Acuerdo de procesamiento de datos
Fecha de entrada en vigor: 25.04.2022
Este Acuerdo de Procesamiento de Datos (“APD” o «Acuerdo«) forma parte del acuerdo entre Cliente y ECOMZ HOLDING LIMITED, una empresa debidamente constituida de conformidad con las leyes de Chipre, con el número de registro mercantil 309897 y con domicilio social en Georgiou Karyou, 6B, office / flat 6B, Dasoupoli, Strovolos, 2014 (en adelante -“Selzy” o “la Compañía”) para reflejar el acuerdo de las partes para la prestación de los Servicios (con modificaciones periódicas) y el procesamiento de los Datos Personales del Cliente de acuerdo con los requisitos de las Leyes de Protección de Datos.
Este Acuerdo de Procesamiento de Datos entrará en vigor a partir de la Fecha de Entrada en Vigor.
Si acepta este Acuerdo de Procesamiento de Datos en nombre del Cliente, garantiza que: (a) tiene plena autoridad legal para vincular al Cliente con este Acuerdo de Procesamiento de Datos; (b) ha leído y comprendido este Acuerdo de Procesamiento de Datos; y (c) acepta, en nombre del Cliente, este Acuerdo de Procesamiento de Datos. Si no tiene la autoridad legal para vincular al Cliente, no acepte este Acuerdo de Procesamiento de Datos.
ALCANCE DEL APD
Este APD solo se aplicará en la medida en que las Leyes de Protección de Datos se apliquen al procesamiento de los Datos Personales del Cliente, incluso si:
- el procesamiento se realiza en el contexto de las actividades relacionadas con los Clientes registrados a través de los dominios selzy.com, cp.selzy.com o unione.io. Póngase en contacto con nuestro servicio de soporte para obtener más información sobre los cambios de ubicación del procesamiento de datos.
- el procesamiento se realiza en el contexto de las actividades de un establecimiento del Cliente en el EEE; y/o
- El Cliente ofrece servicios a interesados que se encuentran en el EEE.
Si la entidad del Cliente que firma este APD es parte de los Términos de Servicio de Selzy, este APD es un apéndice y forma parte de los Términos de Servicio.
Este APD no reemplazará ningún acuerdo previamente aplicable relacionado con su objeto (incluida cualquier enmienda de procesamiento de datos o anexo de procesamiento de datos relacionado con los Servicios).
Si existe algún conflicto o inconsistencia entre los términos de este APD y los Términos de Servicio (https://www.selzy.com/es/terms/) prevalecerán los términos y condiciones establecidos en este APD. Sin perjuicio de las modificaciones introducidas en el presente APD, los Términos de Servicio seguirán en pleno vigor y efecto.
CÓMO EJECUTAR ESTE APD:
- Este APD ha sido firmado previamente en nombre de Selzy.
- Para completar este APD, el Cliente tiene que:
(a) Completar la información en el cuadro de firma y firmar en la página 8, y
(b) Envíar el APD firmado a Selzy por correo electrónico a [email protected] indicando, en su caso, el DNI del Cliente (tal y como se establece en el Formulario de Pedido o factura aplicable).
Al recibir el APD válidamente completado por Selzy en esta dirección de correo electrónico, este APD se volverá legalmente vinculante.
LAS PARTES ACUERDAN MUTUAMENTE LO SIGUIENTE:
1. INTRODUCCIÓN
Este APD refleja el acuerdo de las partes sobre los términos que rigen el procesamiento y la seguridad de los Datos Personales del Cliente en relación con las Leyes de Protección de Datos.
1.1 DEFINICIONES E INTERPRETACIÓN
“Afiliados” significa cualquier entidad que esté controlada por, controle o tenga un control común con Selzy.
“Selzy” significa ECOMZ HOLDING LIMITED y sus Afiliados involucrados en el Tratamiento de Datos Personales.
“Datos Personales del Cliente” significa datos personales que Selzy procesa en nombre del Cliente como parte de la prestación de los Servicios por parte de Selzy.
“Incidente de Datos” significa una violación de la seguridad de Selzy que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales del Cliente en los sistemas administrados o controlados de otro modo por Selzy. Los «Incidentes de Datos» no incluirán intentos fallidos o actividades que no comprometan la seguridad de los Datos Personales del Cliente, incluidos intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red a firewalls o sistemas en red.
“Leyes de Protección de Datos” significa, según corresponda: (a) el RGPD; y/o (b) la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza).
“Fecha de Entrada en Vifor” significa, según corresponda:
La fecha en que el Cliente proporcionó a Selzy el APD debidamente firmado, como se indica en la sección «CÓMO EJECUTAR ESTE APD» anteriormente.
“RGPD” significa Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.
“Dirección de Correo Electrónico de Notificación” se refiere a la dirección de correo electrónico (si corresponde) designada por el Cliente, a través de la interfaz de usuario de los Servicios u otros medios proporcionados por Selzy, para recibir ciertas notificaciones de Selzy relacionadas con este APD.
“Datos Personales” significa cualquier información relacionada con una persona física identificada o identificable («sujeto de los datos»); una persona identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social.
“Tratamiento de Datos Personales” significa cualquier operación o conjunto de operaciones que se realicen con Datos Personales, ya sea por medios automáticos o no, como recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, bloqueo, borrado o destrucción («Proceso», «Procesos» y «Procesado» tendrán el mismo significado).
“Medidas de Seguridad” significa medidas para proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, la alternancia, la divulgación o el acceso no autorizados y contra todas las demás formas ilegales de procesamiento como se describe en el documento (o la parte aplicable que dependa de los Servicios que el Cliente compre a Selzy), según se actualice de vez en cuando, y se describe en el Apéndice 2 de este APD.
“Servicios” significa la provisión de una licencia para usar el software Selzy o UniOne, así como servicios de mantenimiento y soporte, consultoría o servicios profesionales y la provisión de software como servicio o cualquier otro servicio proporcionado en virtud del Acuerdo en el que Selzy Procesa Datos Personales del Cliente.
“Subprocesadores” significa terceros autorizados por Selzy para tener acceso lógico y procesar los Datos Personales del Cliente con el fin de proporcionar partes de los Servicios y cualquier soporte técnico relacionado.
“Plazo” significa el período desde la Fecha de Entrada en Vigor hasta el final de la prestación Selzy de los Servicios al Cliente en virtud del Acuerdo.
Los términos “Controlador de Datos”, “Sujeto de Datos”, “Datos Personales”, “Procesamiento”, “Procesador de Datos” y “Autoridad Supervisora” tal como se usa en este APD, tiene los significados dados en el RGPD.
2. TRATAMIENTO DE DATOS PERSONALES
2.1 Roles y Cumplimiento Normativo; Autorización.
2.1.1 Responsabilidades del Procesador y del Controlador.
Las partes reconocen y aceptan que:
- El apéndice 1 de las Cláusulas Contractuales Estándar describe el tema y los detalles del procesamiento de los Datos Personales del Cliente;
- Selzy es un procesador de Datos Personales del Cliente bajo las Leyes de Protección de Datos;
- El Cliente es un controlador o procesador, según corresponda, de los Datos Personales del Cliente en virtud de las Leyes de Protección de Datos; y
- cada parte cumplirá con las obligaciones que le correspondan en virtud de las Leyes de Protección de Datos con respecto al procesamiento de los Datos Personales del Cliente;
- El Cliente, al utilizar o recibir los Servicios, Procesará los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos y el Cliente se asegurará de que sus instrucciones para el Procesamiento de Datos Personales cumplan con las Leyes de Protección de Datos.
- El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que adquirió los Datos Personales.
2.2 Autorización por parte de un Tercero Controlador.
Si el Cliente es un procesador, el Cliente garantiza a Selzy que las instrucciones y acciones del Cliente con respecto a los Datos Personales del Cliente, incluido el nombramiento de Selzy como otro procesador, han sido autorizadas por el controlador correspondiente.
2.3 Las partes acuerdan que, con respecto al Procesamiento de Datos Personales, Selzy o sus Afiliados contratarán Subprocesadores de conformidad con los requisitos establecidos en la Sección 7 «Subprocesadores» a continuación.
2.4 Al celebrar este Acuerdo de Procesamiento de Datos, el Cliente instruye a Selzy a procesar los Datos Personales del Cliente solo de acuerdo con la ley aplicable: (a) para proporcionar los Servicios y cualquier soporte técnico relacionado; (b) como se especifica más detalladamente a través del uso de los Servicios por parte del Cliente (incluso en la configuración y otras funcionalidades de los Servicios) y cualquier soporte técnico relacionado; (c) como se documenta en este Acuerdo de Procesamiento de Datos; y (d) como se documenta más detalladamente en cualquier otra instrucción escrita dada por el Cliente y reconocida por Selzy como instrucciones constitutivas a los efectos de este Acuerdo de Procesamiento de Datos.
2.5 Supresión al vencimiento del plazo.
Al vencimiento del Plazo, el Cliente le indica a Selzy que elimine todos los Datos Personales del Cliente (incluidas las copias existentes) de los sistemas Selzy de acuerdo con la ley aplicable. Selzy cumplirá con estas instrucciones tan pronto como sea razonablemente posible y en un plazo máximo de 30 días, a menos que la legislación de los Estados Unidos, la UE o los estados miembros de la UE exija su almacenamiento.
2.6 Eliminación y archivo de la cuenta. El período general de retención de Datos Personales es de 30 días, excepto para los datos generales de entrega y estadísticas abiertas, que se almacenan durante al menos 180 días a partir de la fecha de envío. Selzy se reserva el derecho de eliminar o archivar cualquier cuenta inactiva (y los Datos Personales asociados del Cliente), es decir, una cuenta que no haya enviado ningún correo electrónico durante un período superior a 12 meses.
3. DERECHOS DE LOS INTERESADOS
3.1 Si el Cliente, en su uso o recepción de los Servicios, no tiene la capacidad de corregir, modificar, bloquear o eliminar Datos Personales, según lo exigen las Leyes de Protección de Datos, Selzy (teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Cliente y, si corresponde, el Artículo 11 del RGPD) ayudará al Cliente a cumplir con cualquier obligación del Cliente de responder a las solicitudes de los interesados, incluida (si corresponde) la obligación del Cliente de responder a las solicitudes para ejercer los derechos del interesado establecidos en el Capítulo III del RGPD, al proporcionar la funcionalidad de los Servicios;
3.2 Selzy, en la medida en que lo permita la ley, notificará de inmediato al Cliente si recibe una solicitud de un Interesado para acceder, corregir, enmendar, restringir, eliminar o ejercer cualquier otro derecho en virtud del RGPD de los Datos Personales de esa persona. Selzy no responderá a ninguna solicitud del Sujeto de Datos sin el consentimiento previo por escrito del Cliente, excepto para confirmar que la solicitud se relaciona con el Cliente. Selzy brindará al Cliente cooperación y asistencia en relación con el manejo de la solicitud de acceso de un Sujeto de Dstos a los Datos Personales de esa persona o el ejercicio de cualquier otro derecho en virtud del RGPD, en la medida en que lo permita la ley y en la medida en que el Cliente no tenga acceso a dichos Datos Personales a través de su uso o recepción de los Servicios.
4. PERSONAL
4.1 Selzy se asegurará de que su personal y contratistas involucrados en el Procesamiento de Datos Personales estén informados de la naturaleza confidencial de los Datos Personales, hayan recibido la capacitación adecuada sobre sus responsabilidades y estén sujetos a obligaciones de confidencialidad como se describe en el Apéndice 2 de este APD y dichas obligaciones sobrevivan a la terminación del compromiso de esas personas con Selzy.
5. SEGURIDAD DE DATOS
5.1 Selzy mantendrá salvaguardas administrativas, físicas y técnicas para la protección de la seguridad, confidencialidad e integridad de los Datos Personales, dichas medidas se describen en el Apéndice 2 de este APD.
5.2 Medidas de Seguridad. de Selzy Selzy implementará y mantendrá medidas técnicas, físicas y organizativas para proteger la confidencialidad e integridad de los Datos Personales del Cliente contra la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso según se describe en el Apéndice 2 de este APD (“Medidas de Seguridad”). Como se describe en el Apéndice 2 de este APD, las Medidas de Seguridad incluyen medidas: (a) para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de Selzy; (b) para restablecer el acceso oportuno a los datos personales después de un incidente; y (c) para la comprobación periódica de la eficacia. Selzy puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad general de los Servicios.
5.3 Cumplimiento de la Seguridad por parte del Personal de Selzy. Selzy tomará las medidas adecuadas para garantizar el cumplimiento de las Medidas de Seguridad por parte de sus empleados, contratistas y Subprocesadores en la medida aplicable a su alcance de desempeño, incluida la garantía de que todas las personas autorizadas a procesar los Datos Personales del Cliente se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad como se describe en el Apéndice 2 de este APD.
5.4 Asistencia de Seguridad de Selzy. El Cliente acepta que Selzy lo ayudará a garantizar el cumplimiento de cualquier obligación del Cliente con respecto a la seguridad de los datos personales y las infracciones de los datos personales, incluidas (si corresponde) las obligaciones del Cliente de conformidad con los artículos 32 a 34 (inclusive) del RGPD, mediante:
- implementar y mantener las Medidas de Seguridad de acuerdo con el Apéndice 2 de este APD; y
- cumplir con los términos del Apartado 7 (Incidentes de Datos).
6. SUBPROCESADORES
6.1 Consentimiento para la participación del subprocesador. El Cliente autoriza expresamente que Selzy contrate a varios subprocesadores externos en relación con la prestación del Servicio, también accesible en la Política de Privacidad de Selzy.
Selzy ha celebrado un acuerdo con cada Subprocesador que contiene obligaciones de protección de datos con un grado de protección no inferior al del presente APD con respecto a la protección de los Datos del Cliente en la medida aplicable a la naturaleza de los Servicios prestados por dicho Subprocesador.
6.2 Lista de Subprocesadores Actuales y Notificación de Nuevos Subprocesadores. Selzy pone a disposición del Cliente la lista actual de Subprocesadores. Dicha lista de Subprocesadores incluye las identidades de esos Subprocesadores, disponibles para el Cliente en el Sitio Web de Selzy, también accesible en la Política de Privacidad de Selzy. Selzy no tiene obligación de notificar al Cliente la contratación de nuevos Subprocesadores y confía en la capacidad del Cliente para comprobar las actualizaciones de la Política de Privacidad de Selzy.
6.3 Requisitos para la contratación del Subprocesador. Al contratar a cualquier Subprocesador, Selzy se asegurará mediante un contrato de que:
- el Subprocesador solo accede y utiliza los Datos Personales del Cliente en la medida necesaria para cumplir con las obligaciones subcontratadas, y lo hace de conformidad con el Acuerdo (incluido este APD); y
- si el RGPD se aplica al procesamiento de Datos Personales del Cliente, se imponen al Subprocesador las obligaciones de protección de datos establecidas en el artículo 28(3) del RGPD.
6.4 Derecho de oposición para nuevos Subprocesadores.
El Cliente puede oponerse a cualquier nuevo Subprocesador notificándolo a Selzy por escrito. En caso de que el Cliente se oponga a un nuevo Subprocesador, Selzy pondrá todos los medios razonables a su alcance para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio que resulte comercialmente razonable en la configuración o el uso de los Servicios por parte del Cliente para evitar el Procesamiento de Datos Personales por parte del nuevo Subprocesador objetado sin que ello suponga una carga excesiva para el Cliente. Si Selzy no puede poner a disposición dicho cambio dentro de un período de tiempo razonable, que no excederá de treinta (30) días, el Cliente puede rescindir el Pedido aplicable solo con respecto a aquellos Servicios que Selzy no pueda proporcionar sin el uso del nuevo Subprocesador objetado mediante notificación por escrito a Selzy.
7. INCIDENTES DE DATOS
7.1 Notificación de Incidentes. Si Selzy tiene conocimiento de un Incidente de Datos, Selzy: (a) notificará al Cliente el Incidente de Datos de inmediato y a la mayor brevedad (Dentro de las 72 horas de tener conocimiento del incidente); y (b) tomará de inmediato las medidas razonables para minimizar el daño y proteger los Datos Personales del Cliente.
7.2 Detalles del Incidente de Datos. En la medida de lo posible, en las notificaciones se describirán los detalles de la Brecha de Datos, incluidas las medidas adoptadas para mitigar los riesgos potenciales y las medidas que Selzy recomienda al Cliente que adopte para hacer frente al Incidente de Datos.
7.3 Entrega de la Notificación. Selzy enviará su notificación de cualquier Incidente de Datos a la Dirección de Correo Electrónico de Notificación o, a discreción de Selzy (incluso si el Cliente no ha proporcionado una Dirección de Correo Electrónico de Notificación), mediante otra comunicación directa (por ejemplo, mediante una llamada telefónica o una reunión en persona). El Cliente es el único responsable de proporcionar la Dirección de Correo Electrónico de Notificación y de garantizar que la Dirección de Correo Electrónico de Notificación sea actual y válida.
7.4 Notificaciones de Terceros. El Cliente es el único responsable de cumplir con las leyes de notificación de incumplimiento aplicables al Cliente y de cumplir con las obligaciones de notificación de terceros relacionadas con cualquier Incidente de Datos.
8. INSPECCIONES DE CUMPLIMIENTO
8.1 Para demostrar el cumplimiento por parte de Selzy de sus obligaciones en virtud de este APD, y a solicitud del Cliente, Selzy proporcionará información más detallada sobre las medidas de seguridad descritas en el Apéndice 2 de este APD.
8.2 A solicitud del Cliente, y sujeto a las obligaciones de confidencialidad establecidas en este APD, Selzy pondrá a disposición del Cliente que no sea competidor de Selzy (o del auditor externo independiente del Cliente que no sea competidor de Selzy) información sobre el cumplimiento de Selzy con las obligaciones establecidas en este APD y las medidas de seguridad como se describe en el Apéndice 2 de este APD.
9. EVALUACIÓN DE IMPACTO DE LA PROTECCIÓN DE DATOS
A solicitud del Cliente, Selzy ayudará al Cliente a garantizar el cumplimiento de cualquier obligación del Cliente con respecto a las evaluaciones de impacto de la protección de datos y la consulta previa, incluidas (si corresponde) las obligaciones del Cliente de conformidad con los artículos 35 y 36 del RGPD, en la medida en que el Cliente no tenga acceso a la información pertinente, y en la medida en que Selzy disponga de dicha información. Selzy proporcionará asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad Supervisora en el desempeño de sus tareas.
10. TRANSFERENCIAS DE DATOS
10.1 En la mayoría de los casos, los Datos del Cliente son procesados por ECOMZ HOLDING LIMITED registrada en la República de Chipre dentro del Espacio Económico de la Unión Europea y alojada dentro de la Unión Europea en Alemania o Letonia por Amazon Web Services o centros de datos TET (Lattelecom), que cumplen plenamente con RGPD.
10.2 Transferencias internacionales. Selzy puede procesar los Datos Personales del Cliente en los Estados Unidos o la Federación Rusa sujetos a las garantías adecuadas en virtud del artículo 46 del RGPD (consulte la cláusula 10.3).
10.3 Cuando el Cliente se encuentre en los Estados Unidos, Selzy puede alojar los Datos Personales del Cliente en los Estados Unidos mediante Amazon Web Services en centros de datos, que cumplen plenamente con el RGPD. Cuando el Cliente se encuentre en la Federación Rusa, Selzy puede transferir los Datos Personales del Cliente para su procesamiento al centro de datos seguro en la Federación Rusa. Las actividades de procesamiento de datos en la Federación Rusa están protegidas por las garantías adecuadas en virtud del artículo 46 del RGPD, específicamente por las cláusulas estándar de protección de datos adoptadas por la Comisión Europea de acuerdo con el procedimiento de examen. Para las transferencias de datos de controladores en la UE a procesadores establecidos fuera de la UE, las medidas de seguridad se describen en el apéndice 2 de este APD. La Comisión Europea decidió que las cláusulas contractuales estándar ofrecen garantías suficientes sobre la protección de datos para que los datos se transfieran internacionalmente. Tiene derecho a solicitar información sobre esas garantías contractuales (comuníquese con nuestro Responsable de Protección de Datos).
11. VIGENCIA DE ESTE APD
11.1 Este APD entrará en vigencia en la Fecha de Entrada en Vigor y, sin perjuicio de la expiración del Plazo, permanecerá vigente hasta, y expirará automáticamente al eliminar todos los Datos Personales del Cliente por parte de Selzy, como se describe en este APD.
12. LEY APLICABLE
12.1 Este APD (incluidos los asuntos y obligaciones extracontractuales que surjan del mismo o estén asociados con él) se regirá e interpretará de conformidad con las leyes de la República de Chipre.
12.2 Cualquier disputa, controversia, procedimiento o reclamo entre las Partes relacionado con este Acuerdo (incluidos los asuntos y obligaciones extracontractuales que surjan del mismo o estén asociados con él) se someterá a la jurisdicción de los tribunales de la República de Chipre.
12.3 Para las transferencias de datos fuera del EEE enumeradas en la cláusula 10.3 protegidas por las garantías adecuadas en virtud del artículo 46 del RGPD, específicamente por las cláusulas estándar de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen de los controladores en la UE a los procesadores establecidos fuera de la UE y los Clientes cuando el procesamiento se realiza en el contexto de las actividades de un establecimiento de países del EEE distintos de la República de Chipre y/o Clientes que ofrecen servicios a interesados que se encuentran en países del EEE distintos de la República de Chipre, la autoridad supervisora principal es la República de Chipre en virtud del artículo 56 del RGPD.
La autoridad de supervisión de la República de Chipre dentro del EEE es competente para actuar como autoridad de supervisión principal para el procesamiento transfronterizo llevado a cabo por ese procesador de conformidad con el procedimiento previsto en el artículo 60 del RGPD en virtud de este APD.
13. CAMBIOS A ESTE APD
13.1 Selzy puede cambiar este APD si el cambio:
- está expresamente permitido por este APD;
- refleja un cambio en el nombre o la forma de una entidad legal;
- está obligado a cumplir con la ley aplicable, la regulación aplicable, una orden judicial u orientación emitida por un regulador o agencia gubernamental; o
- no: (i) da como resultado una degradación de la seguridad general de los Servicios; (ii) amplía el alcance de Selzy o elimina cualquier restricción sobre el procesamiento de los Datos Personales del Cliente por parte de Selzy; y (iii) de lo contrario tiene un impacto material adverso en los derechos del Cliente en virtud de este APD, según lo determine razonablemente Selzy.
13.2 Notificación de cambios. Si Selzy tiene la intención de cambiar este APD, Selzy informará al Cliente al menos 30 días (o el período más corto que sea necesario para cumplir con la ley aplicable, la regulación aplicable, una orden judicial u orientación emitida por un regulador o agencia gubernamental) antes de que el cambio entre en vigencia: (a) enviando un correo electrónico a la Dirección de Correo Electrónico de Notificación; o (b) notificando al Cliente a través de la interfaz de usuario de los Servicios. Si el Cliente se opone a dicho cambio, el Cliente puede rescindir el Acuerdo notificando por escrito a Selzy dentro de los 30 días posteriores a haber sido informado por Selzy del cambio.
Apéndice 1
OBJETO Y DETALLES DEL PROCESAMIENTO DE DATOS
1. Naturaleza y Finalidad del Tratamiento
Selzy procesará los Datos Personales del Cliente según sea necesario para proporcionar los Servicios de conformidad con el Acuerdo, según las instrucciones adicionales del Cliente en su uso de los Servicios.
2. Duración del Tratamiento
Sujeto a la Sección 11 del APD, Selzy procesará los Datos Personales durante la vigencia del Acuerdo, a menos que se acuerde lo contrario por escrito.
3. Categorías de Sujetos de Datos
El Cliente puede enviar Datos Personales a los Servicios, cuya extensión es determinada y controlada por el Cliente a su exclusivo criterio, y que puede incluir, entre otros, Datos Personales relacionados con las siguientes categorías de interesados:
- Clientes potenciales, clientes, socios comerciales y proveedores de Clientes (que son personas físicas)
- Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores de los clientes
- Empleados, agentes, asesores, freelancers del Cliente (que son personas físicas)
- Usuarios del Cliente autorizados por el Cliente para utilizar los Servicios
4. Tipos de Datos Personales
El Cliente puede enviar Datos Personales a los Servicios, cuya extensión es determinada y controlada por el Cliente a su exclusivo criterio, y que puede incluir, entre otras, las siguientes categorías de Datos Personales:
- Nombre y apellido
- Título
- País
- Correo electrónico
- Número de teléfono
- Dirección postal
- Cargo
- Empleador
- Información de contacto (empresa, correo electrónico, teléfono, dirección comercial física)
- Datos de identificación
- Dirección(es) IP y nombre de dominio
- Datos de localización
5. Categorías especiales de datos (si corresponde):
no procede
6. Operaciones de procesamiento
Los datos personales serán objeto de las siguientes actividades básicas de tratamiento (indicar):
- Servicios de TI, digitales, tecnológicos o de telecomunicaciones, incluido el suministro de productos o servicios tecnológicos, servicios de telecomunicaciones y de red, servicios digitales, alojamiento, servicios en la nube y de soporte o licencias de software. Incluyendo, pero no limitado a:
- Recopilar, registrar, organizar, estructurar, almacenar, recuperar, usar, divulgar, borrar y destruir) Los Datos Personales del Cliente con el fin de proporcionar los Servicios y cualquier soporte técnico relacionado al Cliente de acuerdo con este Acuerdo de Procesamiento de Datos. Los servicios incluyen lo siguiente: Servicio SaaS de Marketing por correo electrónico/SMS/Viber, Servicio de Correos Electrónicos Transaccionales, Servicios de Marketing por Correo Electrónico, etc.
Apéndice 2
MEDIDAS DE SEGURIDAD
Selzy implementará y mantendrá las Medidas de Seguridad establecidas en este Apéndice 2. Selzy puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad general de los Servicios.
1. PRINCIPIOS CLAVE DE LA PROTECCIÓN DE DATOS DE SELZY
1.1 Todos los Sistemas Informáticos de Selzy están protegidos contra el acceso no autorizado.
1.2 Todos los Sistemas Informáticos de Selzy se utilizan solo de acuerdo con las Políticas relevantes de la Compañía.
1.3 Todos los empleados de Selzy y cualquier tercero autorizado a utilizar los Sistemas Informáticos, incluidos, entre otros, los subprocesadores, deben asegurarse de estar familiarizados con estas Políticas y deben adherirse a ellas y cumplirlas en todo momento.
1.4 Todos los superiores jerárquicos garantizan que todos los empleados y subprocesadores bajo su control y dirección se adhieren y cumplen con esta Política en todo momento, tal y como se exige en el apartado 2.3.
1.5 Todos los datos almacenados en los Sistemas Informáticos se gestionan de forma segura de conformidad con todas las partes pertinentes del Reglamento General de Protección de Datos de la UE 2016/679 («RGPD») y todas las demás leyes que rigen la protección de datos, ya sean vigentes ahora o en el futuro.
1.6 Todos los datos almacenados en los Sistemas Informáticos se clasifican adecuadamente. Todos los datos clasificados de esta manera se manejan adecuadamente de acuerdo con su clasificación.
1.7 Todos los datos almacenados en los Sistemas Informáticos están disponibles únicamente para aquellos Usuarios que tengan una necesidad legítima de acceso.
1.8 Todos los datos almacenados en los sistemas informáticos están protegidos contra el acceso y el procesamiento no autorizados.
1.9 Todos los datos almacenados en los Sistemas Informáticos están protegidos contra pérdidas y daños.
1.10 Todas las violaciones de seguridad relacionadas con los Sistemas Informáticos o cualquier dato almacenado en ellos son denunciadas y posteriormente investigadas por el Departamento de TI.
2. MEDIDAS DE SEGURIDAD DEL SOFTWARE
2.1 Todo el software en uso en los Sistemas Informáticos (incluidos, entre otros, los sistemas operativos, las aplicaciones de software individuales y el firmware) se mantiene actualizado y se aplican todas y cada una de las actualizaciones de software, parches, correcciones y otras versiones intermedias relevantes.
2.2 Cuando se identifique cualquier falla de seguridad en cualquier software, esa falla se solucionará de inmediato o el software podrá retirarse de los Sistemas Informáticos hasta el momento en que la falla de seguridad pueda remediarse de manera efectiva.
2.3 Ningún empleado de Selzy puede instalar ningún software propio, ya sea que ese software se suministre en medios físicos o se descargue, sin la aprobación del Gerente de TI. Cualquier software debe ser aprobado por el Gerente de TI y solo puede instalarse cuando esa instalación no represente un riesgo para la seguridad de los Sistemas Informáticos y cuando la instalación no infrinja ningún acuerdo de licencia al que pueda estar sujeto ese software.
3. MEDIDAS DE SEGURIDAD ANTIVIRUS
3.1 Los Sistemas Informáticos de Selzy (incluidas todas las computadoras y servidores) están protegidos con antivirus, firewall y otro software de seguridad de Internet adecuado. Todo este software se mantiene actualizado con las últimas actualizaciones y definiciones de software.
3.2 Todos los sistemas Informáticos Selzy protegidos por software antivirus están sujetos a un análisis completo del sistema al menos una vez a la semana.
3.3 Todos los soportes físicos (por ejemplo, memorias USB o discos de cualquier tipo) utilizados por los empleados para transferir archivos deben someterse a un análisis antivirus antes de que se puedan transferir archivos. Dichos análisis de virus son realizados por el Gerente de Personal de TI .
3.4 Los empleados de Selzy pueden transferir archivos utilizando sistemas de almacenamiento en la nube solo con la aprobación del Gerente de TI. Todos los archivos descargados de cualquier sistema de almacenamiento en la nube se analizan en busca de virus durante el proceso de descarga.
3.5 Cualquier archivo que se envíe a terceros fuera de la Compañía, ya sea por correo electrónico, en medios físicos o por otros medios (por ejemplo, almacenamiento compartido en la nube) se analiza en busca de virus antes de enviarlo o como parte del proceso de envío.
4. MEDIDAS DE SEGURIDAD DEL HARDWARE
4.1 Los sistemas informáticos locales de Selzy están ubicados en salas que están cerradas de forma segura (con acceso a usuarios autorizados mediante una tarjeta inteligente).
4.2 Todos los Sistemas Informáticos locales que no estén destinados al uso normal de los Usuarios (incluidos, entre otros, servidores, equipos de red e infraestructura de red) están ubicados en salas seguras con clima controlado en locales cerrados a los que solo pueden acceder los miembros designados del Departamento de TI.
4.3 Todos los dispositivos móviles (incluidos, entre otros, computadoras portátiles, tabletas y teléfonos inteligentes) proporcionados por la Compañía siempre se transportan de forma segura y se manejan con cuidado.
5. SEGURIDAD DE ACCESO
5.1 Los privilegios de acceso para todos los Sistemas Informáticos se determinan en función de los niveles de autoridad de los empleados dentro de la estructura organizativa de la Compañía Selzy y los requisitos de sus funciones laborales. A los empleados no se les otorga acceso a ningún sistema de TI o datos electrónicos que no sean razonablemente necesarios para el desempeño de sus funciones laborales.
5.2 Todos los Sistemas Informáticos (y en particular los dispositivos móviles, incluidos, entre otros, computadoras portátiles, tabletas y teléfonos inteligentes) están protegidos con una contraseña o código de acceso seguro, o cualquier otra forma de sistema de inicio de sesión seguro que el Departamento de TI considere apropiado y apruebe.
5.3 Todas las contraseñas están protegidas por las siguientes medidas de seguridad:
- Tienen al menos 8 caracteres de longitud;
- Contienen una combinación de letras mayúsculas y minúsculas, números, símbolos;
- Se cambian al menos cada 90 días;
- Son diferentes a la contraseña anterior;
- No es obvio o fácil de adivinar (por ejemplo, cumpleaños u otras fechas memorables, nombres memorables, eventos o lugares, etc.); y
- Creados por Usuarios individuales.
5.4 Todos los sistemas Informáticos con pantallas y dispositivos de entrada de usuario (por ejemplo, ratón, teclado, pantalla táctil, etc.) están protegidos con un protector de pantalla protegido con contraseña que se activará después de 5 minutos de inactividad.
6. SEGURIDAD DEL ALMACENAMIENTO DE DATOS
6.1 Todos los datos, y en particular los datos personales, se almacenan de forma segura mediante contraseñas.
6.2 No se almacenan datos personales en ningún dispositivo móvil (incluidos, entre otros, ordenadores portátiles, tabletas y teléfonos inteligentes), tanto si dicho dispositivo pertenece a Selzy como si no.
6.3 No se transfieren datos, y en particular datos personales, a ninguna computadora o dispositivo que pertenezca personalmente a un empleado, a menos que el empleado en cuestión sea un subprocesador que trabaje en nombre de Selzy y ese empleado haya aceptado cumplir plenamente con la Política de Protección de Datos de la Compañía y el RGPD.
7. PROTECCIÓN DE DATOS
7.1 Todos los datos personales (tal como se definen en el RGPD) recopilados, retenidos y procesados por Selzy se recopilan, retienen y procesan estrictamente de acuerdo con los principios del RGPD, las disposiciones del RGPD y la Política de Protección de Datos de la Compañía.
7.2 Todos los Usuarios que manejen datos para y en nombre de Selzy están sujetos a, y deben cumplir con las disposiciones de la Política de Protección de Datos de la Compañía en todo momento. En particular, se aplicará lo siguiente:
- Todos los correos electrónicos que contienen datos personales confidenciales o sensibles se cifran mediante el protocolo TLS SSL;
- Todos los correos electrónicos que contengan datos personales confidenciales o sensibles están marcados como «confidenciales»;
- Los datos personales confidenciales y sensibles solo pueden transmitirse a través de redes seguras; la transmisión a través de redes no seguras no está permitida bajo ninguna circunstancia;
- Todos los datos personales confidenciales y sensibles que se transfieran físicamente, incluidos los que se encuentran en medios electrónicos extraíbles, se transfieren en un contenedor adecuado marcado como «confidencial».
- Cuando se visualicen datos personales confidenciales o sensibles en la pantalla de un ordenador y el ordenador en cuestión vaya a quedar desatendido durante algún tiempo, el empleado deberá bloquear el ordenador y la pantalla antes de abandonarlo.
7.3 Cualquier pregunta relacionada con la protección de datos debe remitirse a nuestro Responsable de Protección de Datos ([email protected]).
8. CENTROS DE DATOS Y SEGURIDAD DE RED DEL PROVEEDOR DE ALOJAMIENTO
Selzy utiliza Amazon Web Services para almacenar y analizar datos, incluida la infraestructura en la nube de AWS en la región de Europa (Alemania) y la Región de Europa (Letonia).
9. DISPONIBILIDAD
AWS tiene identificados los componentes críticos del sistema necesarios para mantener la disponibilidad de nuestro sistema y recuperar el servicio en caso de interrupción. Las copias de seguridad de los componentes críticos del sistema se realizan en varias ubicaciones aisladas, conocidas como zonas de disponibilidad. Cada zona de disponibilidad está diseñada para funcionar de forma independiente con alta confiabilidad. Las zonas de disponibilidad están conectadas para permitirle crear fácilmente aplicaciones que conmutan automáticamente entre zonas de disponibilidad sin interrupción. Los sistemas altamente resilientes y, por lo tanto, la disponibilidad del servicio, son una función del diseño del sistema. Mediante el uso de zonas de disponibilidad y replicación de datos, los clientes de AWS pueden lograr objetivos de puntos de recuperación y tiempos de recuperación extremadamente cortos, así como los niveles más altos de disponibilidad del servicio.
10. MANTENIMIENTO DE INFRAESTRUCTURA
Mantenimiento de equipos. AWS monitorea y realiza mantenimiento preventivo de equipos eléctricos y mecánicos para mantener la operatividad continua de los sistemas dentro de los centros de datos de AWS. Los procedimientos de mantenimiento de los equipos son llevados a cabo por personas cualificadas y se completan de acuerdo con un programa de mantenimiento previamente documentado.
Gestión ambiental.. AWS supervisa los sistemas y equipos eléctricos y mecánicos para permitir la identificación inmediata de problemas. Esto se lleva a cabo utilizando herramientas de auditoría continuas e información proporcionada a través de nuestros Sistemas de Administración de Edificios y Monitoreo Eléctrico. El mantenimiento preventivo se realiza para mantener la operatividad continua del equipo.
11. ADMINISTRACIÓN Y RIESGO
Gestión de riesgos del centro de datos. El Centro de Operaciones de Seguridad de AWS realiza revisiones periódicas de amenazas y vulnerabilidades de los centros de datos. La evaluación continua y la mitigación de posibles vulnerabilidades se realizan a través de actividades de evaluación de riesgos del centro de datos. Esta evaluación se realiza además del proceso de evaluación de riesgos a nivel empresarial utilizado para identificar y gestionar los riesgos presentados a la empresa en su conjunto. Este proceso también tiene en cuenta los riesgos regulatorios y ambientales regionales.
Certificación de seguridad de terceros. Las pruebas de terceros de los centros de datos de AWS, como se documenta en nuestros informes de terceros, garantizan que AWS haya implementado adecuadamente las medidas de seguridad alineadas con las reglas establecidas necesarias para obtener certificaciones de seguridad. Según el programa de cumplimiento y sus requisitos, los auditores externos pueden realizar pruebas de eliminación de medios, revisar las imágenes de las cámaras de seguridad, observar las entradas y pasillos de un centro de datos, probar los dispositivos electrónicos de control de acceso y examinar el equipo del centro de datos.
Redes y Transmisión.
Transmisión de Datos. Los centros de datos Selzy están conectados a través de enlaces privados protegidos por firewalls de red de AWS para proporcionar una transferencia segura de datos. Esto está diseñado para proteger la confidencialidad, integridad y disponibilidad de la red y evitar que los datos se lean, copien, alteren o eliminen sin autorización durante la transferencia electrónica.
Respuesta a la Brecha de Datos. Selzy monitorea una variedad de canales de comunicación en busca de brechas de seguridad, y el personal de seguridad de Selzy reaccionará rápidamente a los incidentes conocidos.
Superficie de Ataque Externa. Selzy considera posibles vectores de ataque e incorpora tecnologías patentadas especialmente diseñadas apropiadas en los sistemas externos.
Tecnologías de Encriptación. Selzy utiliza cifrado HTTPS (también conocido como conexión SSL o TLS).
12. SEGURIDAD DEL SUBPROCESADOR
Antes de incorporar Subprocesadores, Selzy realiza una auditoría de las prácticas de seguridad y privacidad de los Subprocesadores para garantizar que los Subprocesadores brinden un nivel de seguridad y privacidad adecuado a su acceso a los datos y al alcance de los servicios que prestan. Una vez que Selzy haya evaluado los riesgos presentados por el Subprocesador, sujeto siempre a los requisitos establecidos en la sección 6 de la APD, se requiere que el Subprocesador celebre los términos contractuales de seguridad, confidencialidad y privacidad adecuados.