Última actualización: 28 de enero de 2025
Contrato de tratamiento de datos
El presente Contrato de tratamiento de datos (“DPA”, por sus siglas en inglés) forma parte del Contrato marco de servicios (“MSA”, por sus siglas en inglés) entre ServiceChannel.com, Inc. (en adelante, “ServiceChannel”) y el Cliente (según se define en el MSA). Tanto el Cliente como ServiceChannel se denominan aquí una “parte” y conjuntamente como las “partes”.
CONSIDERANDO QUE
(i) El Cliente y ServiceChannel han celebrado el Contrato marco de servicios en virtud del cual ServiceChannel prestará al Cliente los Servicios.
(ii) ServiceChannel tratará los Datos del Cliente (que pueden contener Datos personales) en el transcurso de la prestación de los Servicios.
(iii) Las partes desean en el momento presente celebrar este DPA que rige el tratamiento por parte de ServiceChannel de dichos Datos personales contenidos en los Datos del Cliente.
EN CONSECUENCIA, las partes acuerdan las siguientes estipulaciones:
1. Definiciones:
En este Contrato de tratamiento, los términos definidos en el MSA tienen el mismo significado cuando se utilizan aquí. Además, los siguientes términos tendrán los siguientes significados:
(a) “Datos de administración” significa: (i) los datos de contacto y el contenido de la correspondencia con el titular principal de la cuenta o administrador del Cliente; (ii) las consultas de asistencia enviadas por los usuarios autorizados del Cliente en relación con el Servicio;
(b) “Filiales” se refiere a cualquier entidad que esté controlada, controle o esté bajo control común con ServiceChannel;
(c) “CCPA” se refiere a la Ley de Privacidad del Consumidor de California de 2018, apdo. 1798.100 del Código Civil de California y ss., incluidas sus normativas de implementación y la Ley de Derechos de Privacidad de California de 2020;
(d) “Fines del responsable del tratamiento” significa llevar a cabo investigación y desarrollo internos para desarrollar, probar, mejorar y alterar la funcionalidad de los productos y servicios de ServiceChannel; (b) crear conjuntos de datos anonimizados para la formación o evaluación de los productos y servicios de ServiceChannel; (c) administrar la relación de ServiceChannel con el Cliente en virtud del MSA;
(e) “Cliente” se refiere al cliente que ha formalizado el Contrato marco de servicios;
(f) “Datos personales del Cliente” se refiere, aparte de las Calificaciones y valoraciones, a los Datos personales contenidos en los Datos del Cliente, según se describe con más detalle en el Anexo I de este DPA;
(g) “Legislación de protección de datos” se refiere a todas las leyes, normas, reglamentos y requisitos gubernamentales aplicables relacionados con la privacidad, confidencialidad o seguridad de los Datos personales (según se modifiquen o actualicen de otro modo de vez en cuando), incluidos, entre otros, el RGPD, el RGPD del Reino Unido y la Legislación de protección de datos de EE. UU.;
(h) “Interesado” significa: (i) una persona física con la que se relacionan los Datos personales; y (ii) una persona que sea un “interesado”, “consumidor” o cualquier término equivalente en virtud de la Legislación de protección de datos;
(i) “RGPD” significa el Reglamento (UE) 2016/679 (el “RGPD de la UE”) o, cuando proceda, el “RGPD del Reino Unido” según se define en la sección 3(10) de la Ley de protección de datos del Reino Unido de 2018;
(j) “Datos personales” se refiere a cualquier información que: (i) esté relacionada, vinculada o sea razonablemente vinculada a una persona física identificada o identificable; o (ii) sea de otro modo “datos personales”, “información personal”, “información de identificación personal” o datos o información definidos de forma similar en virtud de la Legislación de protección de datos;
(k) “Tratamiento” se refiere a cualquier operación o conjunto de operaciones que se realice sobre los Datos personales, ya sea por medios automáticos o no, como la recogida, el registro, la organización, el almacenamiento, la adaptación o alteración, recuperación, consulta, el uso, la divulgación por transmisión, difusión o puesta a disposición en general, la alineación o combinación, el bloqueo, la supresión o destrucción (teniendo “tratar”, “tratamientos” y “tratado” el mismo significado);
(l) “Calificaciones y valoraciones” tiene el significado que se le otorga en la Sección 0;
(m) “Venta” o “vender” tiene el significado que se le otorga en la CCPA;
(n) “Acción” tiene el significado que se le otorga en la CCPA;
(o) “Violación de la seguridad de los datos” se refiere a una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidentales o ilícitos a los Datos personales del Cliente;
(p) “Cláusulas contractuales tipo” se refiere a las cláusulas contractuales adjuntas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, con sus actualizaciones o sustituciones pertinentes;
(q) “Subencargado del tratamiento” se refiere a cualquier entidad externa contratada por ServiceChannel para tratar Información personal en nombre del Cliente o para prestar los servicios especificados en el Contrato;
(r) “Anexo del Reino Unido” se refiere a la plantilla de anexo, versión B.1.0 emitida por el Comisionado de Información del Reino Unido en virtud de la sección 119A(1) de la Ley de Protección de Datos del Reino Unido de 2018 y presentada ante el Parlamento del Reino Unido el 2 de febrero de 2022, con sus revisiones, de acuerdo con la Sección 18 del Anexo del Reino Unido;
(s) “Legislación de protección de datos de EE. UU.” se refiere a todas las leyes federales y estatales, normas, reglamentos y requisitos gubernamentales aplicables relativos a la protección de datos, el tratamiento de datos personales, la privacidad o la protección de datos vigentes en cada momento en los Estados Unidos, incluidos, entre otros: la CCPA, la Ley de Protección de Datos del Consumidor de Virginia, Código de Virginia Título 59.1 Capítulo 52 § 59.1-571 y ss., la Ley de Privacidad de Colorado, Estatuto revisado de Colorado Título 6 Artículo 1 Parte 13 § 6-1-1301 y ss., la Ley de Privacidad del Consumidor de Utah, Código de Utah § 13-6-101 y ss., la Ley del Senado de Connecticut 6, una ley relativa a la privacidad de datos personales y la supervisión en línea (según se haya establecido e inscrito dicha ley);
(t) “Datos de uso” significa información de diagnóstico, uso y rendimiento recopilada por ServiceChannel en relación con el uso de los Servicios por parte del Cliente y sus usuarios autorizados; y
(u) los términos “Responsable del tratamiento”, “Encargado del tratamiento”, “Empresa” y “Proveedor de servicios” tienen los significados que se les otorgan en la Legislación de protección de datos.
2. Relación de las partes; cumplimiento de la ley
2.1 El Cliente:
(a) designa a ServiceChannel para tratar los Datos personales del Cliente como su Encargado del tratamiento o Proveedor de servicios;
(b) reconoce y acepta que ServiceChannel puede:
(i) utilizar los Datos de administración y los Datos de uso para los Fines del responsable del tratamiento y que, a los efectos del RGPD, lo hace como Responsable del tratamiento;
(ii) recopilar y mostrar comentarios, opiniones y reseñas enviados a ServiceChannel por los usuarios autorizados del Cliente en relación con los proveedores de servicios contratados por el Cliente (“Calificaciones y valoraciones”)y que, a efectos de la Legislación de protección de datos, lo hace como Responsable del tratamiento o Empresa.
2.2 Cada una de las partes deberá cumplir con las obligaciones que le corresponden según la Legislación de protección de datos y ofrecer el mismo nivel de protección de privacidad que exige la Legislación de protección de datos.
2.3 El Cliente se asegurará de que sus instrucciones para el Tratamiento de Datos personales del Cliente cumplan con la Legislación de protección de datos. El Cliente será el responsable exclusivo de la exactitud, calidad y legalidad de los Datos personales del Cliente y de los medios a través de los cuales obtuvo los Datos personales del Cliente.
2.4 ServiceChannel notificará al Cliente inmediatamente si determina que ya no puede cumplir con sus obligaciones en virtud de la Legislación de protección de datos.
2.5 El Cliente puede tomar medidas razonables y apropiadas para:
(a) garantizar que ServiceChannel utilice los Datos personales del Cliente de forma coherente con las obligaciones del Cliente en virtud de la Legislación de protección de datos; y
(b) previa notificación razonable, detener y remediar el uso no autorizado de los Datos personales del Cliente.
3. Tratamiento de Datos personales del Cliente
3.1 ServiceChannel solo tratará los Datos personales del Cliente en nombre y de acuerdo con el MSA, este DPA y (además de cualquier Tratamiento para los Fines del responsable del tratamiento) las instrucciones documentadas del Cliente. El Cliente concede mandato a ServiceChannel para tratar los Datos personales del Cliente con los siguientes fines: (i) Tratamiento de acuerdo con el MSA y cualquier pedido correspondiente; y (ii) Tratamiento para cumplir con otras instrucciones razonables que indique el Cliente cuando dichas instrucciones sean coherentes con los términos del MSA. ServiceChannel informará inmediatamente al Cliente si no puede seguir esas instrucciones o si, en su opinión, una instrucción del Cliente infringe la Legislación de protección de datos.
3.2 ServiceChannel no deberá:
(a) Vender o compartir Datos personales del Cliente;
(b) conservar, utilizar o divulgar Datos personales del Cliente para cualquier fin que no sea el fin comercial específico de prestar los Servicios especificados en el MSA o según lo permita la Legislación de protección de datos;
(c) conservar, utilizar o divulgar Datos personales del Cliente fuera de la relación comercial directa entre las partes; y
(d) combinar los Datos personales del Cliente con Datos personales que reciba de, o en nombre de, otra persona o personas, o que recopile a partir de su propia interacción con el Interesado, a menos que lo permitan expresamente, y se lleve a cabo de conformidad con, la Legislación de protección de datos.
3.3. El Cliente garantiza y se compromete a que los Datos personales del Cliente no contengan ninguno de los siguientes:
(a) Datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, condenas penales y cualquier otra categoría especial de Datos personales identificada en los artículos 9 o 10 del RGPD o Datos personales que sean de otro modo Datos personales sensibles en virtud de la Legislación de protección de datos aplicables;
(b) identificadores o plantillas biométricos;
(c) información financiera (incluida, entre otros, información de facturación y datos del titular de la tarjeta o datos sensibles de autenticación, tal y como se definen estos términos en la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago);
(d) información financiera de identificación personal, según se define y está sujeta a la Ley de Modernización Financiera de Gramm-Leach-Bliley de 1999;
(e) números de identificación nacional (incluidos, entre otros, números de la Seguridad Social, números del permiso de conducir o pasaporte u otros números de identificación emitidos por el gobierno);
(f) información relativa a personas menores de 13 años;
(g) registros educativos, según se definen en la Ley de Derechos Educativos y Privacidad Familiares de 1974;
(h) información médica protegida según se define en la Ley de Portabilidad y Responsabilidad de Seguros Médicos, y sujeta a ella.
4. Confidencialidad del tratamiento/Personal de ServiceChannel
4.1 ServiceChannel se asegurará de que cualquier persona a la que autorice a tratar los Datos personales del Cliente (una “Persona autorizada”) proteja los Datos personales del Cliente de acuerdo con las obligaciones de confidencialidad de ServiceChannel en virtud del presente Contrato.
4.2 ServiceChannel se asegurará de que su personal involucrado en el Tratamiento de los Datos personales del Cliente esté informado de la naturaleza confidencial de los Datos personales del Cliente y esté sujeto a obligaciones de confidencialidad.
4.3 ServiceChannel se asegurará de que el acceso a los Datos personales del Cliente se limite al personal que requiera dicho acceso para prestar los Servicios.
5. Seguridad/Gestión y notificación de incumplimientos
5.1 ServiceChannel implementará las medidas técnicas y organizativas adecuadas para la protección de la seguridad, la confidencialidad y la integridad de los Datos personales del Cliente, tal y como se establece en el Anexo II.
5.2 Si ServiceChannel tiene conocimiento de alguna Violación de la seguridad, ServiceChannel: (i) notificará al Cliente de la Violación de la seguridad de acuerdo con los plazos exigidos en la Legislación de protección de datos aplicables; (ii) investigará la Violación de la seguridad y proporcionará al Cliente información sobre la misma; y (iii) tomará medidas razonables para mitigar los efectos y minimizar cualquier daño resultante de la Violación de la seguridad.
5.3 ServiceChannel, a petición del Cliente, proporcionará al Cliente asistencia razonable para el cumplimiento de sus obligaciones en virtud de la Legislación de protección de datos en relación con una Violación de la seguridad de los datos notificada al Cliente por ServiceChannel.
5.4 ServiceChannel no tendrá ninguna obligación de notificar al Cliente ningún intento fallido de obtener acceso no autorizado a los Datos personales del Cliente o a alguno de los equipos o instalaciones de ServiceChannel que almacenan Datos personales del Cliente, incluyendo, entre otros, pings y demás ataques de difusión en cortafuegos o servidores periféricos, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio o incidentes similares.
5.5. Las notificaciones de Violaciones de seguridad, si las hubiera, se enviarán a uno o más contactos comerciales, técnicos o administrativos del Cliente por cualquier medio que ServiceChannel seleccione, incluido por correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que mantiene una información de contacto precisa en los sistemas de soporte de ServiceChannel en todo momento.
5.6 La notificación o respuesta de ServiceChannel a una Violación de la seguridad en virtud de esta Sección 5 no se interpretará como un reconocimiento por parte de ServiceChannel de cualquier fallo o responsabilidad con respecto a la Violación de la seguridad.
6. Subtratamiento
6.1 El Cliente reconoce y acepta que (i) ServiceChannel puede nombrar a Filiales como sus Subencargados del tratamiento; y (ii) ServiceChannel puede contratar a Subencargados del tratamiento externos en relación con la prestación de los Servicios. Dichos Subencargados del tratamiento podrán obtener Datos personales del Cliente únicamente para prestar los servicios cuya prestación les haya contratado ServiceChannel y tienen prohibido utilizar los Datos personales del Cliente para cualquier otro fin. ServiceChannel celebrará un acuerdo por escrito que imponga obligaciones de protección de datos al Subencargado que sean sustancialmente similares a las impuestas a ServiceChannel en este Contrato. ServiceChannel seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones del Subencargado en virtud de su contrato con ServiceChannel.
6.2 ServiceChannel podrá seguir utilizando los Subencargados ya contratados por él o por cualquier Filial de ServiceChannel en la fecha de este Contrato enumerado en https://bit.ly/SC_Subprocessors.
6.3 ServiceChannel notificará al Cliente por escrito con antelación el nombramiento de cualquier nuevo Subencargado del tratamiento, incluidos todos los detalles del Tratamiento que debe realizar el Subencargado del tratamiento. Si, en un plazo de 10 días desde la recepción de dicha notificación, el Cliente notifica por escrito a ServiceChannel cualquier objeción (por motivos razonables) al nombramiento propuesto, ServiceChannel no nombrará a ese Subencargado propuesto hasta que se hayan tomado las medidas razonables para abordar las objeciones planteadas por el Cliente y se haya proporcionado al Cliente una explicación razonable por escrito de las medidas adoptadas. El Cliente reconoce que en algunos casos podría no estar en condiciones de proporcionar todos los Servicios sin recurrir al nuevo Subencargado del tratamiento.
7. Transferencias restringidas
7.1 Las partes acuerdan que cuando la transferencia de Datos personales del Cliente a ServiceChannel sea una Transferencia restringida, estará sujeta a las Cláusulas contractuales tipo adecuadas de la siguiente manera:
(a) en relación con los Datos personales del Cliente protegidos por el RGPD de la UE, las CCT de la UE se aplicarán completadas de la siguiente manera:
(i) el Módulo dos será de aplicación;
(ii) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
(iii) en la Cláusula 9, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de cambios del subencargado del tratamiento será el establecido en la Cláusula 6.3 de este Contrato;
(iv) en la Cláusula 11, no se aplicará el texto opcional;
(v) en la Cláusula 17, se aplicará la Opción 1, y las CCT de la UE se regirán por la legislación irlandesa;
(vi) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
(vii) el Anexo I de las CCT de la UE se considerará completado con la información establecida en el Anexo I del presente Contrato;
(viii) el Anexo II de las CCT de la UE se considerará completado con la información establecida en el Anexo II del presente Contrato; y
(b) en relación con los Datos personales del Cliente protegidos por el RGPD del Reino Unido, el Anexo del Reino Unido se aplicará completado de la siguiente manera:
(i) las CCT de la UE, completadas como se establece anteriormente en la cláusula 7.1(a) de este Contrato, también se aplicarán a las transferencias de dichos Datos personales del Cliente, con sujeción a la subcláusula
(ii) a continuación;
(ii) las Tablas 1 a 3 del Anexo del Reino Unido se considerarán completadas con la información pertinente de las CCT de la UE, completadas como se establece anteriormente, y las opciones “ninguna de las partes” se considerarán marcadas en la Tabla 4. La fecha de inicio del Anexo del Reino Unido (como se establece en la Tabla 1) será la fecha del presente Contrato; y
(c) en caso de que alguna disposición de este Contrato contradiga, directa o indirectamente, las Cláusulas contractuales tipo, prevalecerán las Cláusulas contractuales tipo.
7.2 En caso de que el Anexo del Reino Unido o las CCT de la UE actuales sean sustituidas o reemplazadas por nuevas cláusulas contractuales tipo, las partes acuerdan que dichas nuevas cláusulas contractuales tipo se aplicarán automáticamente a la transferencia de Datos personales del Cliente del Cliente a ServiceChannel y se considerarán completadas, mutatis mutandis, como se describe en la Cláusula 7.1 anterior.
8. Cooperación y derechos de los interesados
8.1 ServiceChannel, en la medida en que lo permita la ley, informará inmediatamente al Cliente si recibe una solicitud de un Interesado para ejercer sus derechos en virtud de la Legislación de protección de datos. ServiceChannel no responderá a ninguna solicitud de dicho Interesado sin el consentimiento previo por escrito del Cliente, excepto para confirmar que la solicitud está relacionada con el Cliente.
8.2 En la medida en que el Cliente, en su uso o recepción de los Servicios, carezca de la capacidad de corregir, modificar, limitar, bloquear o suprimir los Datos personales del Cliente, según lo exija la Legislación de protección de datos, ServiceChannel hará todo lo comercialmente razonable por cumplir con las solicitudes razonables del Cliente para facilitar dichas acciones en la medida en que ServiceChannel esté legalmente autorizado a hacerlo.
8.3 ServiceChannel brindará una cooperación razonable al Cliente (a cargo de este último) en relación con cualquier evaluación del impacto de la protección de datos que exija la Legislación de protección de datos.
9. Rescisión; supresión o devolución de Datos
9.1 El presente Contrato finalizará automáticamente tras la eliminación o anonimización por parte de ServiceChannel de todos los Datos personales del Cliente.
9.2 Tras la rescisión o vencimiento del MSA, ServiceChannel deberá:
(a) si el Cliente lo solicita en un plazo de treinta (30) días desde el vencimiento del MSA (el “Periodo de retención”) proporcionar una copia de todos los Datos personales del Cliente en el formato de uso común solicitado por el Cliente, o proporcionar una funcionalidad de autoservicio que permita al Cliente descargar dichos Datos personales del Cliente;
(b) al vencimiento del Periodo de retención, eliminar todas las copias de los Datos personales del Cliente tratados por ServiceChannel o cualquiera de sus Subencargados del tratamiento, excepto:
(i) cualquier Dato de administración o Datos de uso tratados para los Fines del responsable del tratamiento o cualquier Dato personal del Cliente que ServiceChannel deba conservar en virtud de la legislación aplicable; o
(ii) Datos personales del Cliente archivados en sistemas de copia de seguridad, que ServiceChannel aislará y protegerá de forma segura de cualquier Tratamiento posterior, excepto en la medida en que lo exija dicha ley hasta que sea posible su eliminación.
10. Auditoría
10.1 El Cliente puede auditar el cumplimiento de este DPA por parte de ServiceChannel. Las partes acuerdan que todas estas auditorías se llevarán a cabo:
(a) no más de una vez al año, a menos que se requieran auditorías más frecuentes para cumplir con la Legislación de protección de datos o que lo exija una autoridad de control con jurisdicción sobre el Tratamiento de Datos personales del Cliente;
(b) previa notificación razonable a ServiceChannel;
(c) solo durante el horario laboral normal de ServiceChannel; y
(d) de una manera que no interrumpa sustancialmente la actividad o las operaciones de ServiceChannel.
10.2 Con respecto a cualquier auditoría realizada en virtud de la Sección 10.1:
(a) el Cliente puede contratar a un auditor externo para que realice la auditoría en su nombre, salvo que ServiceChannel pueda oponerse razonablemente a la contratación del auditor externo si dicho auditor externo es un competidor de ServiceChannel;
(b) ServiceChannel no estará obligado a facilitar o ayudar con ninguna auditoría a menos que y hasta que las partes hayan acordado por escrito el alcance y el momento de dicha auditoría y las tasas de reembolso en virtud de la Sección 10.3.
10.3 El Cliente reembolsará a ServiceChannel el tiempo dedicado a dicha auditoría a las tarifas acordadas por las partes. Antes del inicio de dicha auditoría, el Cliente y ServiceChannel acordarán mutuamente el alcance, el momento y la duración de la auditoría, además del coste de reembolso del que será responsable el Cliente. Todos los costes de reembolso serán razonables, teniendo en cuenta los recursos gastados por ServiceChannel. El Cliente notificará inmediatamente a ServiceChannel la información relativa a cualquier incumplimiento descubierto durante el transcurso de una auditoría.
10.4 El Cliente reconoce que ServiceChannel es auditada regularmente según la norma SSAE 18 SOC 1 por auditores externos independientes. ServiceChannel proporcionará al Cliente, previa solicitud, o podrá proporcionar al Cliente en respuesta a cualquier solicitud de auditoría, una copia resumida de su(s) informe(s) de auditoría al Cliente, que estará sujeta a las disposiciones de confidencialidad del MSA. Si una auditoría solicitada por el Cliente se aborda en el informe de auditoría proporcionado por ServiceChannel, el Cliente se compromete a aceptar dicho informe en lugar de realizar una auditoría física de los controles cubiertos por el informe pertinente.
11. Limitación de responsabilidad
El presente DPA está sujeto a las limitaciones de responsabilidad y a los descargos de responsabilidad del MSA.
12. Partes de este Contrato
Salvo lo establecido en las Cláusulas contractuales tipo, nada de lo contenido en este DPA conferirá ningún beneficio o derecho a ninguna persona o entidad que no sean las partes de este DPA.
13. Efecto legal
Este DPA complementa y forma parte del MSA.
14. General
14.1 El presente DPA se regirá e interpretará en todos los aspectos de acuerdo con la legislación aplicable y las disposiciones sobre jurisdicción del MSA, siempre que, en caso de conflicto entre el MSA y el presente DPA con respecto al tratamiento de Datos personales, prevalezca el presente DPA.
14.2 El presente Contrato podrá formalizarse en un número cualquiera de ejemplares, constituyendo cada uno de los cuales un original y formando todos ellos un único y el mismo acuerdo entre las partes.
14.3 Aparte de lo establecido en el presente DPA, el MSA permanecerá en pleno vigor y efecto.
ANEXO I
A. LISTA DE PARTES
| Nombre | Dirección | Nombre, puesto y datos de contacto de la persona de contacto | Actividades relevantes para los datos transferidos | Función | |
| Exportador de datos | Cliente (según se identifica en el MSA) | Según se identifica en el MSA | Según se identifica en el MSA | Recepción de los Servicios | Responsable del tratamiento |
| Importador de datos | ServiceChannel.com, Inc. | 30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615 | Brian Chase, asesor jurídico general, [email protected] | Prestación de los Servicios | Encargado del tratamiento |
B. DESCRIPCIÓN DE LA TRANSFERENCIA
| Interesados | Categorías de datos personales | Datos personales sensibles | Frecuencia de la transferencia | Naturaleza y fin del tratamiento | Periodo de retención |
| Usuarios autorizados del Cliente | Nombre, dirección de correo electrónico, dirección comercial, credenciales de acceso. | Ninguno/a | Continuo | Conceder acceso a los Servicios a los usuarios autorizados del Cliente. | Durante el tiempo que el Cliente autorice al usuario a recibir los Servicios. |
| Usuarios autorizados del Cliente | Nombre, dirección de correo electrónico, número de teléfono, dirección comercial. | Ninguno/a | Continuo | Facilitar el contacto entre el usuario autorizado del Cliente y las personas contratadas por el Cliente a través de los Servicios (“Contratistas”) | Durante el tiempo que el Cliente autorice al usuario a recibir los Servicios. |
| Usuarios autorizados del Cliente Personal del Contratista | Servicios de gestión de instalaciones solicitados a través de los Servicios, fecha y hora de la solicitud. | Ninguno/a | Continuo | Presentación de solicitudes de servicios de gestión de instalaciones a los Contratistas. | Durante la vigencia del MSA. |
| Usuarios autorizados del Cliente Personal del Contratista | Nombre, servicios de gestión de instalaciones prestados, fecha y ubicación de los servicios prestados. | Ninguno | Continuo | Mantenimiento de registros de servicios de gestión de instalaciones solicitados por el Cliente y completados. | Durante la vigencia del MSA. |
| Personal del Contratista | Nombre y datos de contacto (número de teléfono y dirección de correo electrónico) enviados por los usuarios autorizados del Cliente. | Ninguno/a | Continuo | Facilitar el contacto entre el usuario autorizado del Cliente y sus contactos clave en los Contratistas. | Durante la vigencia del MSA. |
| Usuarios autorizados del Cliente | Consultas de asistencia | Ninguno/a | Continuo | Proporcionar asistencia técnica. | Durante la vigencia del MSA. |
| Usuarios autorizados del Cliente | Datos de registro | Ninguno/a | Continuo | Proporcionar acceso a los Servicios. | Durante la sesión de navegación del usuario autorizado. |
Subencargados del tratamiento
Según se describe en https://bit.ly/SC_Subprocessors
C. AUTORIDAD DE CONTROL COMPETENTE
Comisionado de Protección de Datos de Irlanda
ANEXO II
Medidas de seguridad
ServiceChannel seguirá siendo responsable en todo momento de las siguientes medidas de seguridad de transferencia comercialmente razonables:
| MEDIDAS DE SEGURIDAD DE TRANSFERENCIA | MEDIDAS IMPLEMENTADAS |
| Medidas de seudonimización y cifrado de datos personales | Seudonimización • enmascaramiento de caracteres • intercambio • k-anonimato Cifrado • Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) en cada interfaz de inicio de sesión, utilizando algoritmos y certificados estándar del sector. • Cifrado de datos en reposo utilizando el algoritmo AES-256 estándar del sector |
| Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento | Confidencialidad • Red privada virtual (VPN) • Autenticación multifactor (MFA) • Sistema de derechos diferenciados basado en grupos de seguridad y listas de control de acceso. • Transmisión segura de credenciales mediante TLS 1.2 (o superior) • Las contraseñas requieren una complejidad mínima definida. Las contraseñas iniciales deben cambiarse después del primer inicio de sesión. • Bloqueo automático de cuentas • Directrices para la gestión de contraseñas • Controles de acceso a la infraestructura alojada por el proveedor de servicios en la nube • Gestión de derechos de acceso, incluido el concepto de autorización, implementación de restricciones de acceso, implementación del principio de “necesidad de conocer”, gestión de derechos de acceso individuales. • Acuerdos de formación y confidencialidad para el personal interno y externo • Separación de redes • Separación de responsabilidades y deberes • Limitar el acceso a los datos personales a las partes implicadas en el tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Integridad • Interconexiones de red seguras garantizadas por cortafuegos, etc. • Registro de transmisiones de datos del sistema informático que almacena o trata datos personales • Autenticación de registro y acceso lógico al sistema supervisado • Registro del acceso a los datos, incluidos, entre otros, el acceso, la modificación, la introducción y la supresión de datos • Documentación de los derechos de introducción de datos y registro de entradas relacionadas con la seguridad • Cortafuegos de aplicaciones web (WAF) Disponibilidad y resiliencia • Los datos de los clientes se copian por seguridad en múltiples almacenes de datos duraderos y se replican en múltiples zonas de disponibilidad. • Protección de los soportes de copia de seguridad almacenados |
| Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de forma pertinente en caso de incidente físico o técnico | • Planificación de continuidad y plan de recuperación ante desastres• Procesos de recuperación ante desastres para restaurar datos y procesos • Objetivo de tiempo de recuperación (RTO) • Objetivo de punto de recuperación (RPO) • Tiempo de inactividad máximo tolerable (MTD) • Medidas de gestión de la capacidad para supervisar el consumo de recursos de los sistemas, así como planificación de futuros requisitos de recursos. • Procedimientos para gestionar y notificar incidentes (gestión de incidentes), incluida la detección y reacción a posibles incidentes de seguridad. • Se realiza una copia de seguridad de los datos productivos cada hora de forma incremental y diariamente como copia de seguridad completa. Todas las copias de seguridad se conservan de forma redundante y cifradas (AES-256). |
| Procesos para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento | • Pruebas de equipos de emergencia• Documentación de interfaces y campos de datos personales • Auditorías internas y externas • Comprobaciones de seguridad (p. ej., pruebas de penetración) realizadas por terceros • Auditorías SOC 1 y 2 • Pruebas y análisis comparativos regulares con los estándares del sector, p. ej., SANS Top 20 Controls for Internet Security, directrices NIST, etc. |
| Medidas para la identificación y autorización del usuario | • Interconexiones de red seguras garantizadas por VPN, MFA, cortafuegos, etc.• Registro de transmisiones de datos del sistema informático que almacena o trata datos personales • Autenticación de registro y acceso al sistema supervisado • El acceso a los datos necesarios para la realización de la tarea en particular se garantiza dentro de los sistemas y aplicaciones mediante un rol correspondiente y un concepto de autorización de acuerdo con el principio de “necesidad de conocer”. • Cortafuegos de aplicaciones web (WAF) |
| Medidas para la protección de datos durante la transmisión | • Acceso remoto a la red a través de túnel VPN y cifrado integral• Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) |
| Medidas para la protección de datos durante el almacenamiento | • Entradas del sistema registradas a través de archivos de registro• Listas de control de acceso (ACL) • Autenticación multifactor (MFA) |
| Medidas para garantizar la seguridad física de las ubicaciones en las que se tratan los Datos personales | • Subdivisión de la instalación en zonas individuales con diferentes autorizaciones de acceso;• Protección del acceso físico (p. ej., puertas de acero, habitaciones sin ventanas o ventanas protegidas); • Sistema de control de acceso electrónico para proteger las áreas de seguridad; • Supervisión de la instalación mediante servicios de seguridad y registro de acceso a la instalación; • Videovigilancia de todas las áreas de seguridad relevantes para la seguridad, como entradas, salidas de emergencia y salas de servidores; • Asignación y revocación central de autorizaciones de acceso; • Identificación de todos los visitantes mediante la verificación de su documento de identidad y registro (se mantiene un registro de visitantes); • Identificación obligatoria dentro de las áreas de seguridad para todos los empleados y visitantes; • Los visitantes deben estar acompañados por empleados en todo momento. |
| Medidas para garantizar el registro de eventos | • Registro remoto• Encadenamiento hash • Replicación • Sistema central de gestión de información y eventos de seguridad (SIEM) |
| Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada | • Política y procedimientos de control de acceso• Identificación de la configuración de referencia • Planificación y gestión de la configuración • Gestión de cambios de configuración • Registro del estado de la configuración • Verificación y auditorías de configuración • Gestión de dispositivos móviles |
| Medidas para la gobernanza y gestión de la seguridad de las TI y las TI internas | • Persona designada e identificada para supervisar el programa de cumplimiento y seguridad de la información de la empresa• Auditoría SOC 1 y 2 |
| Medidas para la certificación/garantía de procesos y productos | • Certificaciones de seguridad de la información o de gestión de calidad como SSAE 18 Tipo 2 SOC 1 y SSAE18 Tipo 2 SOC2 |
| Medidas para garantizar la minimización de los datos | • Barreras tecnológicas para la vinculación no autorizada de fuentes de datos independientes.• Limitación al nivel de detalle utilizado en el tratamiento de datos personales: por ejemplo, mediante técnicas como el k-anonimato y la ofuscación. • Supresión de metadatos generados durante ciertos procesos que no son necesarios para el objetivo perseguido. |
| Medidas para garantizar la calidad de los datos | • Proceso para el ejercicio de los derechos de protección de datos (derecho a modificar y actualizar la información)• Documentación clara de los requisitos para todas las condiciones y escenarios de datos • Limitar el acceso a los datos personales a las partes implicadas en el tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Perfiles de datos rigurosos y control de los datos entrantes • Diseño de canalización de datos para evitar datos duplicados • Equipo de garantía de calidad • Aplicación de la integridad de los datos |
| Medidas para garantizar la conservación limitada de datos | • La existencia de programas y políticas de conservación claros• Prueba de efectividad |
| Medidas para garantizar la responsabilidad | • Asignar la responsabilidad de garantizar la privacidad del usuario final durante todo el ciclo de vida del producto y a través de los procesos empresariales aplicables.• Evaluaciones del impacto de la protección de datos como parte integral de cualquier nueva iniciativa de tratamiento. • Documentar todas las decisiones adoptadas dentro de la organización desde una perspectiva de “pensamiento conceptual de privacidad”. |
| Medidas para permitir la portabilidad de los datos y garantizar el borrado | • Procesos documentados en relación con el ejercicio por parte de los usuarios de sus derechos de privacidad (p. ej., derecho de supresión o derecho a la portabilidad de los datos)• Uso de formatos abiertos como CSV, XML o JSON. |
| Restricciones o salvaguardas aplicadas para datos sensibles (si procede) | • El cifrado o “hash” de datos de categorías especiales, aunque no sea un requisito legal explícito, debe ser la norma |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar