar una cooperación razonable para permitir al Cliente responder a cualquier solicitud de las autoridades de protección de datos aplicables o a una Solicitud Verificable del Consumidor para ejercer los derechos (en la medida en que estén disponibles para ellos en virtud de las Leyes de Protección de Datos) de: acceso, rectificación, limitación del Tratamiento, supresión (“derecho al olvido”), portabilidad de datos, oposición al Tratamiento, no ser objeto de decisiones individuales automatizadas, exclusión voluntaria de la venta de Datos Personales, o el derecho a no ser discriminado, en cada caso únicamente en la medida relativa al Tratamiento de los Datos Personales del Cliente a través de los Servicios en virtud de las Condiciones. En caso de que cualquier Solicitud Verificable del Consumidor se realice directamente al Proveedor cuando dicha solicitud identifique al Cliente, el Proveedor no responderá a dicha comunicación directamente sin la autorización previa del Cliente, a menos que esté obligado legalmente a hacerlo, y en su lugar, tras ser notificado por el Proveedor, el Cliente responderá a la Solicitud Verificable del Consumidor. Si el Proveedor está obligado a responder a dicha Solicitud Verificable del Consumidor, el Proveedor notificará de inmediato al Cliente y le proporcionará una copia de la Solicitud Verificable del Consumidor, a menos que esté legalmente prohibido hacerlo.
9.3 Registros. El Cliente reconoce que el Proveedor puede estar obligado en virtud del GDPR o del GDPR del Reino Unido, según corresponda, a: (a) recopilar y mantener registros de cierta información, incluido el nombre y los datos de contacto de cada Procesador de Datos y / o Controlador de Datos en cuyo nombre actúa el Proveedor y, cuando corresponda, del representante local y el oficial de protección de datos de dicho Procesador de Datos o Controlador de Datos; y (b) poner dicha información a disposición de las autoridades de supervisión. En consecuencia, si el GDPR o el GDPR del Reino Unido se aplican al Procesamiento de los Datos Personales del Cliente, el Cliente, cuando se le solicite, proporcionará dicha información al Proveedor a través de los Servicios u otros medios proporcionados por el Proveedor, y se asegurará de que toda la información proporcionada se mantenga precisa y actualizada.
9.4 DIPA. En la medida en que lo exija la Ley de Protección de Datos aplicable, el Proveedor (a petición y expensas del Cliente) proporcionará la información razonablemente solicitada en relación con los Servicios para permitir al Cliente llevar a cabo evaluaciones de impacto sobre la protección de datos o consultas previas con las autoridades de protección de datos según lo exija la ley.
10.1 Condiciones completas. Las partes acuerdan que el presente APD sustituirá y reemplazará a cualquier adenda, anexo o anexo de procesamiento de datos existente que las partes pudieran haber suscrito previamente en relación con los Servicios. Salvo por los cambios introducidos por el presente APD, las Condiciones permanecerán inalteradas y en pleno vigor y efecto. En caso de conflicto entre el presente APD y las Condiciones, prevalecerá el presente APD en la medida de dicho conflicto en relación con el Tratamiento de los Datos Personales del Cliente.
10.2 Responsabilidad. No obstante cualquier disposición en contrario de las Condiciones o del presente APD, la responsabilidad de cada una de las partes y de las filiales de cada una de las partes en virtud del presente APD estará sujeta a las limitaciones de responsabilidad establecidas en las Condiciones. Sin limitar las obligaciones de ninguna de las partes en virtud de las Condiciones, el Cliente acepta que cualquier sanción reglamentaria en la que incurra el Proveedor en relación con los Datos Personales del Cliente que surja como resultado de, o en relación con, el incumplimiento por parte del Cliente de sus obligaciones en virtud del presente APD o de cualquier Ley de Protección de Datos aplicable se tendrá en cuenta y reducirá la responsabilidad del Proveedor en virtud de las Condiciones como si fuera responsabilidad del Cliente en virtud de las Condiciones.
10.3 Ley aplicable y jurisdicción. El presente APD se regirá e interpretará de conformidad con las disposiciones sobre legislación aplicable y jurisdicción contenidas en las Condiciones, a menos que la legislación aplicable en materia de protección de datos exija lo contrario.
10.4 Certificación. El Proveedor certifica que comprende sus obligaciones en virtud del presente APD y que las cumplirá.
