Última actualización: 19 de marzo de 2026
Contrato de tratamiento de datos
El presente Contrato de tratamiento de datos (“DPA”, por sus siglas en inglés) forma parte de los Términos y condiciones alojados en https://servicechannel.com/terms-and-conditions (“Contrato”) entre ServiceChannel.com, Inc. (en adelante, “ServiceChannel”) y el Contratista (según se define en el Contrato). Tanto el Contratista como ServiceChannel se denominan aquí una “parte” y conjuntamente como las “partes”.
CONSIDERANDO QUE
(i) El Contratista y ServiceChannel han celebrado el Contrato en virtud del cual ServiceChannel prestará al Contratista los Servicios.
(ii) ServiceChannel tratará el Contenido del Contratista (que puede contener Datos personales) en el transcurso de la prestación de los Servicios.
(iii) Las partes desean en el momento presente celebrar este DPA que rige el tratamiento por parte de ServiceChannel de dichos Datos personales contenidos en el Contenido del Contratista.
EN CONSECUENCIA, las partes acuerdan las siguientes estipulaciones:
1. Definiciones:
en este Contrato de tratamiento, los términos definidos en el Contrato tienen el mismo significado cuando se utilizan aquí. Además, los siguientes términos tendrán los siguientes significados:
(a) “Datos de administración” significa: (i) los datos de contacto y el contenido de la correspondencia con el titular principal de la cuenta o administrador del Contratista; (ii) las consultas de asistencia enviadas por los usuarios autorizados del Contratista en relación con el Servicio;
(b) “Filiales” se refiere a cualquier entidad que esté controlada, controle o esté bajo control común con ServiceChannel;
(c) “CCT brasileñas” se refiere a las cláusulas contractuales tipo adjuntas a la Resolución n.º 19/2024 de la Agencia Brasileña de Protección de Datos (“ANPD”);
(d) “Datos anonimizados” se refiere a datos creados utilizando Datos personales del Contratista que: (i) no pueden utilizarse para inferir información sobre una persona física ni vincularse de otro modo con ella; (ii) no guardan relación, en general, con una persona física identificada o identificable;
(e) “CCPA” (California Consumer Privacy Act) se refiere a la Ley de Privacidad del Consumidor de California de 2018, apdo. 1798.100 del Código Civil de California y ss., incluidas sus normativas de implementación y la Ley de Derechos de Privacidad de California de 2020;
(f) “Fines del responsable del tratamiento” significa llevar a cabo investigación y desarrollo internos para desarrollar, probar, mejorar y alterar la funcionalidad de los productos y servicios de ServiceChannel; (b) crear Datos anonimizados para la formación o evaluación de los productos y servicios de ServiceChannel; (c) administrar la relación de ServiceChannel con el Contratista en virtud del Contrato;
(g) “Contratista” se refiere al Contratista que ha formalizado el Contrato;
(h) “Datos personales del Contratista” se refiere a los Datos personales contenidos en el Contenido del Contratista, como se describe con más detalle en el Anexo I de este DPA;
(i) “Leyes de protección de datos” se refiere a todas las leyes, normas, reglamentos y requisitos gubernamentales aplicables relacionados con la privacidad, confidencialidad o seguridad de los Datos personales (según se modifiquen o actualicen de otro modo de vez en cuando), incluidos, entre otros, el RGPD, el RGPD del Reino Unido, la Ley brasileña n.º 13.709/2018 (“LGPD”) y la Legislación de protección de datos de EE. UU.;
(j) “Interesado” significa: (i) una persona física con la que se relacionan los Datos personales; y (ii) una persona que sea un “interesado”, “consumidor” o cualquier término equivalente en virtud de la Legislación de protección de datos;
(k) “CCT de la UE” se refiere a las cláusulas contractuales adjuntas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, con sus actualizaciones o sustituciones pertinentes;
(l) “RGPD” significa el Reglamento (UE) 2016/679 (el “RGPD de la UE”) o, cuando proceda, el “RGPD del Reino Unido” según se define en la sección 3(10) y la sección 205 de la Ley de protección de datos del Reino Unido de 2018;
(m) “Datos personales” se refiere a cualquier información que: (i) esté relacionada, vinculada o sea razonablemente vinculada a una persona física identificada o identificable; o (ii) sea de otro modo “datos personales”, “información personal”, “información de identificación personal” o datos o información definidos de forma similar en virtud de la Legislación de protección de datos;
(n) “Tratamiento” se refiere a cualquier operación o conjunto de operaciones que se realice sobre los Datos personales, ya sea por medios automáticos o no, como la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, recuperación, consulta, el uso, la divulgación por transmisión, difusión o puesta a disposición en general, la alineación o combinación, la restricción, la supresión o destrucción (teniendo “Tratar”, “Tratamientos” y “Tratado” el mismo significado);
(o) “Venta” o “vender” tiene el significado que se le otorga en la CCPA;
(p) “Acción” tiene el significado que se le otorga en la CCPA;
(q) “Violación de la seguridad de los datos” se refiere a una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidentales o ilícitos a los Datos personales del Contratista;
(r) “Cláusulas contractuales tipo” se refiere (según corresponda) las CCT de la UE, la Adenda del Reino Unido o las CCT brasileñas;
(s) “Subencargado del tratamiento” se refiere a cualquier entidad externa contratada por ServiceChannel (actuando en calidad de Encargado del tratamiento) para tratar Información personal en nombre del Contratista o para prestar los Servicios especificados en el Contrato;
(t) “Anexo del Reino Unido” se refiere a la plantilla de anexo, versión B.1.0 emitida por el Comisionado de Información del Reino Unido en virtud de la sección 119A(1) de la Ley de Protección de Datos del Reino Unido de 2018 y presentada ante el Parlamento del Reino Unido el 2 de febrero de 2022, con sus revisiones, de acuerdo con la Sección 18 del Anexo del Reino Unido;
(u) “Legislación de protección de datos de EE. UU.” se refiere a todas las leyes federales y estatales aplicables, así como a las normas, reglamentos y requisitos gubernamentales en relación con la protección de datos, el Tratamiento de Datos personales, la privacidad y/o la protección de datos en vigor en cada momento en los Estados Unidos, incluida (sin limitación) la CCPA y otras leyes de privacidad del consumidor estatales de EE. UU. aplicables;
(v) “Datos de uso” significa información de diagnóstico, uso y rendimiento recopilada por ServiceChannel en relación con el uso de los Servicios por parte del Contratista y sus usuarios autorizados; y
(w) los términos “Responsable del tratamiento”, “Encargado del tratamiento”, “Empresa” y “Proveedor de servicios” tienen los significados que se les otorgan en la Legislación de protección de datos.
2. Relación de las partes; cumplimiento de la ley
2.1 El Contratista:
(a) designa a ServiceChannel para tratar los Datos personales del Contratista como su Encargado del tratamiento o Proveedor de servicios;
(b) reconoce y acepta que ServiceChannel puede:
(i) utilizar los Datos de administración y los Datos de uso para los Fines del responsable del tratamiento y que, a los efectos del RGPD y la LGPD, lo hace como Responsable del tratamiento;
(ii) utilizar Datos personales del Contratista para crear Datos anonimizados y que, a los efectos del RGPD, procede a ello en calidad de Responsable del tratamiento.
2.2 Cada una de las partes deberá cumplir con las obligaciones que le corresponden según la Legislación de protección de datos y ofrecer el mismo nivel de protección de privacidad que exige la Legislación de protección de datos.
2.3 El Contratista se asegurará de que sus instrucciones para el Tratamiento de Datos personales del Contratista cumplan con la Legislación de protección de datos. El Contratista será el responsable exclusivo de la exactitud, calidad y legalidad de los Datos personales del Contratista y de los medios a través de los cuales obtuvo los Datos personales del Contratista.
2.4 ServiceChannel notificará al Contratista inmediatamente si determina que ya no puede cumplir con sus obligaciones en virtud de la Legislación de protección de datos.
2.5 El Contratista puede tomar medidas razonables y apropiadas para:
(a) garantizar que ServiceChannel utilice los Datos personales del Contratista de forma coherente con las obligaciones del Contratista en virtud de la Legislación de protección de datos; y
(b) previa notificación razonable, detener y remediar el uso no autorizado de los Datos personales del Contratista.
3. Tratamiento de los Datos personales del Contratista
3.1 ServiceChannel solo tratará los Datos personales del Contratista en nombre y de acuerdo con el Contrato, este DPA y (además de cualquier Tratamiento para los Fines del responsable del tratamiento) las instrucciones documentadas del Contratista. El Contratista concede mandato a ServiceChannel para tratar los Datos personales del Contratista con los siguientes fines: (i) Tratamiento de acuerdo con el Contrato y cualquier pedido correspondiente; y (ii) Tratamiento para cumplir con otras instrucciones razonables que indique el Contratista cuando dichas instrucciones sean coherentes con los términos del Contrato. ServiceChannel informará inmediatamente al Contratista si no puede seguir esas instrucciones o si, en su opinión, una instrucción del Contratista infringe la Legislación de protección de datos.
3.2 ServiceChannel no deberá:
(a) Vender o compartir Datos personales del Contratista;
(b) conservar, utilizar o divulgar Datos personales del Contratista para cualquier fin que no sea el fin comercial específico de prestar los Servicios especificados en el Contrato o según lo permita la Legislación de protección de datos;
(c) conservar, utilizar o divulgar Datos personales del Contratista fuera de la relación comercial directa entre las partes; y
(d) combinar los Datos personales del Contratista con Datos personales que reciba de, o en nombre de, otra persona o personas, o que recopile a partir de su propia interacción con el Interesado, a menos que lo permitan expresamente, y se lleve a cabo de conformidad con, la Legislación de protección de datos.
3.3 El Contratista garantiza y se compromete a que los Datos personales del Contratista no contengan ninguno de los siguientes:
(a) Datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, condenas penales y cualquier otra categoría especial de Datos personales identificada en el artículo 9 del RGPD o Datos personales que sean de otro modo Datos personales sensibles en virtud de la Legislación de protección de datos aplicables;
(b) identificadores o plantillas biométricos;
(c) información financiera (incluida, entre otros, información de facturación y datos del titular de la tarjeta o datos sensibles de autenticación, tal y como se definen estos términos en la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago);
(d) información financiera de identificación personal, según se define y está sujeta a la Ley de Modernización Financiera de Gramm-Leach-Bliley de 1999;
(e) números de identificación nacional (incluidos, entre otros, números de la Seguridad Social, números del permiso de conducir o pasaporte u otros números de identificación emitidos por el gobierno);
(f) información relativa a personas menores de 13 años;
(g) registros educativos, según se definen en la Ley de Derechos Educativos y Privacidad Familiares de 1974;
(h) información médica protegida según se define en la Ley de Portabilidad y Responsabilidad de Seguros Médicos, y sujeta a ella.
4. Confidencialidad del tratamiento/Personal de ServiceChannel
4.1 ServiceChannel se asegurará de que cualquier persona a la que autorice a tratar los Datos personales del Contratista (una “Persona autorizada”) proteja los Datos personales del Contratista de acuerdo con las obligaciones de confidencialidad de ServiceChannel en virtud del presente Contrato.
4.2 ServiceChannel se asegurará de que su personal involucrado en el Tratamiento de los Datos personales del Contratista esté informado de la naturaleza confidencial de los Datos personales del Contratista y esté sujeto a obligaciones de confidencialidad.
4.3 ServiceChannel se asegurará de que el acceso a los Datos personales del Contratista se limite al personal que requiera dicho acceso para prestar los Servicios.
