Última actualización: 28 de enero de 2025
Contrato de tratamiento de datos
El presente Contrato de tratamiento de datos (“DPA”, por sus siglas en inglés) forma parte de los Términos y condiciones alojados en https://servicechannel.com/terms-and-conditions (“Contrato”) entre ServiceChannel.com, Inc. (en adelante, “ServiceChannel”) y el Contratista (según se define en el Contrato). Tanto el Cliente como ServiceChannel se denominan aquí una “parte” y conjuntamente como las “partes”.
CONSIDERANDO QUE
(i) El Contratista y ServiceChannel han celebrado el Contrato marco de servicios en virtud del cual ServiceChannel prestará al Contratista los Servicios.
(ii) ServiceChannel tratará el Contenido del Contratista (que puede contener Datos personales) en el transcurso de la prestación de los Servicios.
(iii) Las partes desean en el momento presente celebrar este DPA que rige el tratamiento por parte de ServiceChannel de dichos Datos personales contenidos en el Contenido del Contratista.
EN CONSECUENCIA, las partes acuerdan las siguientes estipulaciones:
1. Definiciones:
en este Contrato de tratamiento, los términos definidos en el Contrato tienen el mismo significado cuando se utilizan aquí. Además, los siguientes términos tendrán los siguientes significados:
(a) “Datos de administración” significa: (i) los datos de contacto y el contenido de la correspondencia con el titular principal de la cuenta o administrador de la Organización; (ii) las consultas de asistencia enviadas por los usuarios autorizados de la Organización en relación con el Servicio;
(b) “Filiales” se refiere a cualquier entidad que esté controlada, controle o esté bajo control común con ServiceChannel;
(c) “Datos anonimizados” se refiere a datos creados utilizando Datos personales del Contratista que: (i) no pueden utilizarse para inferir información sobre una persona física ni vincularse de otro modo con ella; (ii) no guardan relación, en general, con una persona física identificada o identificable;
(d) “CCPA” (California Consumer Privacy Act) se refiere a la Ley de Privacidad del Consumidor de California de 2018, apdo. 1798.100 del Código Civil de California y ss., incluidas sus normativas de implementación y la Ley de Derechos de Privacidad de California de 2020;
(e) “Fines del responsable del tratamiento” significa llevar a cabo investigación y desarrollo internos para desarrollar, probar, mejorar y alterar la funcionalidad de los productos y servicios de ServiceChannel; (b) crear Datos anonimizados para la formación o evaluación de los productos y servicios de ServiceChannel; (c) administrar la relación de ServiceChannel con el Contratista en virtud del Contrato;
(f) “Contratista” se refiere al Contratista que ha formalizado el Contrato marco de servicios;
(g) “Datos personales del Contratista” se refiere a los Datos personales contenidos en el Contenido del Contratista, como se describe con más detalle en el Anexo I de este DPA;
(h) “Leyes de protección de datos” se refiere a todas las leyes, normas, reglamentos y requisitos gubernamentales aplicables relacionados con la privacidad, confidencialidad o seguridad de los Datos personales (según se modifiquen o actualicen de otro modo de vez en cuando), incluidos, entre otros, el RGPD, el RGPD del Reino Unido y la Legislación de protección de datos de EE. UU.;
(i) “Interesado” significa: (i) una persona física con la que se relacionan los Datos personales; y (ii) una persona que sea un “interesado”, “consumidor” o cualquier término equivalente en virtud de la Legislación de protección de datos;
(j) “RGPD” significa el Reglamento (UE) 2016/679 (el “RGPD de la UE”) o, cuando proceda, el “RGPD del Reino Unido” según se define en la sección 3(10) de la Ley de protección de datos del Reino Unido de 2018;
(k) “Datos personales” se refiere a cualquier información que: (i) esté relacionada, vinculada o sea razonablemente vinculada a una persona física identificada o identificable; o (ii) sea de otro modo “datos personales”, “información personal”, “información de identificación personal” o datos o información definidos de forma similar en virtud de la Legislación de protección de datos;
(l) “Tratamiento” se refiere a cualquier operación o conjunto de operaciones que se realice sobre los Datos personales, ya sea por medios automáticos o no, como la recogida, el registro, la organización, el almacenamiento, la adaptación o alteración, recuperación, consulta, el uso, la divulgación por transmisión, difusión o puesta a disposición en general, la alineación o combinación, el bloqueo, la supresión o destrucción (teniendo “Tratar”, “Tratamientos” y “Tratado” el mismo significado);
(m) “Venta” o “vender” tiene el significado que se le otorga en la CCPA;
(n) “Acción” tiene el significado que se le otorga en la CCPA;
(o) “Violación de la seguridad de los datos” se refiere a una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidentales o ilícitos a los Datos personales del Contratista;
(p) “Cláusulas contractuales tipo” se refiere a las cláusulas contractuales adjuntas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, con sus actualizaciones o sustituciones pertinentes;
(q) “Subencargado del tratamiento” se refiere a cualquier entidad externa contratada por ServiceChannel para tratar Información personal en nombre del Contratista o para prestar los servicios especificados en el Contrato;
(r) “Anexo del Reino Unido” se refiere a la plantilla de anexo, versión B.1.0 emitida por el Comisionado de Información del Reino Unido en virtud de la sección 119A(1) de la Ley de Protección de Datos del Reino Unido de 2018 y presentada ante el Parlamento del Reino Unido el 2 de febrero de 2022, con sus revisiones, de acuerdo con la Sección 18 del Anexo del Reino Unido;
(s) “Leyes de protección de datos de EE. UU.” se refiere a todas las leyes federales y estatales, normas, reglamentos y requisitos gubernamentales aplicables relativos a la protección de datos, el tratamiento de datos personales, la privacidad o la protección de datos vigentes en cada momento en los Estados Unidos, incluidos, entre otros: la CCPA, la Ley de Protección de Datos del Consumidor de Virginia, Código de Virginia Título 59.1 Capítulo 52 § 59.1-571 y ss., la Ley de Privacidad de Colorado, Estatuto revisado de Colorado Título 6 Artículo 1 Parte 13 § 6-1-1301 y ss., la Ley de Privacidad del Consumidor de Utah, Código de Utah § 13-6-101 y ss., la Ley del Senado de Connecticut 6, una ley relativa a la privacidad de datos personales y la supervisión en línea (según se haya establecido e inscrito dicha ley);
(t) “Datos de uso” significa información de diagnóstico, uso y rendimiento recopilada por ServiceChannel en relación con el uso de los Servicios por parte del Contratista y sus usuarios autorizados; y
(u) los términos “Responsable del tratamiento”, “Encargado del tratamiento”, “Empresa” y “Proveedor de servicios” tienen los significados que se les otorgan en la Legislación de protección de datos.
2. Relación de las partes; cumplimiento de la ley
2.1 El Contratista:
(a) designa a ServiceChannel para tratar los Datos personales del Contratista como su Encargado del tratamiento o Proveedor de servicios;
(b) reconoce y acepta que ServiceChannel puede:
(i) utilizar los Datos de administración y los Datos de uso para los Fines del responsable del tratamiento y que, a los efectos del RGPD, lo hace como Responsable del tratamiento;
(ii) utilizar Datos personales del Contratista para crear Datos anonimizados y que, a los efectos del RGPD, procede a ello en calidad de Responsable del tratamiento.
2.2 Cada una de las partes deberá cumplir con las obligaciones que le corresponden según la Legislación de protección de datos y ofrecer el mismo nivel de protección de privacidad que exige la Legislación de protección de datos.
2.3 El Contratista se asegurará de que sus instrucciones para el Tratamiento de Datos personales del Contratista cumplan con la Legislación de protección de datos. El Contratista será el responsable exclusivo de la exactitud, calidad y legalidad de los Datos personales del Contratista y de los medios a través de los cuales obtuvo los Datos personales del Contratista.
2.4 ServiceChannel notificará al Contratista inmediatamente si determina que ya no puede cumplir con sus obligaciones en virtud de la Legislación de protección de datos.
2.5 El Contratista puede tomar medidas razonables y apropiadas para:
(a) garantizar que ServiceChannel utilice los Datos personales del Contratista de forma coherente con las obligaciones del Contratista en virtud de la Legislación de protección de datos; y
(b) previa notificación razonable, detener y remediar el uso no autorizado de los Datos personales del Contratista.
3. Tratamiento de los Datos personales del Contratista
3.1 ServiceChannel solo tratará los Datos personales del Contratista en nombre y de acuerdo con el Contrato, este DPA y (además de cualquier Tratamiento para los Fines del responsable del tratamiento) las instrucciones documentadas del Contratista. El Contratista concede mandato a ServiceChannel para tratar los Datos personales del Contratista con los siguientes fines: (i) Tratamiento de acuerdo con el Contrato y cualquier pedido correspondiente; y (ii) Tratamiento para cumplir con otras instrucciones razonables que indique el Contratista cuando dichas instrucciones sean coherentes con los términos del Contrato. ServiceChannel informará inmediatamente al Contratista si no puede seguir esas instrucciones o si, en su opinión, una instrucción del Contratista infringe la Legislación de protección de datos.
3.2 ServiceChannel no deberá:
(a) Vender o compartir Datos personales del Contratista;
(b) conservar, utilizar o divulgar Datos personales del Contratista para cualquier fin que no sea el fin comercial específico de prestar los Servicios especificados en el Contrato o según lo permita la Legislación de protección de datos;
(c) conservar, utilizar o divulgar Datos personales del Contratista fuera de la relación comercial directa entre las partes; y
(d) combinar los Datos personales del Contratista con Datos personales que reciba de, o en nombre de, otra persona o personas, o que recopile a partir de su propia interacción con el Interesado, a menos que lo permitan expresamente, y se lleve a cabo de conformidad con, la Legislación de protección de datos.
3.3 El Contratista garantiza y se compromete a que los Datos personales del Contratista no contengan ninguno de los siguientes:
(a) Datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, condenas penales y cualquier otra categoría especial de Datos personales identificada en los artículos 9 o 10 del RGPD o Datos personales que sean de otro modo Datos personales sensibles en virtud de la Legislación de protección de datos aplicables;
(b) identificadores o plantillas biométricos;
(c) información financiera (incluida, entre otros, información de facturación y datos del titular de la tarjeta o datos sensibles de autenticación, tal y como se definen estos términos en la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago);
(d) información financiera de identificación personal, según se define y está sujeta a la Ley de Modernización Financiera de Gramm-Leach-Bliley de 1999;
(e) números de identificación nacional (incluidos, entre otros, números de la Seguridad Social, números del permiso de conducir o pasaporte u otros números de identificación emitidos por el gobierno);
(f) información relativa a personas menores de 13 años;
(g) registros educativos, según se definen en la Ley de Derechos Educativos y Privacidad Familiares de 1974;
(h) información médica protegida según se define en la Ley de Portabilidad y Responsabilidad de Seguros Médicos, y sujeta a ella.
4. Confidencialidad del tratamiento/Personal de ServiceChannel
4.1 ServiceChannel se asegurará de que cualquier persona a la que autorice a tratar los Datos personales del Contratista (una “Persona autorizada”) proteja los Datos personales del Contratista de acuerdo con las obligaciones de confidencialidad de ServiceChannel en virtud del presente Contrato.
4.2 ServiceChannel se asegurará de que su personal involucrado en el Tratamiento de los Datos personales del Contratista esté informado de la naturaleza confidencial de los Datos personales del Contratista y esté sujeto a obligaciones de confidencialidad.
4.3 ServiceChannel se asegurará de que el acceso a los Datos personales del Contratista se limite al personal que requiera dicho acceso para prestar los Servicios.
5. Seguridad/Gestión y notificación de incumplimientos
5.1 ServiceChannel implementará las medidas técnicas y organizativas adecuadas para la protección de la seguridad, la confidencialidad y la integridad de los Datos personales del Contratista, tal y como se establece en el Anexo II.
5.2 Si ServiceChannel tiene conocimiento de alguna Violación de la seguridad, ServiceChannel: (i) notificará al Contratista de la Violación de la seguridad de acuerdo con los plazos exigidos en la Legislación de protección de datos aplicables; (ii) investigará la Violación de la seguridad y proporcionará al Contratista información sobre la misma; y (iii) tomará medidas razonables para mitigar los efectos y minimizar cualquier daño resultante de la Violación de la seguridad.
5.3 ServiceChannel, a petición del Contratista, proporcionará al Contratista asistencia razonable para el cumplimiento de sus obligaciones en virtud de la Legislación de protección de datos en relación con una Violación de la seguridad de los datos notificada al Contratista por ServiceChannel.
5.4 ServiceChannel no tendrá ninguna obligación de notificar al Contratista ningún intento fallido de obtener acceso no autorizado a los Datos personales del Contratista o a alguno de los equipos o instalaciones de ServiceChannel que almacenan Datos personales del Contratista, incluyendo, entre otros, pings y demás ataques de difusión en cortafuegos o servidores periféricos, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio o incidentes similares.
5.5 Las notificaciones de Violaciones de seguridad, si las hubiera, se enviarán a uno o más contactos comerciales, técnicos o administrativos del Contratista por cualquier medio que ServiceChannel seleccione, incluido por correo electrónico. Es responsabilidad exclusiva del Contratista asegurarse de que mantiene una información de contacto precisa en los sistemas de soporte de ServiceChannel en todo momento.
5.6 La notificación o respuesta de ServiceChannel a una Violación de la seguridad en virtud de esta Sección 5 no se interpretará como un reconocimiento por parte de ServiceChannel de cualquier fallo o responsabilidad con respecto a la Violación de la seguridad.
6. Subtratamiento
6.1 El Contratista reconoce y acepta que (i) ServiceChannel puede nombrar a Filiales como sus Subencargados del tratamiento; y (ii) ServiceChannel puede contratar a Subencargados del tratamiento externos en relación con la prestación de los Servicios. Dichos Subencargados del tratamiento podrán obtener Datos personales del Contratista únicamente para prestar los servicios cuya prestación les haya contratado ServiceChannel y tienen prohibido utilizar los Datos personales del Contratista para cualquier otro fin. ServiceChannel celebrará un acuerdo por escrito que imponga obligaciones de protección de datos al Subencargado que sean sustancialmente similares a las impuestas a ServiceChannel en este Contrato. ServiceChannel seguirá siendo plenamente responsable ante el Contratista del cumplimiento de las obligaciones del Subencargado en virtud de su contrato con ServiceChannel.
6.2 ServiceChannel podrá seguir utilizando los Subencargados ya contratados por él o por cualquier Filial de ServiceChannel en la fecha de este Contrato enumerado en https://bit.ly/SC_Subprocessors.
6.3 ServiceChannel notificará al Contratista por escrito con antelación el nombramiento de cualquier nuevo Subencargado del tratamiento, incluidos todos los detalles del Tratamiento que debe realizar el Subencargado del tratamiento. Si, en un plazo de 10 días desde la recepción de dicha notificación, el Contratista notifica por escrito a ServiceChannel cualquier objeción (por motivos razonables) al nombramiento propuesto, ServiceChannel no nombrará a ese Subencargado propuesto hasta que se hayan tomado las medidas razonables para abordar las objeciones planteadas por el Contratista y se haya proporcionado al Contratista una explicación razonable por escrito de las medidas adoptadas. El Cliente reconoce que en algunos casos podría no estar en condiciones de proporcionar todos los Servicios sin recurrir al nuevo Subencargado del tratamiento.
7. Transferencias restringidas
7.1 Las partes acuerdan que cuando la transferencia de Datos personales del Cliente a ServiceChannel sea una Transferencia restringida, estará sujeta a las Cláusulas contractuales tipo adecuadas de la siguiente manera:
(a) en relación con los Datos personales del Cliente protegidos por el RGPD de la UE, las CCT de la UE se aplicarán completadas de la siguiente manera:
(i) el Módulo dos será de aplicación;
(ii) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
(iii) en la Cláusula 9, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de cambios del subencargado del tratamiento será el establecido en la Cláusula 6.3 de este Contrato;
(iv) en la Cláusula 11, no se aplicará el texto opcional;
(v) en la Cláusula 17, se aplicará la Opción 1, y las CCT de la UE se regirán por la legislación irlandesa;
(vi) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
(vii) el Anexo I de las CCT de la UE se considerará completado con la información establecida en el Anexo I del presente Contrato;
(viii) el Anexo II de las CCT de la UE se considerará completado con la información establecida en el Anexo II del presente Contrato; y
(b) en relación con los Datos personales del Cliente protegidos por el RGPD del Reino Unido, el Anexo del Reino Unido se aplicará completado de la siguiente manera:
(i) las CCT de la UE, completadas como se establece anteriormente en la cláusula 7.1(a) de este Contrato, también se aplicarán a las transferencias de dichos Datos personales del Cliente, con sujeción a la subcláusula
(ii) a continuación;
(ii) las Tablas 1 a 3 del Anexo del Reino Unido se considerarán completadas con la información pertinente de las CCT de la UE, completadas como se establece anteriormente, y las opciones “ninguna de las partes” se considerarán marcadas en la Tabla 4. La fecha de inicio del Anexo del Reino Unido (como se establece en la Tabla 1) será la fecha del presente Contrato; y
(c) en caso de que alguna disposición de este Contrato contradiga, directa o indirectamente, las Cláusulas contractuales tipo, prevalecerán las Cláusulas contractuales tipo.
7.2 En caso de que el Anexo del Reino Unido o las CCT de la UE actuales sean sustituidas o reemplazadas por nuevas cláusulas contractuales tipo, las partes acuerdan que dichas nuevas cláusulas contractuales tipo se aplicarán automáticamente a la transferencia de Datos personales del Cliente del Cliente a ServiceChannel y se considerarán completadas, mutatis mutandis, como se describe en la Cláusula 7.1 anterior.
8. Cooperación y derechos de los interesados
8.1 ServiceChannel, en la medida en que lo permita la ley, informará inmediatamente al Contratista si recibe una solicitud de un Interesado para ejercer sus derechos en virtud de la Legislación de protección de datos. ServiceChannel no responderá a ninguna solicitud de dicho Interesado sin el consentimiento previo por escrito del Contratista, excepto para confirmar que la solicitud está relacionada con el Contratista.
8.2 En la medida en que el Contratista, en su uso o recepción de los Servicios, carezca de la capacidad de corregir, modificar, limitar, bloquear o suprimir los Datos personales del Contratista, según lo exija la Legislación de protección de datos, ServiceChannel hará todo lo comercialmente razonable por cumplir con las solicitudes razonables del Contratista para facilitar dichas acciones en la medida en que ServiceChannel esté legalmente autorizado a hacerlo.
8.3 ServiceChannel brindará una cooperación razonable al Contratista (a expensas de este último) en relación con cualquier evaluación del impacto de la protección de datos que se requiera en virtud de la Legislación de protección de datos.
9. Datos anonimizados
9.1 Con respecto a Datos anonimizados creados por ServiceChannel, esta deberá:
(a) adoptar las medidas razonables que garanticen que la información no pueda asociarse con un Interesado;
(b) comprometerse públicamente a tratar dichos Datos anonimizados únicamente sin identificar, y no intentar volver a identificar la información; y
(c) obligar contractualmente a los destinatarios de los Datos anonimizados a cumplir los anteriores requisitos con arreglo a la Legislación de protección de datos.
10. Rescisión; supresión o devolución de Datos
10.1 El presente Contrato finalizará automáticamente tras la eliminación o anonimización por parte de ServiceChannel de todos los Datos personales del Contratista.
10.2 Tras la rescisión o vencimiento del Contrato, ServiceChannel deberá:
(a) si el Contratista lo solicita en un plazo de treinta (30) días desde el vencimiento del Contrato (el “Periodo de retención”) proporcionar una copia de todos los Datos personales del Contratista en el formato de uso común solicitado por el Contratista, o proporcionar una funcionalidad de autoservicio que permita al Contratista descargar dichos Datos personales del Contratista;
(b) al vencimiento del Periodo de retención, eliminar todas las copias de los Datos personales del Contratista tratados por ServiceChannel o cualquiera de sus Subencargados del tratamiento, excepto:
(i) cualquier Dato de administración o Datos de uso tratados para los Fines del responsable del tratamiento o cualquier Dato personal del Contratista que ServiceChannel deba conservar en virtud de la legislación aplicable; o
(ii) Datos personales del Contratista archivados en sistemas de copia de seguridad, que ServiceChannel aislará y protegerá de forma segura de cualquier Tratamiento posterior, excepto en la medida en que lo exija dicha ley hasta que sea posible su eliminación.
11. Auditoría
11.1 El Contratista puede auditar el cumplimiento de este DPA por parte de ServiceChannel. Las partes acuerdan que todas estas auditorías se llevarán a cabo:
(a) no más de una vez al año, a menos que se requieran auditorías más frecuentes para cumplir con la Legislación de protección de datos o que lo exija una autoridad de control con jurisdicción sobre el Tratamiento de Datos personales del Contratista;
(b) previa notificación razonable a ServiceChannel;
(c) solo durante el horario laboral normal de ServiceChannel; y
(d) de una manera que no interrumpa sustancialmente la actividad o las operaciones de ServiceChannel.
11.2 Con respecto a cualquier auditoría realizada en virtud de la Sección 10.1:
(a) el Contratista puede contratar a un auditor externo para que realice la auditoría en su nombre, salvo que ServiceChannel pueda oponerse razonablemente a la contratación del auditor externo si dicho auditor externo es un competidor de ServiceChannel;
(b) ServiceChannel no estará obligado a facilitar o ayudar con ninguna auditoría a menos que y hasta que las partes hayan acordado por escrito el alcance y el momento de dicha auditoría y las tasas de reembolso en virtud de la Sección 10.3.
11.3 El Contratista reembolsará a ServiceChannel el tiempo dedicado a dicha auditoría a las tarifas acordadas por las partes. Antes del inicio de dicha auditoría, el Contratista y ServiceChannel acordarán mutuamente el alcance, el momento y la duración de la auditoría, además del coste de reembolso del que será responsable el Contratista. Todos los costes de reembolso serán razonables, teniendo en cuenta los recursos gastados por ServiceChannel. El Contratista notificará inmediatamente a ServiceChannel la información relativa a cualquier incumplimiento descubierto durante el transcurso de una auditoría.
11.4 El Contratista reconoce que ServiceChannel es auditada regularmente según la norma SSAE 18 SOC 1 por auditores externos independientes. ServiceChannel proporcionará al Contratista, previa solicitud, o podrá proporcionar al Contratista en respuesta a cualquier solicitud de auditoría, una copia resumida de su(s) informe(s) de auditoría al Contratista, que estará sujeta a las disposiciones de confidencialidad del Contrato. Si una auditoría solicitada por el Contratista se aborda en el informe de auditoría proporcionado por ServiceChannel, el Contratista se compromete a aceptar dicho informe en lugar de realizar una auditoría física de los controles cubiertos por el informe pertinente.
12. Limitación de responsabilidad
El presente DPA está sujeto a las limitaciones de responsabilidad y a los descargos de responsabilidad del Contrato.
13. Partes de este Contrato
Salvo lo establecido en las Cláusulas contractuales tipo, nada de lo contenido en este DPA conferirá ningún beneficio o derecho a ninguna persona o entidad que no sean las partes de este DPA.
14. Efecto legal
Este DPA complementa y forma parte del Contrato.
15. General
15.1 El presente DPA se regirá e interpretará en todos los aspectos de acuerdo con la legislación aplicable y las disposiciones sobre jurisdicción del Contrato, siempre que, en caso de conflicto entre el Contrato y el presente DPA con respecto al tratamiento de Datos personales, prevalezca el presente DPA.
15.2 El presente Contrato podrá formalizarse en un número cualquiera de ejemplares, constituyendo cada uno de los cuales un original y formando todos ellos un único y el mismo acuerdo entre las partes.
15.3 Aparte de lo establecido en el presente DPA, el Contrato permanecerá en pleno vigor y efecto.
ANEXO I
A. LISTA DE PARTES
|
Nombre |
Dirección |
Nombre, puesto y datos de contacto de la persona de contacto |
Actividades relevantes para los datos transferidos |
Función |
|
|
Exportador de datos |
Contratista (según lo dispuesto durante el registro para los Servicios) |
Según lo dispuesto durante el registro para los Servicios |
Según lo dispuesto durante el registro para los Servicios |
Recepción de los Servicios |
Responsable del tratamiento |
|
Importador de datos |
ServiceChannel.com, Inc. |
30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615 |
Brian Chase, asesor jurídico general, [email protected] |
Prestación de los Servicios |
Encargado del tratamiento |
B. DESCRIPCIÓN DE LA TRANSFERENCIA
|
Interesados |
Categorías de datos personales |
Datos personales sensibles |
Frecuencia de la transferencia |
Naturaleza y fin del tratamiento |
Periodo de retención |
|
Usuarios finales del Contratista |
Nombre, dirección de correo electrónico, función en el Contratista, credenciales. |
Ninguno |
Continuo |
Conceder acceso a los Servicios a los Usuarios finales. |
Durante el tiempo que el Contratista autorice al Usuario final a acceder a los Servicios. |
|
Usuarios finales del Contratista |
Nombre, número de teléfono, servicios de gestión de instalaciones que se proporcionarán. |
Ninguno |
Continuo |
Facilitar el contacto entre los Usuarios finales y los Clientes para el cumplimiento de los Contratos de compra. |
Durante el tiempo que el Contratista autorice al Usuario final a acceder a los Servicios. |
|
Usuarios finales del Contratista |
Nombre, geolocalización precisa, hora de entrada, hora de salida. |
Ninguno |
Continuo |
Proporcionar información al Cliente sobre la prestación de servicios de gestión de instalaciones en virtud de un Contrato de compra. |
Durante la vigencia del Contrato. |
|
Usuarios finales del Contratista |
Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados. |
Ninguno/a |
Continuo |
Facilitar el cálculo de los importes adeudados en virtud del Contrato de compra. |
Durante la vigencia del Contrato. |
|
Usuarios finales del Contratista Usuarios autorizados de clientes que soliciten servicios de gestión de instalaciones |
Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados. |
Ninguno/a |
Continuo |
Envío de facturas en virtud de Contratos de compra al Cliente. |
Durante la vigencia del Contrato. |
|
Usuarios finales del Contratista Usuarios autorizados de clientes que soliciten servicios de gestión de instalaciones |
Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados. |
Ninguno/a |
Continuo |
Mantener registros de transacciones de los servicios prestados por el Contratista en virtud de los Contratos de compra. |
Durante la vigencia del Contrato. |
|
Usuarios finales del Contratista |
Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados, geolocalización precisa. |
Ninguno/a |
Continuo |
Facilitar la gestión de los Usuarios finales del Contratista, incluida la programación y la dotación de personal. |
Durante la vigencia del Contrato. |
|
Puntos de contacto clave del Contratista |
Nombre, dirección de correo electrónico, número de teléfono. |
Ninguno |
Continuo |
Promocionar los servicios del Contratista a través del Catálogo. |
Durante el tiempo que la persona siga siendo un punto de contacto clave y, en cualquier caso, no más allá de la vigencia del Contrato. |
|
Usuarios finales del Contratista |
Consultas a asistencia enviadas por el Usuario final. |
Ninguno/a |
Continuo |
Proporcionar asistencia técnica. |
Durante la vigencia del Contrato. |
|
Usuarios finales del Contratista |
Datos de registro relacionados con el uso de los Servicios por parte del Usuario final. |
Ninguno/a |
Continuo |
Proporcionar acceso a los Servicios. |
Durante la sesión de navegación del Usuario final. |
Subencargados del tratamiento
Según se describe en https://bit.ly/SC_Subprocessors
C. AUTORIDAD DE CONTROL COMPETENTE
Comisionado de Protección de Datos de IrlandaANEXO II
Medidas de seguridad
ServiceChannel seguirá siendo responsable en todo momento de las siguientes medidas de seguridad de transferencia comercialmente razonables:
|
MEDIDAS DE SEGURIDAD DE TRANSFERENCIA |
MEDIDAS IMPLEMENTADAS |
|
Medidas de seudonimización y cifrado de datos personales |
Seudonimización • enmascaramiento de caracteres • intercambio • k-anonimato Cifrado • Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) en cada interfaz de inicio de sesión, utilizando algoritmos y certificados estándar del sector. • Cifrado de datos en reposo utilizando el algoritmo AES-256 estándar del sector |
|
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento |
Confidencialidad • Red privada virtual (VPN) • Autenticación multifactor (MFA) • Sistema de derechos diferenciados basado en grupos de seguridad y listas de control de acceso. • Transmisión segura de credenciales mediante TLS 1.2 (o superior) • Las contraseñas requieren una complejidad mínima definida. Las contraseñas iniciales deben cambiarse después del primer inicio de sesión. • Bloqueo automático de cuentas • Directrices para la gestión de contraseñas • Controles de acceso a la infraestructura alojada por el proveedor de servicios en la nube • Gestión de derechos de acceso, incluido el concepto de autorización, implementación de restricciones de acceso, implementación del principio de “necesidad de conocer”, gestión de derechos de acceso individuales. • Acuerdos de formación y confidencialidad para el personal interno y externo • Separación de redes • Separación de responsabilidades y deberes • Limitar el acceso a los datos personales a las partes implicadas en el tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Integridad • Interconexiones de red seguras garantizadas por cortafuegos, etc. • Registro de transmisiones de datos del sistema informático que almacena o trata datos personales • Autenticación de registro y acceso lógico al sistema supervisado • Registro del acceso a los datos, incluidos, entre otros, el acceso, la modificación, la introducción y la supresión de datos • Documentación de los derechos de introducción de datos y registro de entradas relacionadas con la seguridad • Cortafuegos de aplicaciones web (WAF) Disponibilidad y resiliencia • Los datos del Contratista se copian por seguridad en múltiples almacenes de datos duraderos y se replican en múltiples zonas de disponibilidad. • Protección de los soportes de copia de seguridad almacenados |
|
Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de forma pertinente en caso de incidente físico o técnico |
• Planificación de continuidad y plan de recuperación ante desastres• Procesos de recuperación ante desastres para restaurar datos y procesos
• Objetivo de tiempo de recuperación (RTO) • Objetivo de punto de recuperación (RPO) • Tiempo de inactividad máximo tolerable (MTD) • Medidas de gestión de la capacidad para supervisar el consumo de recursos de los sistemas, así como planificación de futuros requisitos de recursos. • Procedimientos para gestionar y notificar incidentes (gestión de incidentes), incluida la detección y reacción a posibles incidentes de seguridad. • Se realiza una copia de seguridad de los datos productivos cada hora de forma incremental y diariamente como copia de seguridad completa. Todas las copias de seguridad se conservan de forma redundante y cifradas (AES-256). |
|
Procesos para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento |
• Pruebas de equipos de emergencia• Documentación de interfaces y campos de datos personales
• Auditorías internas y externas • Comprobaciones de seguridad (p. ej., pruebas de penetración) realizadas por terceros • Auditorías SOC 1 y 2 • Pruebas y análisis comparativos regulares con los estándares del sector, p. ej., SANS Top 20 Controls for Internet Security, directrices NIST, etc. |
|
Medidas para la identificación y autorización del usuario |
• Interconexiones de red seguras garantizadas por VPN, MFA, cortafuegos, etc.• Registro de transmisiones de datos del sistema informático que almacena o trata datos personales
• Autenticación de registro y acceso al sistema supervisado • El acceso a los datos necesarios para la realización de la tarea en particular se garantiza dentro de los sistemas y aplicaciones mediante un rol correspondiente y un concepto de autorización de acuerdo con el principio de “necesidad de conocer”. • Cortafuegos de aplicaciones web (WAF) |
|
Medidas para la protección de datos durante la transmisión |
• Acceso remoto a la red a través de túnel VPN y cifrado integral• Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) |
|
Medidas para la protección de datos durante el almacenamiento |
• Entradas del sistema registradas a través de archivos de registro• Listas de control de acceso (ACL)
• Autenticación multifactor (MFA) |
|
Medidas para garantizar la seguridad física de las ubicaciones en las que se tratan los Datos personales |
• Subdivisión de la instalación en zonas individuales con diferentes autorizaciones de acceso;• Protección del acceso físico (p. ej., puertas de acero, habitaciones sin ventanas o ventanas protegidas);
• Sistema de control de acceso electrónico para proteger las áreas de seguridad; • Supervisión de la instalación mediante servicios de seguridad y registro de acceso a la instalación; • Videovigilancia de todas las áreas de seguridad relevantes para la seguridad, como entradas, salidas de emergencia y salas de servidores; • Asignación y revocación central de autorizaciones de acceso; • Identificación de todos los visitantes mediante la verificación de su documento de identidad y registro (se mantiene un registro de visitantes); • Identificación obligatoria dentro de las áreas de seguridad para todos los empleados y visitantes; • Los visitantes deben estar acompañados por empleados en todo momento. |
|
Medidas para garantizar el registro de eventos |
• Registro remoto• Encadenamiento hash
• Replicación • Sistema central de gestión de información y eventos de seguridad (SIEM) |
|
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada |
• Política y procedimientos de control de acceso• Identificación de la configuración de referencia
• Planificación y gestión de la configuración • Gestión de cambios de configuración • Registro del estado de la configuración • Verificación y auditorías de configuración • Gestión de dispositivos móviles |
|
Medidas para la gobernanza y gestión de la seguridad de las TI y las TI internas |
• Persona designada e identificada para supervisar el programa de cumplimiento y seguridad de la información de la empresa• Auditoría SOC 1 y 2 |
|
Medidas para la certificación/garantía de procesos y productos |
• Certificaciones de seguridad de la información o de gestión de calidad como SSAE 18 Tipo 2 SOC 1 y SSAE18 Tipo 2 SOC2 |
|
Medidas para garantizar la minimización de los datos |
• Barreras tecnológicas para la vinculación no autorizada de fuentes de datos independientes.• Limitación al nivel de detalle utilizado en el tratamiento de datos personales: por ejemplo, mediante técnicas como el k-anonimato y la ofuscación.
• Supresión de metadatos generados durante ciertos procesos que no son necesarios para el objetivo perseguido. |
|
Medidas para garantizar la calidad de los datos |
• Proceso para el ejercicio de los derechos de protección de datos (derecho a modificar y actualizar la información)• Documentación clara de los requisitos para todas las condiciones y escenarios de datos
• Limitar el acceso a los datos personales a las partes implicadas en el tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Perfiles de datos rigurosos y control de los datos entrantes • Diseño de canalización de datos para evitar datos duplicados • Equipo de garantía de calidad • Aplicación de la integridad de los datos |
|
Medidas para garantizar la conservación limitada de datos |
• La existencia de programas y políticas de conservación claros• Prueba de efectividad |
|
Medidas para garantizar la responsabilidad |
• Asignar la responsabilidad de garantizar la privacidad del usuario final durante todo el ciclo de vida del producto y a través de los procesos empresariales aplicables.• Evaluaciones del impacto de la protección de datos como parte integral de cualquier nueva iniciativa de tratamiento.
• Documentar todas las decisiones adoptadas dentro de la organización desde una perspectiva de “pensamiento conceptual de privacidad”. |
|
Medidas para permitir la portabilidad de los datos y garantizar el borrado |
• Procesos documentados en relación con el ejercicio por parte de los usuarios de sus derechos de privacidad (p. ej., derecho de supresión o derecho a la portabilidad de los datos)• Uso de formatos abiertos como CSV, XML o JSON. |
|
Restricciones o salvaguardas aplicadas para datos sensibles (si procede) |
• El cifrado o “hash” de datos de categorías especiales, aunque no sea un requisito legal explícito, debe ser la norma |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar