Última actualización: 19 de marzo de 2026

Contrato de tratamiento de datos

El presente Contrato de tratamiento de datos (“DPA”, por sus siglas en inglés) forma parte del Contrato marco de servicios (“MSA”, por sus siglas en inglés) entre ServiceChannel.com, Inc. (en adelante, “ServiceChannel”) y el Cliente (según se define en el MSA). Tanto el Cliente como ServiceChannel se denominan aquí una “parte” y conjuntamente como las “partes”.

CONSIDERANDO QUE

(i) El Cliente y ServiceChannel han celebrado el Contrato marco de servicios en virtud del cual ServiceChannel prestará al Cliente los Servicios.

(ii) ServiceChannel tratará los Datos del Cliente (que pueden contener Datos personales) en el transcurso de la prestación de los Servicios.

(iii) Las partes desean en el momento presente celebrar este DPA que rige el tratamiento por parte de ServiceChannel de dichos Datos personales contenidos en los Datos del Cliente.

EN CONSECUENCIA, las partes acuerdan las siguientes estipulaciones:

1. Definiciones:

En este Contrato de tratamiento, los términos definidos en el MSA tienen el mismo significado cuando se utilizan aquí. Además, los siguientes términos tendrán los siguientes significados:

(a) “Datos de administración” significa: (i) los datos de contacto y el contenido de la correspondencia con el titular principal de la cuenta o administrador del Cliente; (ii) las consultas de asistencia enviadas por los usuarios autorizados del Cliente en relación con el Servicio;

(b) “Filiales” se refiere a cualquier entidad que esté controlada, controle o esté bajo control común con ServiceChannel;

(c) “CCT brasileñas” se refiere a las cláusulas contractuales tipo adjuntas a la Resolución n.º 19/2024 de la Agencia Brasileña de Protección de Datos (“ANPD”);

(c) “CCPA” se refiere a la Ley de Privacidad del Consumidor de California de 2018, apdo. 1798.100 del Código Civil de California y ss., incluidas sus normativas de implementación y la Ley de Derechos de Privacidad de California de 2020;

(d) “Fines del responsable del tratamiento” significa llevar a cabo investigación y desarrollo internos para desarrollar, probar, mejorar y alterar la funcionalidad de los productos y servicios de ServiceChannel; (b) crear conjuntos de datos anonimizados para la formación o evaluación de los productos y servicios de ServiceChannel; (c) administrar la relación de ServiceChannel con el Cliente y sus contratistas en virtud del MSA;

(e) “Cliente” se refiere al cliente que ha formalizado el Contrato marco de servicios;

(f) “Datos personales del Cliente” se refiere, aparte de las Calificaciones y valoraciones, a los Datos personales contenidos en los Datos del Cliente, según se describe con más detalle en el Anexo I de este DPA;

(g) “Legislación de protección de datos” se refiere a todas las leyes, normas, reglamentos y requisitos gubernamentales aplicables relacionados con la privacidad, confidencialidad o seguridad de los Datos personales (según se modifiquen o actualicen de otro modo de vez en cuando), incluidos, entre otros, el RGPD, el RGPD del Reino Unido, la Ley brasileña n.º 13.709/2018 (“LGPD”) y la Legislación de protección de datos de EE. UU.;

(h) “Interesado” significa: (i) una persona física con la que se relacionan los Datos personales; y (ii) una persona que sea un “interesado”, “consumidor” o cualquier término equivalente en virtud de la Legislación de protección de datos;

(i) “CCT de la UE” se refiere a las cláusulas contractuales adjuntas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, con sus actualizaciones o sustituciones pertinentes;

(i) “RGPD” significa el Reglamento (UE) 2016/679 (el “RGPD de la UE”) o, cuando proceda, el “RGPD del Reino Unido” según se define en la sección 3(10) y la sección 205 de la Ley de protección de datos del Reino Unido de 2018;

(j) “Datos personales” se refiere a cualquier información que: (i) esté relacionada, vinculada o sea razonablemente vinculada a una persona física identificada o identificable; o (ii) sea de otro modo “datos personales”, “información personal”, “información de identificación personal” o datos o información definidos de forma similar en virtud de la Legislación de protección de datos;

(k) “Tratamiento” se refiere a cualquier operación o conjunto de operaciones que se realice sobre los Datos personales, ya sea por medios automáticos o no, como la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, recuperación, consulta, el uso, la divulgación por transmisión, difusión o puesta a disposición en general, la alineación o combinación, la restricción, la supresión o destrucción (teniendo “Tratar”, “Tratamientos” y “Tratado” el mismo significado);

(l) “Calificaciones y valoraciones” tiene el significado que se le otorga en la Sección 2.1;

(m) “Venta” o “vender” tiene el significado que se le otorga en la CCPA;

(n) “Acción” tiene el significado que se le otorga en la CCPA;

(o) “Violación de la seguridad de los datos” se refiere a una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidentales o ilícitos a los Datos personales del Cliente;

(p) “Cláusulas contractuales tipo” se refiere (según corresponda) las CCT de la UE, la Adenda del Reino Unido o las CCT brasileñas;

(q) “Subencargado del tratamiento” se refiere a cualquier entidad externa contratada por ServiceChannel (actuando en calidad de Encargado del tratamiento) para tratar Información personal en nombre del Cliente o para prestar los Servicios especificados en el Contrato;

(r) “Anexo del Reino Unido” se refiere a la plantilla de anexo, versión B.1.0 emitida por el Comisionado de Información del Reino Unido en virtud de la sección 119A(1) de la Ley de Protección de Datos del Reino Unido de 2018 y presentada ante el Parlamento del Reino Unido el 2 de febrero de 2022, con sus revisiones, de acuerdo con la Sección 18 del Anexo del Reino Unido;

(s) “Legislación de protección de datos de EE. UU.” se refiere a todas las leyes federales y estatales aplicables, así como a las normas, reglamentos y requisitos gubernamentales en relación con la protección de datos, el Tratamiento de Datos personales, la privacidad y/o la protección de datos en vigor en cada momento en los Estados Unidos, incluida (sin limitación) la CCPA;

(t) “Datos de uso” significa información de diagnóstico, uso y rendimiento recopilada por ServiceChannel en relación con el uso de los Servicios por parte del Cliente y sus usuarios autorizados; y

(u) los términos “Responsable del tratamiento”, “Encargado del tratamiento”, “Empresa” y “Proveedor de servicios” tienen los significados que se les otorgan en la Legislación de protección de datos.

2. Relación de las partes; cumplimiento de la ley

2.1 El Cliente:

(a) designa a ServiceChannel para tratar los Datos personales del Cliente como su Encargado del tratamiento o Proveedor de servicios;

(b) reconoce y acepta que ServiceChannel puede:

(i) utilizar los Datos de administración y los Datos de uso para los Fines del responsable del tratamiento y que, a los efectos del RGPD y LGPD, lo hace como Responsable del tratamiento;

(ii) recopilar y mostrar comentarios, opiniones y reseñas enviados a ServiceChannel por los usuarios autorizados del Cliente en relación con los Contratistas contratados por el Cliente (“Calificaciones y valoraciones”)y que, a efectos de la Legislación de protección de datos, lo hace como Responsable del tratamiento o Empresa.

2.2 Cada una de las partes deberá cumplir con las obligaciones que le corresponden según la Legislación de protección de datos y ofrecer el mismo nivel de protección de privacidad que exige la Legislación de protección de datos.

2.3 El Cliente se asegurará de que sus instrucciones para el Tratamiento de Datos personales del Cliente cumplan con la Legislación de protección de datos. El Cliente será el responsable exclusivo de la exactitud, calidad y legalidad de los Datos personales del Cliente y de los medios a través de los cuales obtuvo los Datos personales del Cliente.

2.4 ServiceChannel notificará al Cliente inmediatamente si determina que ya no puede cumplir con sus obligaciones en virtud de la Legislación de protección de datos.

2.5 El Cliente puede tomar medidas razonables y apropiadas para:

(a) garantizar que ServiceChannel utilice los Datos personales del Cliente de forma coherente con las obligaciones del Cliente en virtud de la Legislación de protección de datos; y

(b) previa notificación razonable, detener y remediar el uso no autorizado de los Datos personales del Cliente.

3. Tratamiento de Datos personales del Cliente

3.1 ServiceChannel solo tratará los Datos personales del Cliente en nombre y de acuerdo con el MSA, este DPA y (además de cualquier Tratamiento para los Fines del responsable del tratamiento) las instrucciones documentadas del Cliente. El Cliente concede mandato a ServiceChannel para tratar los Datos personales del Cliente con los siguientes fines: (i) Tratamiento de acuerdo con el MSA y cualquier pedido correspondiente; y (ii) Tratamiento para cumplir con otras instrucciones razonables que indique el Cliente cuando dichas instrucciones sean coherentes con los términos del MSA. ServiceChannel informará inmediatamente al Cliente si no puede seguir esas instrucciones o si, en su opinión, una instrucción del Cliente infringe la Legislación de protección de datos.

3.2 ServiceChannel no deberá:

(a) Vender o compartir Datos personales del Cliente;

(b) conservar, utilizar o divulgar Datos personales del Cliente para cualquier fin que no sea el fin comercial específico de prestar los Servicios especificados en el MSA o según lo permita la Legislación de protección de datos;

(c) conservar, utilizar o divulgar Datos personales del Cliente fuera de la relación comercial directa entre las partes; y

(d) combinar los Datos personales del Cliente con Datos personales que reciba de, o en nombre de, otra persona o personas, o que recopile a partir de su propia interacción con el Interesado, a menos que lo permitan expresamente, y se lleve a cabo de conformidad con, la Legislación de protección de datos.

3.3 El Cliente garantiza y se compromete a que los Datos personales del Cliente no contengan ninguno de los siguientes:

(a) Datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, condenas penales y cualquier otra categoría especial de Datos personales identificada en los artículos 9 o 10 del RGPD o Datos personales que sean de otro modo Datos personales sensibles en virtud de la Legislación de protección de datos aplicables;

(b) identificadores o plantillas biométricos;

(c) información financiera (incluida, entre otros, información de facturación y datos del titular de la tarjeta o datos sensibles de autenticación, tal y como se definen estos términos en la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago);

(d) información financiera de identificación personal, según se define y está sujeta a la Ley de Modernización Financiera de Gramm-Leach-Bliley de 1999;

(e) números de identificación nacional (incluidos, entre otros, números de la Seguridad Social, números del permiso de conducir o pasaporte u otros números de identificación emitidos por el gobierno);

(f) información relativa a personas menores de 13 años;

(g) registros educativos, según se definen en la Ley de Derechos Educativos y Privacidad Familiares de 1974;

(h) información médica protegida según se define en la Ley de Portabilidad y Responsabilidad de Seguros Médicos, y sujeta a ella.

4. Confidencialidad del tratamiento/Personal de ServiceChannel

4.1 ServiceChannel se asegurará de que cualquier persona a la que autorice a tratar los Datos personales del Cliente (una “Persona autorizada”) proteja los Datos personales del Cliente de acuerdo con las obligaciones de confidencialidad de ServiceChannel en virtud del presente Contrato.

4.2 ServiceChannel se asegurará de que su personal involucrado en el Tratamiento de los Datos personales del Cliente esté informado de la naturaleza confidencial de los Datos personales del Cliente y esté sujeto a obligaciones de confidencialidad.

4.3 ServiceChannel se asegurará de que el acceso a los Datos personales del Cliente se limite al personal que requiera dicho acceso para prestar los Servicios.

5. Seguridad/Gestión y notificación de incumplimientos

5.1 ServiceChannel implementará las medidas técnicas y organizativas adecuadas para la protección de la confidencialidad, la integridad y la disponibilidad de los Datos personales del Cliente, tal y como se establece en el Anexo II.

5.2 Si ServiceChannel tiene conocimiento de alguna Violación de la seguridad, ServiceChannel: (i) notificará al Cliente de la Violación de la seguridad de acuerdo con los plazos exigidos en la Legislación de protección de datos aplicables; (ii) investigará la Violación de la seguridad y proporcionará al Cliente información sobre la misma; y (iii) tomará medidas razonables para mitigar los efectos y minimizar cualquier daño resultante de la Violación de la seguridad.

5.3 ServiceChannel, a petición del Cliente, proporcionará al Cliente asistencia razonable para el cumplimiento de sus obligaciones en virtud de la Legislación de protección de datos en relación con una Violación de la seguridad de los datos notificada al Cliente por ServiceChannel.

5.4 ServiceChannel no tendrá ninguna obligación de notificar al Cliente ningún intento fallido de obtener acceso no autorizado a los Datos personales del Cliente o a alguno de los equipos o instalaciones de ServiceChannel que almacenan Datos personales del Cliente, incluyendo, entre otros, pings y demás ataques de difusión en cortafuegos o servidores periféricos, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio o incidentes similares.

5.5 Las notificaciones de Violaciones de seguridad, si las hubiera, se enviarán a uno o más contactos comerciales, técnicos o administrativos del Cliente por cualquier medio que ServiceChannel seleccione, incluido por correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que mantiene una información de contacto precisa en los sistemas de soporte de ServiceChannel en todo momento.

5.6 La notificación o respuesta de ServiceChannel a una Violación de la seguridad en virtud de esta Sección 5 no se interpretará como un reconocimiento por parte de ServiceChannel de cualquier fallo o responsabilidad con respecto a la Violación de la seguridad.

6. Subtratamiento

6.1 El Cliente reconoce y acepta que (i) ServiceChannel puede nombrar a Filiales como sus Subencargados del tratamiento; y (ii) ServiceChannel puede contratar a Subencargados del tratamiento externos en relación con la prestación de los Servicios. Dichos Subencargados del tratamiento podrán obtener Datos personales del Cliente únicamente para prestar los servicios cuya prestación les haya contratado ServiceChannel y tienen prohibido utilizar los Datos personales del Cliente para cualquier otro fin. ServiceChannel celebrará un acuerdo por escrito que imponga obligaciones de protección de datos al Subencargado que sean sustancialmente similares a las impuestas a ServiceChannel en este Contrato. ServiceChannel seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones del Subencargado en virtud de su contrato con ServiceChannel.

6.2 ServiceChannel podrá seguir utilizando los Subencargados ya contratados por él o por cualquier Filial de ServiceChannel en la fecha de este Contrato enumerado en https://bit.ly/SC_Subprocessors.

6.3 ServiceChannel notificará al Cliente por escrito con antelación el nombramiento de cualquier nuevo Subencargado del tratamiento, incluidos todos los detalles del Tratamiento que debe realizar el Subencargado del tratamiento. Si, en un plazo de 10 días desde la recepción de dicha notificación, el Cliente notifica por escrito a ServiceChannel cualquier objeción (por motivos razonables) al nombramiento propuesto, ServiceChannel no nombrará a ese Subencargado propuesto hasta que se hayan tomado las medidas razonables para abordar las objeciones planteadas por el Cliente y se haya proporcionado al Cliente una explicación razonable por escrito de las medidas adoptadas. El Cliente reconoce que en algunos casos podría no estar en condiciones de proporcionar todos los Servicios sin recurrir al nuevo Subencargado del tratamiento.

7. Transferencias restringidas

7.1 Las partes acuerdan que cuando la transferencia de Datos personales del Cliente a ServiceChannel sea una Transferencia restringida, estará sujeta a las Cláusulas contractuales tipo adecuadas de la siguiente manera:

(a) en relación con los Datos personales del Cliente protegidos por el RGPD de la UE, las CCT de la UE se aplicarán completadas de la siguiente manera:

(i) el Módulo dos será de aplicación;

(ii) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;

(iii) en la Cláusula 9, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de cambios del subencargado del tratamiento será el establecido en la Cláusula 6.3 de este Contrato;

(iv) en la Cláusula 11, no se aplicará el texto opcional;

(v) en la Cláusula 17, se aplicará la Opción 1, y las CCT de la UE se regirán por la legislación irlandesa;

(vi) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;

(vii) el Anexo I de las CCT de la UE se considerará completado con la información establecida en el Anexo I del presente Contrato;

(viii) el Anexo II de las CCT de la UE se considerará completado con la información establecida en el Anexo II del presente Contrato; y

(b) en relación con los Datos personales del Cliente protegidos por el RGPD del Reino Unido, el Anexo del Reino Unido se aplicará completado de la siguiente manera:

(i) las CCT de la UE, completadas como se establece anteriormente en la cláusula 7.1(a) de este Contrato, también se aplicarán a las transferencias de dichos Datos personales del Cliente, con sujeción a la subcláusula (ii) a continuación;

(ii) las Tablas 1 a 3 del Anexo del Reino Unido se considerarán completadas con la información pertinente de las CCT de la UE, completadas como se establece anteriormente, y las opciones “ninguna de las partes” se considerarán marcadas en la Tabla 4. La fecha de inicio del Anexo del Reino Unido (como se establece en la Tabla 1) será la fecha del presente Contrato; y

(c) en relación con los Datos personales del Cliente que estén protegidos por la LGPD brasileña, se aplicarán las CCT brasileñas, tal como se detalla en el Anexo I, como Mecanismo internacional de transferencia de datos aplicable a todos los casos en los que el país de destino carezca de un nivel de protección adecuado o similar al previsto en la LGPD.

(d) en caso de que alguna disposición de este Contrato contradiga, directa o indirectamente, las Cláusulas contractuales tipo, prevalecerán las Cláusulas contractuales tipo.

7.2 En caso de que el Anexo del Reino Unido o las CCT de la UE actuales sean sustituidas o reemplazadas por nuevas cláusulas contractuales tipo, las partes acuerdan que dichas nuevas cláusulas contractuales tipo se aplicarán automáticamente a la transferencia de Datos personales del Cliente del Cliente a ServiceChannel y se considerarán completadas, mutatis mutandis, como se describe en la Cláusula 7.1 anterior.

8. Cooperación y derechos de los interesados

8.1 ServiceChannel, en la medida en que lo permita y exija la ley, informará inmediatamente al Cliente si recibe una solicitud de un Interesado para ejercer sus derechos en virtud de la Legislación de protección de datos. ServiceChannel no responderá a ninguna solicitud de dicho Interesado sin el consentimiento previo por escrito del Cliente, excepto para confirmar que la solicitud está relacionada con el Cliente.

8.2 En la medida en que el Cliente, en su uso o recepción de los Servicios, carezca de la capacidad de acceder, corregir, limitar, bloquear o suprimir los Datos personales del Cliente, según lo exija la Legislación de protección de datos, ServiceChannel hará todo lo comercialmente razonable por cumplir con las solicitudes razonables del Cliente para facilitar dichas acciones en la medida en que ServiceChannel esté legalmente autorizado a hacerlo.

8.3 ServiceChannel brindará una cooperación razonable al Cliente (a cargo de este último) en relación con cualquier evaluación del impacto de la protección de datos que exija la Legislación de protección de datos.

9. Rescisión; supresión o devolución de Datos

9.1 El presente Contrato finalizará automáticamente tras la eliminación o anonimización por parte de ServiceChannel de todos los Datos personales del Cliente.

9.2 Tras la rescisión o vencimiento del MSA, ServiceChannel deberá:

(a) si el Cliente lo solicita en un plazo de treinta (30) días desde el vencimiento del MSA (el “Periodo de retención”), según determine ServiceChannel, proporcionar una copia de todos los Datos personales del Cliente en el formato de uso común solicitado por el Cliente, o proporcionar una funcionalidad de autoservicio que permita al Cliente descargar dichos Datos personales del Cliente;

(b) al vencimiento del Periodo de retención, eliminar todas las copias de los Datos personales del Cliente tratados por ServiceChannel o cualquiera de sus Subencargados del tratamiento, excepto:

(i) cualquier Dato de administración o Datos de uso tratados para los Fines del responsable del tratamiento o cualquier Dato personal del Cliente que ServiceChannel deba conservar en virtud de la legislación aplicable; o

(ii) Datos personales del Cliente archivados en sistemas de copia de seguridad, que ServiceChannel aislará y protegerá de forma segura de cualquier Tratamiento posterior, excepto en la medida en que lo exija dicha ley hasta que sea posible su eliminación.

10. Auditoría

10.1 El Contratista podrá, en la medida en que ServiceChannel actúe como Encargado del tratamiento, auditar el cumplimiento de este DPA por parte de ServiceChannel. Las partes acuerdan que todas estas auditorías se llevarán a cabo:

(a) no más de una vez al año, a menos que se requieran auditorías más frecuentes para cumplir con la Legislación de protección de datos o que lo exija una autoridad de control con jurisdicción sobre el Tratamiento de Datos personales del Cliente;

(b) previa notificación por escrito a ServiceChannel con dos semanas de antelación;

(c) solo durante el horario laboral normal de ServiceChannel; y

(d) de una manera que no interrumpa sustancialmente la actividad o las operaciones de ServiceChannel.

10.2 Con respecto a cualquier auditoría realizada en virtud de la Sección 10.1:

(a) el Cliente puede contratar a un auditor externo para que realice la auditoría en su nombre, salvo que ServiceChannel pueda oponerse razonablemente a la contratación del auditor externo si dicho auditor externo es un competidor de ServiceChannel;

(b) ServiceChannel no estará obligado a facilitar o ayudar con ninguna auditoría a menos que y hasta que las partes hayan acordado por escrito el alcance y el momento de dicha auditoría y las tasas de reembolso en virtud de la Sección 10.3.

10.3 El Cliente reembolsará a ServiceChannel el tiempo dedicado a dicha auditoría a las tarifas acordadas por las partes. Antes del inicio de dicha auditoría, el Cliente y ServiceChannel acordarán mutuamente el alcance, el momento y la duración de la auditoría, además del coste de reembolso del que será responsable el Cliente. Todos los costes de reembolso serán razonables, teniendo en cuenta los recursos gastados por ServiceChannel. El Cliente notificará inmediatamente a ServiceChannel la información relativa a cualquier incumplimiento descubierto durante el transcurso de una auditoría.

10.4 El Cliente reconoce que ServiceChannel es auditada regularmente según la norma SSAE 18 SOC 1 por auditores externos independientes. ServiceChannel proporcionará al Cliente, previa solicitud, o podrá proporcionar al Cliente en respuesta a cualquier solicitud de auditoría, una copia resumida de su(s) informe(s) de auditoría al Cliente, que estará sujeta a las disposiciones de confidencialidad del MSA. Si una auditoría solicitada por el Cliente se aborda en el informe de auditoría proporcionado por ServiceChannel, el Cliente se compromete a aceptar dicho informe en lugar de realizar una auditoría física de los controles cubiertos por el informe pertinente.

11. Limitación de responsabilidad

El presente DPA está sujeto a las limitaciones de responsabilidad y a los descargos de responsabilidad del MSA.

12. Partes de este Contrato

Salvo lo establecido en las Cláusulas contractuales tipo, nada de lo contenido en este DPA conferirá ningún beneficio o derecho a ninguna persona o entidad que no sean las partes de este DPA.

13. Efecto legal

Este DPA complementa y forma parte del MSA.

14. General

14.1 Salvo en lo dispuesto en las Cláusulas contractuales tipo incorporadas en el presente DPA, este documento se regirá e interpretará en todos los aspectos de acuerdo con la legislación aplicable y las disposiciones sobre jurisdicción del MSA, siempre que, en caso de conflicto entre el MSA y el presente DPA con respecto al tratamiento de Datos personales, prevalezca el presente DPA.

14.2 El presente Contrato podrá formalizarse en un número cualquiera de ejemplares, constituyendo cada uno de los cuales un original y formando todos ellos un único y el mismo acuerdo entre las partes.

14.3 Aparte de lo establecido en el presente DPA, el MSA permanecerá en pleno vigor y efecto.

 

 ANEXO I

A. LISTA DE PARTES

	Nombre	Dirección	Nombre, puesto y datos de contacto de la persona de contacto	Actividades relevantes para los datos transferidos	Función
Exportador de datos	Cliente (según se identifica en el MSA)	Según se identifica en el MSA	Según se identifica en el MSA	Recepción de los Servicios	Responsable del tratamiento
Importador de datos	ServiceChannel.com, Inc.	30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615	Brian Chase, asesor jurídico general, [email protected]	Prestación de los Servicios	Encargado del tratamiento

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Interesados	Categorías de datos personales	Datos personales sensibles	Frecuencia de la transferencia	Naturaleza y fin del tratamiento
Usuarios autorizados del Cliente	Nombre, dirección de correo electrónico, dirección comercial, credenciales de acceso.	Ninguno/a	Continuo	Conceder acceso a los Servicios a los usuarios autorizados del Cliente.
Usuarios autorizados del Cliente	Nombre, dirección de correo electrónico, número de teléfono, dirección comercial.	Ninguno/a	Continuo	Facilitar el contacto entre el usuario autorizado del Cliente y las personas contratadas por el Cliente a través de los Servicios (“Contratistas”)
Usuarios autorizados del Cliente Personal del Contratista	Servicios de gestión de instalaciones solicitados a través de los Servicios, fecha y hora de la solicitud.	Ninguno/a	Continuo	Presentación de solicitudes de servicios de gestión de instalaciones a los Contratistas.
Usuarios autorizados del Cliente Personal del Contratista	Nombre, servicios de gestión de instalaciones prestados, fecha y ubicación de los servicios prestados.	Ninguno	Continuo	Mantenimiento de registros de servicios de gestión de instalaciones solicitados por el Cliente y completados.
Personal del Contratista	Nombre y datos de contacto (número de teléfono y dirección de correo electrónico) enviados por los usuarios autorizados del Cliente.	Ninguno/a	Continuo	Facilitar el contacto entre el usuario autorizado del Cliente y sus contactos clave en los Contratistas.
Usuarios autorizados del Cliente	Consultas de asistencia	Ninguno/a	Continuo	Proporcionar asistencia técnica.
Usuarios autorizados del Cliente	Datos de registro	Ninguno/a	Continuo	Proporcionar acceso a los Servicios.

Retención

La duración del tratamiento será la misma que la duración de la prestación de servicios en virtud del MSA.

Subencargados del tratamiento

Según se describe en https://bit.ly/SC_Subprocessors

C. AUTORIDAD DE CONTROL COMPETENTE

Comisionado de Protección de Datos de Irlanda

ANEXO II

Medidas de seguridad

ServiceChannel seguirá siendo responsable en todo momento de las siguientes medidas de seguridad de transferencia comercialmente razonables:

MEDIDAS DE SEGURIDAD DE TRANSFERENCIA	MEDIDAS IMPLEMENTADAS
Medidas de seudonimización y cifrado de Datos personales	Seudonimización ·    enmascaramiento de caracteres ·    intercambio ·    k-anonimato Cifrado ·    Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) en cada interfaz de inicio de sesión, utilizando algoritmos y certificados estándar del sector. ·    Cifrado de datos en reposo utilizando el algoritmo AES-256 estándar del sector
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento	Confidencialidad ·    Red privada virtual (VPN) ·    Autenticación multifactor (MFA) ·    Sistema de derechos diferenciados basado en grupos de seguridad y listas de control de acceso. ·    Transmisión segura de credenciales mediante TLS 1.2 (o superior) ·    Las contraseñas requieren una complejidad mínima definida. Las contraseñas iniciales deben cambiarse después del primer inicio de sesión. ·    Bloqueo automático de cuentas ·    Directrices para la gestión de contraseñas ·    Controles de acceso a la infraestructura alojada por el proveedor de servicios en la nube ·    Gestión de derechos de acceso, incluido el concepto de autorización, implementación de restricciones de acceso, implementación del principio de “necesidad de conocer”, gestión de derechos de acceso individuales. ·    Acuerdos de formación y confidencialidad para el personal interno y externo ·    Separación de redes ·    Separación de responsabilidades y deberes ·    Limitar el acceso a los Datos personales a las partes implicadas en el Tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Integridad ·    Interconexiones de red seguras garantizadas por cortafuegos, etc. ·    Registro de transmisiones de datos del sistema informático que almacena o trata Datos personales ·    Autenticación de registro y acceso lógico al sistema supervisado ·    Registro del acceso a los Datos personales, incluidos, entre otros, el acceso, la modificación, la introducción y la supresión de Datos personales ·    Documentación de los derechos de introducción de Datos personales y registro de entradas relacionadas con la seguridad ·    Cortafuegos de aplicaciones web (WAF) Disponibilidad y resiliencia ·    Los Datos personales de los clientes se copian por seguridad en múltiples almacenes de datos duraderos y se replican en múltiples zonas de disponibilidad. ·    Protección de los soportes de copia de seguridad almacenados
Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de forma pertinente en caso de incidente físico o técnico	·    Planificación de continuidad y plan de recuperación ante desastres ·    Procesos de recuperación ante desastres para restaurar datos y procesos ·    Objetivo de tiempo de recuperación (RTO) ·    Objetivo de punto de recuperación (RPO) ·    Tiempo de inactividad máximo tolerable (MTD) ·    Medidas de gestión de la capacidad para supervisar el consumo de recursos de los sistemas, así como planificación de futuros requisitos de recursos. ·    Procedimientos para gestionar y notificar incidentes (gestión de incidentes), incluida la detección y reacción a posibles incidentes de seguridad. ·    Se realiza una copia de seguridad de los datos productivos cada hora de forma incremental y diariamente como copia de seguridad completa. Todas las copias de seguridad se conservan de forma redundante y cifradas (AES-256).
Procesos para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del Tratamiento	·    Pruebas de equipos de emergencia ·    Documentación de interfaces y campos de Datos personales ·    Auditorías internas y externas ·    Comprobaciones de seguridad (p. ej., pruebas de penetración) realizadas por terceros ·    Auditorías SOC 1 y 2 ·    Pruebas y análisis comparativos regulares con los estándares del sector, p. ej., SANS Top 20 Controls for Internet Security, directrices NIST, etc.
Medidas para la identificación y autorización del usuario	·    Interconexiones de red seguras garantizadas por VPN, MFA, cortafuegos, etc. ·    Registro de transmisiones de datos del sistema informático que almacena o trata datos personales ·    Autenticación de registro y acceso al sistema supervisado ·    El acceso a los datos necesarios para la realización de la tarea en particular se garantiza dentro de los sistemas y aplicaciones mediante un rol correspondiente y un concepto de autorización de acuerdo con el principio de “necesidad de conocer”. ·    Cortafuegos de aplicaciones web (WAF)
Medidas para la protección de Datos personales durante la transmisión	·    Acceso remoto a la red a través de túnel VPN y cifrado integral ·    Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior)
Medidas para la protección de Datos personales durante el almacenamiento	·    Entradas del sistema registradas a través de archivos de registro ·    Listas de control de acceso (ACL) ·    Autenticación multifactor (MFA)
Medidas para garantizar la seguridad física de las ubicaciones en las que se tratan los Datos personales	·    Subdivisión de la instalación en zonas individuales con diferentes autorizaciones de acceso; ·    Protección del acceso físico (p. ej., puertas de acero, habitaciones sin ventanas o ventanas protegidas); ·    Sistema de control de acceso electrónico para proteger las áreas de seguridad; ·    Supervisión de la instalación mediante servicios de seguridad y registro de acceso a la instalación; ·    Videovigilancia de todas las áreas de seguridad relevantes para la seguridad, como entradas, salidas de emergencia y salas de servidores; ·    Asignación y revocación central de autorizaciones de acceso; ·    Identificación de todos los visitantes mediante la verificación de su documento de identidad y registro (se mantiene un registro de visitantes); ·    Identificación obligatoria dentro de las áreas de seguridad para todos los empleados y visitantes; ·    Los visitantes deben estar acompañados por empleados en todo momento.
Medidas para garantizar el registro de eventos	·    Registro remoto ·    Encadenamiento hash ·    Replicación ·    Sistema central de gestión de información y eventos de seguridad (SIEM)
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada	·    Política y procedimientos de control de acceso ·    Identificación de la configuración de referencia ·    Planificación y gestión de la configuración ·    Gestión de cambios de configuración ·    Registro del estado de la configuración ·    Verificación y auditorías de configuración ·    Gestión de dispositivos móviles
Medidas para la gobernanza y gestión de la seguridad de las TI y las TI internas	·    Persona designada e identificada para supervisar el programa de cumplimiento y seguridad de la información de la empresa ·    Auditoría SOC 1 y 2
Medidas para la certificación/garantía de procesos y productos	·    Certificaciones de seguridad de la información o de gestión de calidad como SSAE 18 Tipo 2 SOC 1 y SSAE18 Tipo 2 SOC2
Medidas para garantizar la minimización de los Datos personales	·    Barreras tecnológicas para la vinculación no autorizada de fuentes de Datos personales independientes. ·    Limitación al nivel de detalle utilizado en el tratamiento de Datos personales: por ejemplo, mediante técnicas como el k-anonimato y la ofuscación. ·    Supresión de metadatos generados durante ciertos procesos que no son necesarios para el objetivo perseguido.
Medidas para garantizar la calidad de los Datos personales	·    Proceso para el ejercicio de los derechos de protección de datos (derecho a modificar y actualizar la información) ·    Documentación clara de los requisitos para todas las condiciones y escenarios de Datos personales ·    Limitar el acceso a los Datos personales a las partes implicadas en el tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Perfiles de datos rigurosos y control de los Datos personales entrantes ·    Diseño de canalización de datos para evitar Datos personales duplicados ·    Equipo de garantía de calidad ·    Aplicación de la integridad de los datos
Medidas para garantizar la conservación limitada de Datos personales	·    La existencia de programas y políticas de conservación claros ·    Prueba de efectividad
Medidas para garantizar la responsabilidad	·    Asignar la responsabilidad de garantizar la privacidad del usuario final durante todo el ciclo de vida del producto y a través de los procesos empresariales aplicables. ·    Evaluaciones del impacto de la protección de datos como parte integral de cualquier nueva iniciativa de tratamiento. ·    Documentar todas las decisiones adoptadas dentro de la organización desde una perspectiva de “pensamiento conceptual de privacidad”.
Medidas para permitir la portabilidad de los Datos personales y garantizar el borrado	·    Procesos documentados en relación con el ejercicio por parte de los usuarios de sus derechos de privacidad (p. ej., derecho de supresión o derecho a la portabilidad de los datos) ·    Uso de formatos abiertos como CSV, XML o JSON.
Restricciones o salvaguardas aplicadas para datos sensibles (si procede)	·    El cifrado o “hash” de datos de categorías especiales, aunque no sea un requisito legal explícito, debe ser la norma

EXHIBIT I – STANDARD CONTRACTUAL CLAUSES

(La redacción de las Cláusulas Contractuales Tipo incluidas en este anexo es la determinada por la ANPD mediante la Resolución N.º 19/2024 y, por lo tanto, no puede ser ajustada, modificada ni negociada por las partes. ServiceChannel proporciona las Cláusulas Contractuales Tipo únicamente en las versiones oficiales publicadas por la ANPD —es decir, el texto original en portugués y la traducción al inglés emitida por la ANPD— y, de acuerdo con la práctica del sector, ofrecemos un enlace a la versión oficial en portugués, basándonos únicamente en la traducción al inglés de la ANPD. No traducimos las Cláusulas Contractuales Tipo a otros idiomas para preservar su significado legal y su propósito legislativo, tal como lo adoptó la ANPD.)

SECTION I – GENERAL INFORMATION

CLAUSE 1. PARTIES’ IDENTIFICATION

1.1. Under this contractual deed, the Parties identified in the Data Processing Agreement, acting either as Exporter or Importer, agree to adopt the standard contractual clauses (hereinafter, Clauses) approved by the Brazilian National Data Protection Authority (ANPD), to govern International Data Transfers, as described in CLAUSE 2, according to the Brazilian Legislation.

CLAUSE 2. SUBJECT

2.1. These Clauses shall apply to all International Data Transfers by the Exporter to the Importer. The main purposes of the transfer, the categories of the personal data transferred, the retention period, and other information concerning the transfer are described in the Data Processing Agreement.

CLAUSE 3. SUBSEQUENT TRANSFERS

3.1. The Importer may carry out Onward Transfers of the Personal Data subject to the International Data Transfer governed by these Clauses under the conditions described below and provided that the provisions of CLAUSE 18 are observed.

CLAUSE 4. PARTIES’ RESPONSIBILITIES

4.1. Without prejudice to the duty to provide mutual assistance or to the Parties’ general obligations, it will be incumbent upon the Designated Party as established below, in its capacity as Controller, to carry out the following obligations as set out in these Clauses:

a) Party responsible for publishing the document referenced in CLAUSE 4;

(X) Exporter ( ) Importer

b) Party responsible for responding to requests by the data subjects as referenced in CLAUSE 15:

(X) Exporter ( ) Importer

c) Party responsible for communicating a security incident as described in CLAUSE 16:

(X) Exporter ( ) Importer

4.2. For the purposes of these Clauses, if it is subsequently determined that the Designated Party, as established in item 4.1., works as a Processor, the Controller will remain responsible:

a) for the execution of the obligations established in Sections 14, 15, and 16, and in any other provisions of the Brazilian Legislation, especially if the Designated Party neglects or fails to perform its obligations;

b) for the compliance with all ANPD requirements; and

c) for the assurance of the Data Subjects’ rights and the compensation of any damages caused, subject to the terms of CLAUSE 17.

4.3. If the Exporter is deemed to be the Controller, as referenced in item 4.2, it will be incumbent upon the Exporter to carry out the obligations established in CLAUSES 14, 15, and 16.

4.4. Except as provided in items 4.2. and 4.3, the provisions of CLAUSES 14, 15, and 16 shall not apply to the Parties in their capacities as Processors.

4.5. Under any circumstance, the Parties shall furnish all the information available to them, which are seemingly necessary to allow the Third-Party Controller to adhere to ANPD requirements and to properly perform the obligations established under the Brazilian Legislation concerning transparency, the assurance of the rights of data subjects, and the communication of security incidents to the ANPD.

4.6. The Parties shall mutually assist each other in responding to any requests by the Data Subjects.

4.7. If a request is received from a Data Subject, the applicable Party shall:

a) respond to the request, when it possesses the information needed to do so;

b) inform the Data Subject of the service channel provided by the Third-Party Controller; or

c) forward the request to the Third-Party Controller as soon as possible, to enable a response within the timeframe established under the Brazilian Legislation.

4.8. The Parties shall keep a record of security incidents involving personal data, according to the terms of the Brazilian Legislation.

SECTION II – MANDATORY CLAUSES

CLAUSE 5. Purpose

5.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.

CLAUSE 6. Definitions

6.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:

a) Processing agents: the controller and the processor;

b) ANPD: National Data Protection Authority;

c) Clauses: the standard contractual clauses approved by ANPD, which are part of SECTIONS I, II and III;

d) Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;

e) Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;

f) Personal Data: information related to an identified or identifiable natural person;

g) Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;

h) Erasure: exclusion of data or dataset from a database, regardless of the procedure used;

I) Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;

j) Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;

k) National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;

l) Arbitration Law: Law No. 9,307, of September 23, 1996;

m) Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;

n) Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;

o) Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;

p) Designated Party: Party or a Third-Party Controller, under the terms of CLAUSE 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;

q) Parties: Exporter and Importer;

r) Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;

s) Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;

t) Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to CLAUSE 4 (“Option B”);

u) Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;

v) Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;

w) International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and

x) Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.

CLAUSE 7. Applicable legislation and ANPD supervision

7.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.

CLAUSE 8. Interpretation

8.1. Any application of these Clauses shall occur in accordance with the following terms:

a) these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;

b) in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;

c) no item in these Clauses, including a Related Agreement and the provisions set forth in SECTION IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and

d) provisions of SECTIONS I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in SECTIONS III and IV of this agreement or in Related Agreements.

CLAUSE 9. Docking Clause

9.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.

9.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.

CLAUSE 10. General obligations of the Parties

10.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:

a) use the Personal Data only for the specific purposes described in CLAUSE 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;

b) guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;

c) limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;

d) guarantee to the Data Subjects, subject to the provisions of CLAUSE 4:

(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;

(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and

(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;

e) adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;

f) not to process Personal Data for abusive or unlawful discriminatory purposes;

g) ensure that any person acting under their authority, including sub-processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;

h) keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.

CLAUSE 11. Sensitive personal data

11.1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in SECTION III.

CLAUSE 12. Personal data of children and adolescents

12.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.

CLAUSE 13. Legal use of data

13.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.

CLAUSE 14. Transparency

14.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:

a) the form, duration and specific purpose of the international transfer;

b) the destination country of the transferred data;

c) the Designated Party’s identification and contact details;

d) the shared use of data by the Parties and its purpose;

e) the responsibilities of the agents who shall conduct the processing;

e) the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and

g) Onward Transfers, including those relating to recipients and to the purpose of such transfer.

14.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.

14.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.

14.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.

CLAUSE 15. Rights of the data subject

15.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:

a) confirmation of the existence of processing;

b) access to data;

c) correction of incomplete, inaccurate or outdated data;

d) anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;

e) portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;

f) erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in CLAUSE 20;

g) information on public and private entities with which the Parties have shared data;

h) information on the possibility of denying consent and on the consequences of the denial;

i) withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;

j) review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and

k) information on the criteria and procedures adopted for the automated decision.

15.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.

15.3. The deadline for responding to the requests provided for in this Clause and in item 14.3. is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.

15.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall: a) inform the Data Subject of the service channel made available by the Designated Party; or b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.

15.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.

15.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.

CLAUSE 16. Security Incident Reporting

16.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.

16.2. The Importer must keep a record of security incidents in accordance with National Legislation.

CLAUSE 17. Liability and compensation for damages

17.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.

17.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.

17.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.

17.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.

17.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.

17.6. Parties shall not be held liable if they have proven that: a) they have not carried out the processing of Personal Data attributed to them; b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or c) the damage results from the sole fault of the Data Subject or of a third party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.

17.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.

17.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.

17.9. The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.

CLAUSE 18. Safeguards for Onward Transfers

18.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in CLAUSE 3.

18.2. In any case, the Importer:

a) shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in CLAUSE 2;

b) shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and

c) for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.

18.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in CLAUSE 3.

CLAUSE 19. Access Request Notification

19.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.

19.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.

19.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.

CLAUSE 20. Termination of processing and erasure of data

20.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:

a) compliance with a legal or regulatory obligation by the Controller;

b) study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;

c) transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and

d) exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.

20.2. For the purposes of this Clause, processing of personal data shall cease when:

a) the purpose set forth in these Clauses has been achieved;

b) Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;

c) at the termination of the treatment period;

d) Data Subject’s request is met; and

e) at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.

CLAUSE 21. Data processing security

21.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.

21.2. Parties shall inform, in SECTION III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents. 

21.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.

CLAUSE 22. Legislation of country of destination

22.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.

22.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.

CLAUSE 23. Non-compliance with the Clauses by the Importer

23.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.

23.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:

a) suspend the International Data Transfer;

b) request the return of the Personal Data, its transfer to a third-party, or its erasure; and

c) terminate the contract.

CLAUSE 24. Choice of forum and jurisdiction

24.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.

24.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.

24.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.

SECTION III – Security Measures

The governance and internal process oversight measures, as well as the technical and administrative security measures to ensure the safety of operations such as data collection, transmission, and storage, are already described in the Data Processing Agreement.

 English    Deutsch    Español    Français (France)    中文(简体)    Slovenščina    Italiano    Magyar