5. Seguridad/Gestión y notificación de incumplimientos
5.1 ServiceChannel implementará las medidas técnicas y organizativas adecuadas para la protección de la confidencialidad, la integridad y la disponibilidad de los Datos personales del Contratista, tal y como se establece en el Anexo II.
5.2 Si ServiceChannel tiene conocimiento de alguna Violación de la seguridad, ServiceChannel: (i) notificará al Contratista la Violación de la seguridad; (ii) investigará la Violación de la seguridad y proporcionará al Contratista información sobre la misma; y (iii) tomará medidas razonables para mitigar los efectos y minimizar cualquier daño resultante de la Violación de la seguridad.
5.3 ServiceChannel, a petición del Contratista, proporcionará al Contratista asistencia razonable para el cumplimiento de sus obligaciones en virtud de la Legislación de protección de datos en relación con una Violación de la seguridad de los datos notificada al Contratista por ServiceChannel.
5.4 ServiceChannel no tendrá ninguna obligación de notificar al Contratista ningún intento fallido de obtener acceso no autorizado a los Datos personales del Contratista o a alguno de los equipos o instalaciones de ServiceChannel que almacenan Datos personales del Contratista, incluyendo, entre otros, pings y demás ataques de difusión en cortafuegos o servidores periféricos, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio o incidentes similares.
5.5 Las notificaciones de Violaciones de seguridad, si las hubiera, se enviarán a uno o más contactos comerciales, técnicos o administrativos del Contratista por cualquier medio que ServiceChannel seleccione, incluido por correo electrónico. Es responsabilidad exclusiva del Contratista asegurarse de que mantiene una información de contacto precisa en los sistemas de soporte de ServiceChannel en todo momento.
5.6 La notificación o respuesta de ServiceChannel a una Violación de la seguridad en virtud de esta Sección 5 no se interpretará como un reconocimiento por parte de ServiceChannel de cualquier fallo o responsabilidad con respecto a la Violación de la seguridad.
6. Subtratamiento
6.1 El Contratista reconoce y acepta que (i) ServiceChannel puede nombrar a Filiales como sus Subencargados del tratamiento; y (ii) ServiceChannel puede contratar a Subencargados del tratamiento externos en relación con la prestación de los Servicios. Dichos Subencargados del tratamiento podrán obtener Datos personales del Contratista únicamente para prestar los servicios cuya prestación les haya contratado ServiceChannel y tienen prohibido utilizar los Datos personales del Contratista para cualquier otro fin. ServiceChannel celebrará un acuerdo por escrito que imponga obligaciones de protección de datos al Subencargado que sean sustancialmente similares a las impuestas a ServiceChannel en este Contrato. ServiceChannel seguirá siendo plenamente responsable ante el Contratista del cumplimiento de las obligaciones del Subencargado en virtud de su contrato con ServiceChannel.
6.2 ServiceChannel podrá seguir utilizando los Subencargados ya contratados por él o por cualquier Filial de ServiceChannel en la fecha de este Contrato enumerado en https://bit.ly/SC_Subprocessors.
6.3 ServiceChannel notificará al Contratista por escrito con antelación el nombramiento de cualquier nuevo Subencargado del tratamiento, incluidos todos los detalles del Tratamiento que debe realizar el Subencargado del tratamiento. Si, en un plazo de 10 días desde la recepción de dicha notificación, el Contratista notifica por escrito a ServiceChannel cualquier objeción (por motivos razonables) al nombramiento propuesto, ServiceChannel no nombrará a ese Subencargado propuesto hasta que se hayan tomado las medidas razonables para abordar las objeciones planteadas por el Contratista y se haya proporcionado al Contratista una explicación razonable por escrito de las medidas adoptadas.
7. Transferencias restringidas
7.1 Las Cláusulas contractuales tipo se incorporarán, como se establece más adelante en esta Sección 7, a este DPA por referencia y se aplicarán a cualquier transferencia de Datos personales del Contratista por parte del Contratista (como exportador de datos) a ServiceChannel (como importador de datos) en la medida en que:
(a) el RGPD se aplique al Tratamiento por parte del Contratista de dichos Datos personales del Contratista al realizar la transferencia;
(b) las Leyes de protección de datos que se aplican al Tratamiento por parte del Contratista de los Datos personales del Contratista al realizar la transferencia (las “Leyes de protección de datos del exportador”) prohíban la transferencia de Datos personales del Contratista a ServiceChannel en virtud de este DPA en ausencia de un mecanismo de transferencia que implemente las salvaguardas adecuadas con respecto al Tratamiento de esos Datos personales del Contratista, y se aplique una o más de las siguientes situaciones:
(i) la autoridad pertinente con jurisdicción sobre la transferencia por parte del Contratista de Datos personales del Contratista en virtud de este DPA no ha adoptado formalmente cláusulas tipo de protección de datos u otro mecanismo de transferencia en virtud de las Leyes de protección de datos del exportador, y la práctica de mercado establecida en relación con las transferencias sujetas a las Leyes de protección de datos del exportador es celebrar cláusulas contractuales tipo aprobadas por la Comisión Europea para satisfacer cualquier requisito en virtud de las Leyes de protección de datos del exportador para implementar salvaguardas adecuadas con respecto a dicha transferencia; o
(ii) la celebración de cláusulas contractuales tipo aprobadas por la Comisión Europea cumpliría de otro modo de forma razonable cualquier requisito en virtud de las Leyes de protección de datos del exportador para implementar salvaguardas adecuadas con respecto a dicha transferencia; o
(c) en relación con los Datos personales del Contratista que estén protegidos por la LGPD brasileña, se aplicarán las CCT brasileñas, tal como se detalla en el Anexo I, como Mecanismo internacional de transferencia de datos aplicable a todos los casos en los que el país de destino carezca de un nivel de protección adecuado o similar al previsto en la LGPD.
(d) la transferencia sea una “transferencia ulterior” (según se define en el módulo aplicable de las Cláusulas contractuales tipo).
7.2 Con respecto a cualquier transferencia mencionada en la Sección 7.1, las Cláusulas contractuales tipo se considerarán completadas de la siguiente manera:
(a) el Módulo dos será de aplicación;
(b) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
(c) en la Cláusula 9, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de cambios del subencargado del tratamiento será el establecido en la Sección0de este Contrato;
(d) en la Cláusula 11, no se aplicará el texto opcional;
(e) en la Cláusula 17, se aplicará la Opción 1, y las CCT de la UE se regirán por la legislación irlandesa;
(f) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
(g) el Anexo I se considerará completado con la información establecida en el Anexo I del presente Contrato;
(h) el Anexo II se considerará completado con la información establecida en el Anexo II del presente Contrato.
7.3 En la medida en que el RGPD del Reino Unido se aplique al Contratista cuando realice una transferencia mencionada en la Sección 7.1, el Anexo del Reino Unido formará parte de este DPA y se aplicará a dichas transferencias y se considerará completado de la siguiente manera:
(a) el “Anexo de las CCT de la UE” se referirá a las Cláusulas contractuales tipo tal y como se incorporan a este DPA de conformidad con las Secciones 7.1 y 7.2;
(b) la “Información del apéndice” se referirá a la información establecida en el Anexo I y el Anexo II del presente DPA; y
(c) las Tablas 1 a 3 del Anexo del Reino Unido se considerarán completadas como se ha establecido en la Sección 7.2 anterior, y la opción “ninguna de las partes” se considerará marcada en la Tabla 4.
7.4 En caso de conflicto entre este DPA y las Cláusulas contractuales tipo, prevalecerán las Cláusulas contractuales tipo.
7.5 Las partes acuerdan que la ejecución de este DPA tendrá el mismo efecto que la firma de las Cláusulas contractuales tipo y el Anexo del Reino Unido.
8. Cooperación y derechos de los interesados
8.1 ServiceChannel, en la medida en que lo permita y exija la ley, informará inmediatamente al Contratista si recibe una solicitud de un Interesado para ejercer sus derechos en virtud de la Legislación de protección de datos. ServiceChannel no responderá a ninguna solicitud de dicho Interesado sin el consentimiento previo por escrito del Contratista, excepto para confirmar que la solicitud está relacionada con el Contratista.
8.2 En la medida en que el Contratista, en su uso o recepción de los Servicios, carezca de la capacidad de acceder, corregir, limitar, bloquear o suprimir los Datos personales del Contratista, según lo exija la Legislación de protección de datos, ServiceChannel hará todo lo comercialmente razonable por cumplir con las solicitudes razonables del Contratista para facilitar dichas acciones en la medida en que ServiceChannel esté legalmente autorizado a hacerlo.
8.3 ServiceChannel brindará una cooperación razonable al Contratista (a expensas de este último) en relación con cualquier evaluación del impacto de la protección de datos que se requiera en virtud de la Legislación de protección de datos.
9. Datos anonimizados
9.1 Con respecto a Datos anonimizados creados por ServiceChannel, esta deberá:
(a) adoptar las medidas razonables que garanticen que la información no pueda asociarse con un Interesado;
(b) comprometerse públicamente a tratar dichos Datos anonimizados únicamente sin identificar, y no intentar volver a identificar la información; y
(c) obligar contractualmente a los destinatarios de los Datos anonimizados a cumplir los anteriores requisitos con arreglo a la Legislación de protección de datos.
10. Rescisión; supresión o devolución de Datos
10.1 El presente Contrato finalizará automáticamente tras la eliminación o anonimización por parte de ServiceChannel de todos los Datos personales del Contratista.
10.2 Tras la rescisión o vencimiento del Contrato, ServiceChannel deberá:
(a) si el Contratista lo solicita en un plazo de treinta (30) días desde el vencimiento del Contrato (el “Periodo de retención”), según determine ServiceChannel, proporcionar una copia de todos los Datos personales del Contratista en el formato de uso común solicitado por el Contratista, o proporcionar una funcionalidad de autoservicio que permita al Contratista descargar dichos Datos personales del Contratista;
(b) al vencimiento del Periodo de retención, eliminar todas las copias de los Datos personales del Contratista tratados por ServiceChannel o cualquiera de sus Subencargados del tratamiento, excepto:
(i) cualquier Dato de administración o Datos de uso tratados para los Fines del responsable del tratamiento o cualquier Dato personal del Contratista que ServiceChannel deba conservar en virtud de la legislación aplicable; o
(ii) Datos personales del Contratista archivados en sistemas de copia de seguridad, que ServiceChannel aislará y protegerá de forma segura de cualquier Tratamiento posterior, excepto en la medida en que lo exija dicha ley hasta que sea posible su eliminación.
11. Auditoría
11.1 El Contratista podrá, en la medida en que ServiceChannel actúe como Encargado del tratamiento, auditar el cumplimiento de este DPA por parte de ServiceChannel. Las partes acuerdan que todas estas auditorías se llevarán a cabo:
(a) no más de una vez al año, a menos que se requieran auditorías más frecuentes para cumplir con la Legislación de protección de datos o que lo exija una autoridad de control con jurisdicción sobre el Tratamiento de Datos personales del Contratista;
(b) previa notificación por escrito a ServiceChannel con dos semanas de antelación;
(c) solo durante el horario laboral normal de ServiceChannel; y
(d) de una manera que no interrumpa sustancialmente la actividad o las operaciones de ServiceChannel.
11.2 Con respecto a cualquier auditoría realizada en virtud de la Sección 10.1:
(a) el Contratista puede contratar a un auditor externo para que realice la auditoría en su nombre, salvo que ServiceChannel pueda oponerse razonablemente a la contratación del auditor externo si dicho auditor externo es un competidor de ServiceChannel;
(b) ServiceChannel no estará obligado a facilitar o ayudar con ninguna auditoría a menos que y hasta que las partes hayan acordado por escrito el alcance y el momento de dicha auditoría y las tasas de reembolso en virtud de la Sección0.
11.3 El Contratista reembolsará a ServiceChannel el tiempo dedicado a dicha auditoría a las tarifas acordadas por las partes. Antes del inicio de dicha auditoría, el Contratista y ServiceChannel acordarán mutuamente el alcance, el momento y la duración de la auditoría, además del coste de reembolso del que será responsable el Contratista. Todos los costes de reembolso serán razonables, teniendo en cuenta los recursos gastados por ServiceChannel. El Contratista notificará inmediatamente a ServiceChannel la información relativa a cualquier incumplimiento descubierto durante el transcurso de una auditoría.
11.4 El Contratista reconoce que ServiceChannel es auditada regularmente según la norma SSAE 18 SOC 1 por auditores externos independientes. ServiceChannel proporcionará al Contratista, previa solicitud, o podrá proporcionar al Contratista en respuesta a cualquier solicitud de auditoría, una copia resumida de su(s) informe(s) de auditoría al Contratista, que estará sujeta a las disposiciones de confidencialidad del Contrato. Si una auditoría solicitada por el Contratista se aborda en el informe de auditoría proporcionado por ServiceChannel, el Contratista se compromete a aceptar dicho informe en lugar de realizar una auditoría física de los controles cubiertos por el informe pertinente.
12. Limitación de responsabilidad
El presente DPA está sujeto a las limitaciones de responsabilidad y a los descargos de responsabilidad del Contrato.
13. Partes de este Contrato
Salvo lo establecido en las Cláusulas contractuales tipo, nada de lo contenido en este DPA conferirá ningún beneficio o derecho a ninguna persona o entidad que no sean las partes de este DPA.
14. Efecto legal
Este DPA complementa y forma parte del Contrato.
15. General
15.1 Salvo en lo dispuesto en las Cláusulas contractuales tipo incorporadas en el presente DPA, este documento se regirá e interpretará en todos los aspectos de acuerdo con la legislación aplicable y las disposiciones sobre jurisdicción del Contrato, siempre que, en caso de conflicto entre el Contrato y el presente DPA con respecto al tratamiento de Datos personales, prevalezca el presente DPA.
15.2 El presente Contrato podrá formalizarse en un número cualquiera de ejemplares, constituyendo cada uno de los cuales un original y formando todos ellos un único y el mismo acuerdo entre las partes.
15.3 Aparte de lo establecido en el presente DPA, el Contrato permanecerá en pleno vigor y efecto.
ANEXO I
A. LISTA DE PARTES
| Nombre | Dirección | Nombre, puesto y datos de contacto de la persona de contacto | Actividades relevantes para los datos transferidos | Función | |
| Exportador de datos | Contratista (según lo dispuesto durante el registro para los Servicios) | Según lo dispuesto durante el registro para los Servicios | Según lo dispuesto durante el registro para los Servicios | Recepción de los Servicios | Responsable del tratamiento |
| Importador de datos | ServiceChannel.com, Inc. | 30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615 | Brian Chase, asesor jurídico general, [email protected] | Prestación de los Servicios | Encargado del tratamiento |
B. DESCRIPCIÓN DE LA TRANSFERENCIA
| Interesados | Categorías de datos personales | Datos personales sensibles | Frecuencia de la transferencia | Naturaleza y fin del tratamiento |
| Usuarios finales del Contratista | Nombre, dirección de correo electrónico, función en el Contratista, credenciales. | Ninguno | Continuo | Conceder acceso a los Servicios a los Usuarios finales. |
| Usuarios finales del Contratista | Nombre, número de teléfono, servicios de gestión de instalaciones que se proporcionarán. | Ninguno | Continuo | Facilitar el contacto entre los Usuarios finales y los Clientes para el cumplimiento de los Contratos de compra. |
| Usuarios finales del Contratista | Nombre, geolocalización precisa, hora de entrada, hora de salida. | Ninguno | Continuo | Proporcionar información al Cliente sobre la prestación de servicios de gestión de instalaciones en virtud de un Contrato de compra. |
| Usuarios finales del Contratista | Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados. | Ninguno/a | Continuo | Facilitar el cálculo de los importes adeudados en virtud del Contrato de compra. |
| Usuarios finales del Contratista Usuarios autorizados de clientes que soliciten servicios de gestión de instalaciones | Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados. | Ninguno/a | Continuo | Envío de facturas en virtud de Contratos de compra al Cliente. |
| Usuarios finales del Contratista Usuarios autorizados de clientes que soliciten servicios de gestión de instalaciones | Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados. | Ninguno/a | Continuo | Mantener registros de transacciones de los servicios prestados por el Contratista en virtud de los Contratos de compra. |
| Usuarios finales del Contratista | Nombre, servicios de gestión de instalaciones prestados por el Usuario final, fecha y ubicación de los servicios prestados, geolocalización precisa. | Ninguno/a | Continuo | Facilitar la gestión de los Usuarios finales del Contratista, incluida la programación y la dotación de personal. |
| Puntos de contacto clave del Contratista | Nombre, dirección de correo electrónico, número de teléfono. | Ninguno | Continuo | Promocionar los servicios del Contratista a través del Catálogo. |
| Usuarios finales del Contratista | Consultas a asistencia enviadas por el Usuario final. | Ninguno/a | Continuo | Proporcionar asistencia técnica. |
| Usuarios finales del Contratista | Datos de registro relacionados con el uso de los Servicios por parte del Usuario final. | Ninguno/a | Continuo | Proporcionar acceso a los Servicios. |
Retención
La duración del tratamiento será la misma que la duración de la prestación de servicios en virtud del MSA.
Subencargados del tratamiento
Según se describe en https://bit.ly/SC_Subprocessors
C. AUTORIDAD DE CONTROL COMPETENTE
Comisionado de Protección de Datos de Irlanda
ANEXO II
Medidas de seguridad
ServiceChannel seguirá siendo responsable en todo momento de las siguientes medidas de seguridad de transferencia comercialmente razonables:
| MEDIDAS DE SEGURIDAD DE TRANSFERENCIA | MEDIDAS IMPLEMENTADAS |
| Medidas de seudonimización y cifrado de Datos personales | Seudonimización · enmascaramiento de caracteres · intercambio · k-anonimato Cifrado · Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) en cada interfaz de inicio de sesión, utilizando algoritmos y certificados estándar del sector. · Cifrado de datos en reposo utilizando el algoritmo AES-256 estándar del sector |
| Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento | Confidencialidad · Red privada virtual (VPN) · Autenticación multifactor (MFA) · Sistema de derechos diferenciados basado en grupos de seguridad y listas de control de acceso. · Transmisión segura de credenciales mediante TLS 1.2 (o superior) · Las contraseñas requieren una complejidad mínima definida. Las contraseñas iniciales deben cambiarse después del primer inicio de sesión. · Bloqueo automático de cuentas · Directrices para la gestión de contraseñas · Controles de acceso a la infraestructura alojada por el proveedor de servicios en la nube · Gestión de derechos de acceso, incluido el concepto de autorización, implementación de restricciones de acceso, implementación del principio de “necesidad de conocer”, gestión de derechos de acceso individuales. · Acuerdos de formación y confidencialidad para el personal interno y externo · Separación de redes · Separación de responsabilidades y deberes · Limitar el acceso a los Datos personales a las partes implicadas en el Tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Integridad · Interconexiones de red seguras garantizadas por cortafuegos, etc. · Registro de transmisiones de datos del sistema informático que almacena o trata Datos personales · Autenticación de registro y acceso lógico al sistema supervisado · Registro del acceso a los Datos personales, incluidos, entre otros, el acceso, la modificación, la introducción y la supresión de Datos personales · Documentación de los derechos de introducción de Datos personales y registro de entradas relacionadas con la seguridad · Cortafuegos de aplicaciones web (WAF) Disponibilidad y resiliencia · Los Datos personales del Contratista se copian por seguridad en múltiples almacenes de datos duraderos y se replican en múltiples zonas de disponibilidad. · Protección de los soportes de copia de seguridad almacenados |
| Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de forma pertinente en caso de incidente físico o técnico | · Planificación de continuidad y plan de recuperación ante desastres · Procesos de recuperación ante desastres para restaurar datos y procesos · Objetivo de tiempo de recuperación (RTO) · Objetivo de punto de recuperación (RPO) · Tiempo de inactividad máximo tolerable (MTD) · Medidas de gestión de la capacidad para supervisar el consumo de recursos de los sistemas, así como planificación de futuros requisitos de recursos. · Procedimientos para gestionar y notificar incidentes (gestión de incidentes), incluida la detección y reacción a posibles incidentes de seguridad. · Se realiza una copia de seguridad de los datos productivos cada hora de forma incremental y diariamente como copia de seguridad completa. Todas las copias de seguridad se conservan de forma redundante y cifradas (AES-256). |
| Procesos para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del Tratamiento | · Pruebas de equipos de emergencia · Documentación de interfaces y campos de Datos personales · Auditorías internas y externas · Comprobaciones de seguridad (p. ej., pruebas de penetración) realizadas por terceros · Auditorías SOC 1 y 2 · Pruebas y análisis comparativos regulares con los estándares del sector, p. ej., SANS Top 20 Controls for Internet Security, directrices NIST, etc. |
| Medidas para la identificación y autorización del usuario | · Interconexiones de red seguras garantizadas por VPN, MFA, cortafuegos, etc. · Registro de transmisiones de datos del sistema informático que almacena o trata datos personales · Autenticación de registro y acceso al sistema supervisado · El acceso a los datos necesarios para la realización de la tarea en particular se garantiza dentro de los sistemas y aplicaciones mediante un rol correspondiente y un concepto de autorización de acuerdo con el principio de “necesidad de conocer”. · Cortafuegos de aplicaciones web (WAF) |
| Medidas para la protección de Datos personales durante la transmisión | · Acceso remoto a la red a través de túnel VPN y cifrado integral · Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) |
| Medidas para la protección de Datos personales durante el almacenamiento | · Entradas del sistema registradas a través de archivos de registro · Listas de control de acceso (ACL) · Autenticación multifactor (MFA) |
| Medidas para garantizar la seguridad física de las ubicaciones en las que se tratan los Datos personales | · Subdivisión de la instalación en zonas individuales con diferentes autorizaciones de acceso; · Protección del acceso físico (p. ej., puertas de acero, habitaciones sin ventanas o ventanas protegidas); · Sistema de control de acceso electrónico para proteger las áreas de seguridad; · Supervisión de la instalación mediante servicios de seguridad y registro de acceso a la instalación; · Videovigilancia de todas las áreas de seguridad relevantes para la seguridad, como entradas, salidas de emergencia y salas de servidores; · Asignación y revocación central de autorizaciones de acceso; · Identificación de todos los visitantes mediante la verificación de su documento de identidad y registro (se mantiene un registro de visitantes); · Identificación obligatoria dentro de las áreas de seguridad para todos los empleados y visitantes; · Los visitantes deben estar acompañados por empleados en todo momento. |
| Medidas para garantizar el registro de eventos | · Registro remoto · Encadenamiento hash · Replicación · Sistema central de gestión de información y eventos de seguridad (SIEM) |
| Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada | · Política y procedimientos de control de acceso · Identificación de la configuración de referencia · Planificación y gestión de la configuración · Gestión de cambios de configuración · Registro del estado de la configuración · Verificación y auditorías de configuración · Gestión de dispositivos móviles |
| Medidas para la gobernanza y gestión de la seguridad de las TI y las TI internas | · Persona designada e identificada para supervisar el programa de cumplimiento y seguridad de la información de la empresa · Auditoría SOC 1 y 2 |
| Medidas para la certificación/garantía de procesos y productos | · Certificaciones de seguridad de la información o de gestión de calidad como SSAE 18 Tipo 2 SOC 1 y SSAE18 Tipo 2 SOC2 |
| Medidas para garantizar la minimización de los Datos personales | · Barreras tecnológicas para la vinculación no autorizada de fuentes de Datos personales independientes. · Limitación al nivel de detalle utilizado en el tratamiento de Datos personales: por ejemplo, mediante técnicas como el k-anonimato y la ofuscación. · Supresión de metadatos generados durante ciertos procesos que no son necesarios para el objetivo perseguido. |
| Medidas para garantizar la calidad de los Datos personales | · Proceso para el ejercicio de los derechos de protección de datos (derecho a modificar y actualizar la información) · Documentación clara de los requisitos para todas las condiciones y escenarios de Datos personales · Limitar el acceso a los Datos personales a las partes implicadas en el Tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Perfiles de datos rigurosos y control de los Datos personales entrantes · Diseño de canalización de datos para evitar datos duplicados · Equipo de garantía de calidad · Aplicación de la integridad de los datos |
| Medidas para garantizar la conservación limitada de Datos personales | · La existencia de programas y políticas de conservación claros · Prueba de efectividad |
| Medidas para garantizar la responsabilidad | · Asignar la responsabilidad de garantizar la privacidad del usuario final durante todo el ciclo de vida del producto y a través de los procesos empresariales aplicables. · Evaluaciones del impacto de la protección de datos como parte integral de cualquier nueva iniciativa de tratamiento. · Documentar todas las decisiones adoptadas dentro de la organización desde una perspectiva de “pensamiento conceptual de privacidad”. |
| Medidas para permitir la portabilidad de los Datos personales y garantizar el borrado | · Procesos documentados en relación con el ejercicio por parte de los usuarios de sus derechos de privacidad (p. ej., derecho de supresión o derecho a la portabilidad de los datos) · Uso de formatos abiertos como CSV, XML o JSON. |
| Restricciones o salvaguardas aplicadas para datos sensibles (si procede) | · El cifrado o “hash” de datos de categorías especiales, aunque no sea un requisito legal explícito, debe ser la norma |
EXHIBIT I – STANDARD CONTRACTUAL CLAUSES
(La redacción de las Cláusulas Contractuales Tipo incluidas en este anexo es la determinada por la ANPD mediante la Resolución N.º 19/2024 y, por lo tanto, no puede ser ajustada, modificada ni negociada por las partes. ServiceChannel proporciona las Cláusulas Contractuales Tipo únicamente en las versiones oficiales publicadas por la ANPD —es decir, el texto original en portugués y la traducción al inglés emitida por la ANPD— y, de acuerdo con la práctica del sector, ofrecemos un enlace a la versión oficial en portugués, basándonos únicamente en la traducción al inglés de la ANPD. No traducimos las Cláusulas Contractuales Tipo a otros idiomas para preservar su significado legal y su propósito legislativo, tal como lo adoptó la ANPD.)
SECTION I – GENERAL INFORMATION
CLAUSE 1. PARTIES’ IDENTIFICATION
1.1. Under this contractual deed, the Parties identified in the Data Processing Agreement, acting either as Exporter or Importer, agree to adopt the standard contractual clauses (hereinafter, Clauses) approved by the Brazilian National Data Protection Authority (ANPD), to govern International Data Transfers, as described in CLAUSE 2, according to the Brazilian Legislation.
CLAUSE 2. SUBJECT
2.1. These Clauses shall apply to all International Data Transfers by the Exporter to the Importer. The main purposes of the transfer, the categories of the personal data transferred, the retention period, and other information concerning the transfer are described in the Data Processing Agreement.
CLAUSE 3. SUBSEQUENT TRANSFERS
3.1. The Importer may carry out Onward Transfers of the Personal Data subject to the International Data Transfer governed by these Clauses under the conditions described below and provided that the provisions of CLAUSE 18 are observed.
CLAUSE 4. PARTIES’ RESPONSIBILITIES
4.1. Without prejudice to the duty to provide mutual assistance or to the Parties’ general obligations, it will be incumbent upon the Designated Party as established below, in its capacity as Controller, to carry out the following obligations as set out in these Clauses:
a) Party responsible for publishing the document referenced in CLAUSE 14;
(X) Exporter ( ) Importer
b) Party responsible for responding to requests by the data subjects as referenced in CLAUSE 15:
(X) Exporter ( ) Importer
c) Party responsible for communicating a security incident as described in CLAUSE 16:
(X) Exporter ( ) Importer
4.2. For the purposes of these Clauses, if it is subsequently determined that the Designated Party, as established in item 4.1., works as a Processor, the Controller will remain responsible:
a) for the execution of the obligations established in Sections 14, 15, and 16, and in any other provisions of the Brazilian Legislation, especially if the Designated Party neglects or fails to perform its obligations;
b) for the compliance with all ANPD requirements; and
c) for the assurance of the Data Subjects’ rights and the compensation of any damages caused, subject to the terms of CLAUSE 17.
4.2. The Exporter shall be jointly liable for any damages caused by the International Data Transfer, when executed in violation of the obligations established under the Brazilian Legislation or any lawful instructions by the Third-Party Controller, in which case the Exporter shall be deemed to be the Controller, subject to the terms of CLAUSE 17.
4.3. If the Exporter is deemed to be the Controller, as referenced in item 4.2, it will be incumbent upon the Exporter to carry out the obligations established in CLAUSES 14, 15, and 16.
4.4. Except as provided in items 4.2. and 4.3, the provisions of CLAUSES 14, 15, and 16 shall not apply to the Parties in their capacities as Processors.
4.5. Under any circumstance, the Parties shall furnish all the information available to them, which are seemingly necessary to allow the Third-Party Controller to adhere to ANPD requirements and to properly perform the obligations established under the Brazilian Legislation concerning transparency, the assurance of the rights of data subjects, and the communication of security incidents to the ANPD.
4.6. The Parties shall mutually assist each other in responding to any requests by the Data Subjects.
4.7. If a request is received from a Data Subject, the applicable Party shall:
a) respond to the request, when it possesses the information needed to do so;
b) inform the Data Subject of the service channel provided by the Third-Party Controller; or
c) forward the request to the Third-Party Controller as soon as possible, to enable a response within the timeframe established under the Brazilian Legislation.
4.8. The Parties shall keep a record of security incidents involving personal data, according to the terms of the Brazilian Legislation.
SECTION II – MANDATORY CLAUSES
CLAUSE 5. Purpose
5.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.
CLAUSE 6. Definitions
6.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:
a) Processing agents: the controller and the processor;
b) ANPD: National Data Protection Authority;
c) Clauses: the standard contractual clauses approved by ANPD, which are part of SECTIONS I, II and III;
d) Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;
e) Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;
f) Personal Data: information related to an identified or identifiable natural person;
g) Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;
h) Erasure: exclusion of data or dataset from a database, regardless of the procedure used;
i) Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;
j) Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;
k) National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;
l) Arbitration Law: Law No. 9,307, of September 23, 1996;
m) Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;
n) Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;
o) Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;
p) Designated Party: Party or a Third-Party Controller, under the terms of CLAUSE 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;
q) Parties: Exporter and Importer;
r) Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;
s) Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;
t) Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to CLAUSE 4 (“Option B”);
u) Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;
v) Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;
w) International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and
x) Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.
CLAUSE 7. Applicable legislation and ANPD supervision
7.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.
CLAUSE 8. Interpretation
8.1. Any application of these Clauses shall occur in accordance with the following terms:
a) these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;
b) in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;
c) no item in these Clauses, including a Related Agreement and the provisions set forth in SECTION IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and
d) provisions of SECTIONS I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in SECTIONS III and IV of this agreement or in Related Agreements.
CLAUSE 9. Docking Clause
9.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.
9.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.
CLAUSE 10. General obligations of the Parties
10.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:
a) use the Personal Data only for the specific purposes described in CLAUSE 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;
b) guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;
c) limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;
d) guarantee to the Data Subjects, subject to the provisions of CLAUSE 4:
(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;
(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and
(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;
e) adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;
f) not to process Personal Data for abusive or unlawful discriminatory purposes;
g) ensure that any person acting under their authority, including sub-processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;
h) keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.
CLAUSE 11. Sensitive personal data
11.1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in SECTION III.
CLAUSE 12. Personal data of children and adolescents
12.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.
CLAUSE 13. Legal use of data
13.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.
CLAUSE 14. Transparency
14.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:
a) the form, duration and specific purpose of the international transfer;
b) the destination country of the transferred data;
c) the Designated Party’s identification and contact details;
d) the shared use of data by the Parties and its purpose;
e) the responsibilities of the agents who shall conduct the processing;
f) the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and
g) Onward Transfers, including those relating to recipients and to the purpose of such transfer.
14.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.
14.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.
14.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.
CLAUSE 15. Rights of the data subject
15.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:
a) confirmation of the existence of processing;
b) access to data;
c) correction of incomplete, inaccurate or outdated data;
d) anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;
e) portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;
f) erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in CLAUSE 20;
g) information on public and private entities with which the Parties have shared data;
h) information on the possibility of denying consent and on the consequences of the denial;
i) withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;
j) review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and
k) information on the criteria and procedures adopted for the automated decision.
15.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.
15.3. The deadline for responding to the requests provided for in this Clause and in item 14.3 is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.
15.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall: a) inform the Data Subject of the service channel made available by the Designated Party; or b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.
15.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.
15.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.
CLAUSE 16. Security Incident Reporting
16.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.
16.2. The Importer must keep a record of security incidents in accordance with National Legislation.
CLAUSE 17. Liability and compensation for damages
17.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.
17.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.
17.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.
17.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.
17.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.
17.6. Parties shall not be held liable if they have proven that: a) they have not carried out the processing of Personal Data attributed to them; b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or c) the damage results from the sole fault of the Data Subject or of a third party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.
17.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.
17.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.
17.9. The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.
CLAUSE 18. Safeguards for Onward Transfers
18.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in CLAUSE 3.
18.2. In any case, the Importer:
a) shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in CLAUSE 2;
b) shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and
c) for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.
18.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in CLAUSE 3.
CLAUSE 19. Access Request Notification
19.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.
19.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.
19.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.
CLAUSE 20. Termination of processing and erasure of data
20.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:
a) compliance with a legal or regulatory obligation by the Controller;
b) study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;
c) transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and
d) exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.
20.2. For the purposes of this Clause, processing of personal data shall cease when:
a) the purpose set forth in these Clauses has been achieved;
b) Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;
c) at the termination of the treatment period;
d) Data Subject’s request is met; and
e) at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.
CLAUSE 21. Data processing security
21.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.
21.2. Parties shall inform, in SECTION III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents.
21.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.
CLAUSE 22. Legislation of country of destination
22.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.
22.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.
CLAUSE 23. Non-compliance with the Clauses by the Importer
23.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.
23.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:
a) suspend the International Data Transfer;
b) request the return of the Personal Data, its transfer to a third-party, or its erasure; and
c) terminate the contract.
CLAUSE 24. Choice of forum and jurisdiction
24.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.
24.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.
24.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.
SECTION III – Security Measures
The governance and internal process oversight measures, as well as the technical and administrative security measures to ensure the safety of operations such as data collection, transmission, and storage, are already described in the Data Processing Agreement.
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar