Última actualización 1 de enero de 2023

Contrato de encargado del tratamiento de datos

El presente Contrato de tratamiento de datos (el “Contrato”) forma parte del Contrato marco de servicios (Master Services Agreement, “MSA”) entre ServiceChannel.com, Inc. (en adelante, “ServiceChannel”) y el Cliente (según se define en el MSA) (en adelante, el “Cliente”). Tanto el Cliente como ServiceChannel se denominan aquí una “parte” y conjuntamente como las “partes”.

CONSIDERANDO QUE

(i)         El Cliente y ServiceChannel han celebrado el Contrato marco de servicios en virtud del cual ServiceChannel proporcionará al Cliente los Servicios.

(ii)        ServiceChannel tratará los Datos del Cliente (que pueden contener datos personales) en el transcurso de la prestación de los Servicios;

(iii)        Las partes desean en el momento presente celebrar este Contrato de tratamiento que rige el tratamiento por parte de ServiceChannel de dichos Datos del cliente.

EN CONSECUENCIA, las partes acuerdan las siguientes estipulaciones:

1. Definiciones:

en este Contrato de tratamiento, los términos definidos en el MSA tienen el mismo significado cuando se utilizan aquí. Además, los siguientes términos tendrán los siguientes significados:

(a)       “Responsable del tratamiento”, “Interesado”, “Encargado del tratamiento” y “Categorías especiales de datos personales” tendrán el significado que les otorgan las Leyes de protección de datos, en cada caso según corresponda a los Servicios prestados por ServiceChannel en virtud del presente Contrato.

(b)       “Filiales” se refiere a cualquier entidad que esté controlada, controle o esté bajo control común con ServiceChannel.

(c)       “Negocio”, “Proveedor de servicios” y “Consumidor” tienen el mismo significado que se les otorga en la CCPA, Código Civil de California, apdo. 1798.140.

(d)       “CCPA” (California Consumer Privacy Act) se refiere a la Ley de Privacidad del Consumidor de California de 2018, Código Civil de California, apdo. 1798.100 y ss., sus reglamentos finales asociados y sus textos sucesores.

(e)       “Consumidor” tiene el significado que se le otorga en la Sección 1798.140(i) de la CCPA.

(f)       “Cliente” se refiere al Cliente que ha formalizado el Contrato marco de servicios.

(g)       “Datos personales del Cliente” se refiere a los Datos personales proporcionados por el Cliente a ServiceChannel.

(h)       “Leyes de protección de datos” significa (i) el Reglamento 2016/679 (Reglamento General de Protección de Datos) (el “RGPD de la UE”); (ii) el RGPD de la UE tal y como se conserva en la legislación del Reino Unido en virtud del artículo 3 de la Ley de (Retirada de) la Unión Europea del Reino Unido de 2018 (el “RGPD del Reino Unido”); (iii) la Directiva de privacidad electrónica de la UE (Directiva 2002/58/CE); y (iv) todas y cada una de las leyes nacionales de protección de datos aplicables realizadas en virtud de, con arreglo a, o que se aplican junto con, cualquiera de los puntos anteriores (i), (ii) o (iii); en cada caso con sus oportunas modificaciones o sustituciones;

(i)        “Datos personales” e “Información personal” tienen los significados atribuidos en las Leyes de protección de datos y en la Sección 1798.140(v), y ss. de la CCPA e incluye cualquier información relacionada con una persona física identificada o identificable. Una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular mediante referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.

(j)        “Tratamiento” se refiere a cualquier operación o conjunto de operaciones que se realice sobre los Datos personales, ya sea por medios automáticos o no, como la recogida, el registro, la organización, el almacenamiento, la adaptación o alteración, recuperación, consulta, el uso, la divulgación por transmisión, difusión o puesta a disposición en general, la alineación o combinación, el bloqueo, la supresión o destrucción (teniendo “Tratar”, “Tratamientos” y “Tratado” el mismo significado).

(k)       “Transferencia restringida” se refiere a: (i) cuando se aplica el RGPD de la UE, una transferencia de datos personales desde el Espacio Económico Europeo a un país fuera del Espacio Económico Europeo que no esté sujeto a una determinación de adecuación por parte de la Comisión Europea; y (ii) cuando se aplica el RGPD del Reino Unido, una transferencia de datos personales desde el Reino Unido a cualquier otro país que no esté sujeto a las normativas de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018;

(l)        “Venta” o “Vender” tiene el significado que se le otorga en la Sección 1798.140(ad) del Código Civil de California, en la fecha de formalización del presente Contrato, y según se modifique ocasionalmente durante la Vigencia del presente Contrato.

(m)      “Compartir” tiene el significado que se le otorga en la Sección 1798.140(ah) del Código Civil de California, en la fecha de formalización del presente Contrato, y según se modifique ocasionalmente durante la Vigencia del presente Contrato.

(n)       “Violación de la seguridad” tiene el mismo significado que “violación de la seguridad de los datos personales” según se define en las Leyes de protección de datos o según se describe en el Código Civ. de Cal., apdo. 1798.150 de la CCPA.

(o)       “Cláusulas contractuales tipo” significa: (i) cuando se aplique el RGPD de la UE, las cláusulas contractuales adjuntas a la Decisión de ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (“CCT de la UE”); y (ii) cuando se aplique el RGPD del Reino Unido, el “Anexo de transferencia internacional de datos a las Cláusulas contractuales tipo de la Comisión Europea” emitido por el Comisionado de Información en virtud del artículo 119A(1) de la Ley de Protección de Datos de 2018 (“Anexo del Reino Unido”).

(p)       “Subencargado del tratamiento” se refiere a cualquier entidad externa contratada por ServiceChannel para tratar Información personal en nombre del Cliente o para prestar los servicios especificados en el Contrato.

2. Relación de las partes; cumplimiento de la ley

2.1         El Cliente (el Responsable del tratamiento) nombra a ServiceChannel como Encargado del tratamiento para tratar los Datos personales contenidos en los Datos del cliente para los fines descritos en este Contrato (o según lo acordado por escrito por las partes) (el “Fin permitido”). El Cliente reconoce que ServiceChannel y sus subencargados del tratamiento pueden utilizar los Datos del Cliente con fines de mejora de productos, seguridad y lucha contra el fraude.

2.2         Cada una de las partes cumplirá con las obligaciones que se le aplican en virtud de las Leyes de protección de datos aplicables. Si ServiceChannel tiene conocimiento de que el tratamiento para el Fin permitido infringe la Legislación de protección de datos aplicable, informará inmediatamente al Cliente.

2.3         ServiceChannel declara y garantiza que es un “Proveedor de servicios”, a los efectos de los Servicios que presta al Cliente en virtud del Contrato, de acuerdo con el significado que a ese término se otorga en la Sección 1798.140(ag) del Código Civil de California, en la fecha de formalización de este Contrato, y según se modifique ocasionalmente durante la Vigencia de este Contrato.

2.4         ServiceChannel declara y garantiza que es una empresa unipersonal, sociedad, sociedad de responsabilidad limitada, corporación, asociación u otra entidad legal que se organiza u opera para el provecho o beneficio financiero de sus accionistas u otros propietarios.

3. Tratamiento de Datos personales del Cliente

3.1         El Cliente, en su uso o recepción de los Servicios, tratará los Datos personales del Cliente de acuerdo con los requisitos de las Leyes de protección de datos y se asegurará de que sus instrucciones para el Tratamiento de los Datos personales del Cliente cumplan con las Leyes de protección de datos. El Cliente será el responsable exclusivo de la exactitud, calidad y legalidad de los Datos personales del Cliente y de los medios a través de los cuales obtuvo los Datos personales del Cliente.

3.2         Durante la Vigencia del MSA, ServiceChannel solo tratará los Datos personales del Cliente en nombre y de acuerdo con el MSA y las instrucciones documentadas del Cliente. El Cliente concede mandato a ServiceChannel para Tratar los Datos personales del Cliente con los siguientes fines: (i) Tratamiento de acuerdo con el MSA y cualquier pedido correspondiente; y (ii) Tratamiento para cumplir con otras instrucciones razonables que indique el Cliente cuando dichas instrucciones sean coherentes con los términos del MSA. ServiceChannel informará inmediatamente al Cliente si no puede seguir esas instrucciones.

3.3         En la medida en que el Cliente divulgue Información personal de un Consumidor a ServiceChannel, este tratará esa Información personal solo en nombre del Cliente y de conformidad con este Contrato.

3.4         ServiceChannel certifica que no conservará, utilizará ni divulgará Información personal de un Consumidor para ningún fin que no sea el fin empresarial específico de prestar los Servicios indicados en el MSA, excepto en la medida permitida en calidad de Proveedor de servicios en virtud de la CCPA.

3.5         ServiceChannel certifica que no combinará la Información personal que reciba del Cliente o en nombre de éste con la Información personal que reciba de o en nombre de otra persona o personas, o que recoja mediante su propia interacción con el Consumidor, a menos que se permita expresamente y se lleve a cabo de conformidad con la CCPA.

3.6         El Encargado del tratamiento certifica que no venderá ni compartirá la Información personal de un Consumidor por ningún motivo. El Cliente no proporcionará a ServiceChannel Datos sensibles.

4. Confidencialidad del tratamiento/Personal de ServiceChannel

4.1         ServiceChannel se asegurará de que cualquier persona a la que autorice a tratar los Datos personales del Cliente (una “Persona autorizada”) proteja los Datos personales del Cliente de acuerdo con las obligaciones de confidencialidad de ServiceChannel en virtud del presente Contrato.

4.2         ServiceChannel se asegurará de que su personal involucrado en el Tratamiento de los Datos personales del Cliente esté informado de la naturaleza confidencial de los Datos personales del Cliente y esté sujeto a obligaciones de confidencialidad.

4.3         ServiceChannel se asegurará de que el acceso a los Datos personales del Cliente se limite al personal que requiera dicho acceso para prestar los Servicios.

4.4         ServiceChannel nombrará a un delegado de protección de datos cuando dicha designación sea una exigencia de las Leyes de protección de datos.

5. Seguridad/Gestión y notificación de incumplimientos

5.1         ServiceChannel implementará las medidas técnicas y organizativas adecuadas para la protección de la seguridad, la confidencialidad y la integridad de los Datos personales del Cliente, tal y como se establece en el Anexo II, para proteger los Datos personales del Cliente frente a una Violación de la seguridad.

5.2         Si ServiceChannel tiene conocimiento de alguna Violación de la seguridad, ServiceChannel: (i) notificará al Cliente de la Violación de la seguridad; (ii) investigará la Violación de la seguridad y proporcionará al Cliente información sobre la misma; y (iii) tomará medidas razonables para mitigar los efectos y minimizar cualquier daño resultante de la Violación de la seguridad.

5.3         El Cliente acepta que un intento fallido de Violación de la seguridad no estará sujeto a esta Cláusula 5. Un intento fallido de Violación de la seguridad es aquel que no tenga como consecuencia un acceso no autorizado a los Datos personales del Cliente o a alguno de los equipos o instalaciones de ServiceChannel que almacenan Datos personales del Cliente, y puede incluir, entre otros, pings y demás ataques de difusión en cortafuegos o servidores periféricos, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio o incidentes similares.

5.4         Las notificaciones de Violaciones de seguridad, si las hubiera, se enviarán a uno o más contactos comerciales, técnicos o administrativos del Cliente por cualquier medio que ServiceChannel seleccione, incluido por correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que mantiene una información de contacto precisa en los sistemas de soporte de ServiceChannel en todo momento.

6. Subtratamiento

6.1         El Cliente reconoce y acepta que (i) los Afiliados de ServiceChannel pueden ser contratados como Subencargados del tratamiento; y (ii) ServiceChannel puede contratar a Subencargados del tratamiento externos en relación con la prestación de los Servicios. Dichos Subencargados del tratamiento podrán obtener Datos personales del Cliente únicamente para prestar los servicios cuya prestación les haya contratado ServiceChannel y tienen prohibido utilizar los Datos personales del Cliente para cualquier otro fin. ServiceChannel celebrará un acuerdo por escrito con cada Subencargado del tratamiento que imponga obligaciones al Subencargado que sean sustancialmente similares a las impuestas a ServiceChannel en este Contrato. ServiceChannel seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones del Subencargado en virtud de su contrato con ServiceChannel.

6.2         ServiceChannel podrá seguir utilizando los Subencargados ya contratados por él o por cualquier Afiliado de ServiceChannel en la fecha de este Contrato.

6.3         ServiceChannel notificará al Cliente por escrito con antelación el nombramiento de cualquier nuevo Subencargado del tratamiento, incluidos todos los detalles del Tratamiento que debe realizar el Subencargado del tratamiento. Si, en un plazo de 10 días desde la recepción de dicha notificación, el Cliente notifica por escrito a ServiceChannel cualquier objeción (por motivos razonables) al nombramiento propuesto, ServiceChannel no nombrará a ese Subencargado propuesto hasta que se hayan tomado las medidas razonables para abordar las objeciones planteadas por el Cliente y se haya proporcionado al Cliente una explicación razonable por escrito de las medidas adoptadas.

6.4         ServiceChannel no participará en (ni permitirá que ningún Subencargado participe en) ninguna otra Transferencia restringida de Datos personales del Cliente (ya sea como exportador o importador de los Datos personales del Cliente) a menos que la Transferencia restringida se realice en pleno cumplimiento de las Leyes de protección de datos y de conformidad con las Cláusulas contractuales tipo aplicadas entre el exportador y el importador de los Datos personales del Cliente.

7. Transferencias restringidas

7.1         Las partes acuerdan que cuando la transferencia de Datos personales del Cliente a ServiceChannel sea una Transferencia restringida, estará sujeta a las Cláusulas contractuales tipo adecuadas de la siguiente manera:

(a)         en relación con los Datos personales del Cliente protegidos por el RGPD de la UE, las CCT de la UE se aplicarán completadas de la siguiente manera:

(i)     el Módulo dos será de aplicación;

(ii)    en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;

(iii)   en la Cláusula 9, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de cambios del subencargado del tratamiento será el establecido en la Cláusula 6.3 de este Contrato;

(iv)   en la Cláusula 11, no se aplicará el texto opcional;

(v)    en la Cláusula 17, se aplicará la Opción 1, y las CCT de la UE se regirán por la legislación irlandesa;

(vi)   en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;

(vii)  el Anexo I de las CCT de la UE se considerará completado con la información establecida en el Anexo I del presente Contrato;

(viii)  el Anexo II de las CCT de la UE se considerará completado con la información establecida en el Anexo II del presente Contrato; y

(b)         en relación con los Datos personales del Cliente protegidos por el RGPD del Reino Unido, el Anexo del Reino Unido se aplicará completado de la siguiente manera:

(i)          las CCT de la UE, completadas como se establece anteriormente en la cláusula 7.1(a) de este Contrato, también se aplicarán a las transferencias de dichos Datos personales del Cliente, con sujeción a la subcláusula (ii) a continuación;

(ii)         las Tablas 1 a 3 del Anexo del Reino Unido se considerarán completadas con la información pertinente de las CCT de la UE, completadas como se establece anteriormente, y las opciones “ninguna de las partes” se considerarán marcadas en la Tabla 4. La fecha de inicio del Anexo del Reino Unido (como se establece en la Tabla 1) será la fecha del presente Contrato; y

(c)         en caso de que alguna disposición de este Contrato contradiga, directa o indirectamente, las Cláusulas contractuales tipo, prevalecerán las Cláusulas contractuales tipo.

7.2         En caso de que el Anexo del Reino Unido o las CCT de la UE actuales sean sustituidas o reemplazadas por nuevas cláusulas contractuales tipo, las partes acuerdan que dichas nuevas cláusulas contractuales tipo se aplicarán automáticamente a la transferencia de Datos personales del Cliente del Cliente a ServiceChannel y se considerarán completadas, mutatis mutandis, como se describe en la Cláusula 7.1 anterior.

8. Cooperación y derechos de los interesados

8.1         En la medida en que el Cliente, en su uso o recepción de los Servicios, carezca de la capacidad de corregir, modificar, limitar, bloquear o suprimir los Datos personales del Cliente, según lo exijan las Leyes de protección de datos, ServiceChannel hará todo lo comercialmente razonable por cumplir con las solicitudes razonables del Cliente para facilitar dichas acciones en la medida en que ServiceChannel esté legalmente autorizado a hacerlo.

8.2         ServiceChannel, en la medida en que lo permita la ley, informará inmediatamente al Cliente si recibe una solicitud de un Interesado para ejercer sus derechos en virtud del RGPD, o de cualquier solicitud del consumidor para ejercer sus derechos en virtud de la Ley de Protección al Consumidor de California. ServiceChannel no responderá a ninguna solicitud de dicho Interesado sin el consentimiento previo por escrito del Cliente, excepto para confirmar que la solicitud está relacionada con el Cliente. ServiceChannel brindará al Cliente cooperación y asistencia comercialmente razonables en relación con la gestión de la solicitud de un Interesado, en la medida en que lo permita la ley y en la medida en que el Cliente no tenga acceso a dichos Datos personales del Cliente a través de su uso o recepción de los Servicios.

9. Rescisión; supresión o devolución de Datos

9.1         El presente Contrato se rescindirá automáticamente tras la rescisión o vencimiento del MSA.

9.2         Tras la rescisión o vencimiento del MSA, ServiceChannel (a elección del Cliente) destruirá o devolverá al Cliente, en la medida de lo posible, todos los Datos personales en su posesión o control, de acuerdo con las políticas de conservación de datos de ServiceChannel que observen los requisitos de las Leyes de protección de datos, y de manera coherente con los términos del Contrato. Este requisito tampoco se aplicará en la medida en que la ley aplicable exija a ServiceChannel conservar algunos o todos los Datos personales, o para Datos personales que haya archivado en sistemas de copia de seguridad, en cuyo caso ServiceChannel los aislará y protegerá de forma segura de cualquier tratamiento posterior, excepto en la medida en que lo exija dicha ley hasta que sea posible la supresión.

10. Auditoría

10.1       El Cliente reconoce que ServiceChannel es auditada regularmente según la norma SSAE 18 SOC 1 y SOC 2 por auditores externos independientes. Previa solicitud, ServiceChannel brindará una copia resumida de su(s) informe(s) de auditoría al Cliente, que estará sujeta a las disposiciones de confidencialidad del MSA.

10.2       Cualquier solicitud a ServiceChannel para que brinde asistencia en una auditoría se considera un servicio independiente si dicha asistencia de auditoría requiere el uso de recursos diferentes o adicionales a los requeridos por la ley. El Cliente reembolsará a ServiceChannel el tiempo dedicado a dicha auditoría a las tarifas acordadas por las partes. Antes del inicio de dicha auditoría, el Cliente y ServiceChannel acordarán mutuamente el alcance, el momento y la duración de la auditoría, además del coste de reembolso del que será responsable el Cliente. Todos los costes de reembolso serán razonables, teniendo en cuenta los recursos gastados por ServiceChannel. El Cliente notificará inmediatamente a ServiceChannel la información relativa a cualquier incumplimiento descubierto durante el transcurso de una auditoría.

10.3       ServiceChannel brindará una cooperación razonable al Cliente (a cargo de este último) en relación con cualquier evaluación del impacto de la protección de datos que exija la Legislación de protección de datos aplicable.

11. Limitación de responsabilidad

El presente Contrato está sujeto a las limitaciones de responsabilidad y a los descargos de responsabilidad del MSA.

12. Partes de este Contrato

Nada de lo dispuesto en el presente Contrato conferirá ningún beneficio o derecho a ninguna persona o entidad que no sea una de las partes del presente Contrato.

13. Efecto legal

El presente Contrato solo será legalmente vinculante entre el Cliente y ServiceChannel cuando lo firmen ambas partes. Si este documento ha sido firmado electrónicamente por cualquiera de las partes, dicha firma tendrá el mismo efecto legal que una firma manuscrita.

14. General

14.1       El presente Contrato se regirá e interpretará en todos los aspectos de acuerdo con la legislación aplicable y las disposiciones sobre jurisdicción del MSA, siempre que, en caso de conflicto entre el Contrato y el presente Contrato con respecto al tratamiento de Datos personales, prevalezca el presente Contrato.

14.2       El presente Contrato podrá formalizarse en un número cualquiera de ejemplares, constituyendo cada uno de los cuales un original y formando todos ellos un único y el mismo acuerdo entre las partes.

14.3       Aparte de lo establecido en el presente Contrato, el MSA permanecerá en pleno vigor y efecto.

 ANEXO I
A. LISTA DE PARTES
Exportadores de datos:[Identidad y datos de contacto del exportador o exportadores de datos y, cuando proceda, de su delegado de protección de datos y/o representante en la Unión Europea]

Nombre:	según el MSA
Dirección:	según el MSA
Nombre, puesto y datos de contacto de la persona de contacto:	según el MSA
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas:	envío de datos personales a ServiceChannel de acuerdo con el MSA
Firma y fecha:	según la formalización del MSA
Función (responsable/encargado del tratamiento):	Responsable del tratamiento

Importadores de datos:[Identidad y datos de contacto del importador o importadores de datos, incluida cualquier persona de contacto responsable de la protección de datos]

Nombre:	ServiceChannel.com, Inc.
Dirección:	6200 Stoneridge Mall Road, Suite 450, Pleasanton, CA 94588
Nombre, puesto y datos de contacto de la persona de contacto:	Brian Chase, asesor jurídico general, bchase@servicechannel.com
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas:	recepción y posterior tratamiento de datos personales procedentes del Cliente de acuerdo con el MSA
Firma y fecha:	según la formalización del MSA
Función (responsable/encargado del tratamiento):	Encargado del tratamiento

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren	Personal del cliente Personas contratadas por el Cliente a través de la plataforma de ServiceChannel
Categorías de datos personales transferidos	Personal del Cliente: nombre; dirección; dirección de correo electrónico; número de teléfono; datos de registro (p. ej., dirección IP, ID del dispositivo, ubicación del dispositivo, cookies); detalles de los servicios de gestión de instalaciones que se proporcionan (fecha, hora, ubicación, servicios, comentarios, reseñas, tarifas) Personas contratadas por el Cliente a través de la plataforma de ServiceChannel: nombre; dirección; dirección de correo electrónico; número de teléfono; datos de registro (p. ej., dirección IP, ID del dispositivo, ubicación del dispositivo, cookies); detalles de los servicios de gestión de instalaciones que se proporcionan (fecha, hora, ubicación, servicios, comentarios, reseñas, tarifas)
Datos sensibles transferidos (si procede) y restricciones o salvaguardas aplicadas que tengan en cuenta plenamente la naturaleza de los datos y los riesgos implicados, como por ejemplo, limitación estricta de la finalidad, restricciones de acceso (incluido el acceso solo para personal que haya seguido formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias ulteriores o medidas de seguridad adicionales.	Ninguno/a
La frecuencia de la transferencia (p. ej., si los datos se transfieren de forma puntual o continua).	Continua, en función del uso de la plataforma ServiceChannel por parte del Cliente.
Naturaleza del tratamiento	ServiceChannel opera una solución de gestión de instalaciones independiente y basada en la nube para permitir a sus clientes obtener, adquirir, administrar y pagar de manera más eficiente servicios de reparación técnica y de mantenimiento técnico a nivel interno y proporcionados por contratistas externos, lo cual permite a sus organizaciones mejorar su imagen de marca corporativa, generar importantes ahorros, mejorar el cumplimiento y mitigar el riesgo operativo. La plataforma ServiceChannel combina aplicaciones web y móviles de gestión de órdenes de trabajo con un motor de análisis líder en el sector que ofrece una solución completa de gestión de instalaciones desde su origen hasta la resolución. ServiceChannel ayuda a que los clientes puedan exigir responsabilidades a los contratistas, proveedores y otros socios externos con respecto a los servicios que hayan realizado o aceptado realizar. La plataforma proporciona datos imparciales e independientes sobre el rendimiento de contratistas externos.
Finalidad(es) de la transferencia de datos y el tratamiento posterior	La prestación de servicios en virtud del MSA.
El periodo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese periodo	La duración del tratamiento será la misma que la duración de la prestación de servicios en virtud del MSA.
Para transferencias a (sub)encargados del tratamiento, especifique también el asunto, la naturaleza y la duración del tratamiento	Cuando ServiceChannel contrate a subencargados del tratamiento, lo hará de conformidad con los términos de las CCT de la UE. El objeto, la naturaleza y la duración de las actividades de tratamiento llevadas a cabo por el subencargado del tratamiento no superarán el objeto, la naturaleza y la duración de las actividades de tratamiento según se describe en este Anexo.

C. AUTORIDAD DE CONTROL COMPETENTE

Identificar las autoridades de control competentes de conformidad con la cláusula 13:

la autoridad de control del país en el que se encuentra el establecimiento principal o el establecimiento único del responsable del tratamiento.

 

 

ANEXO II
Medidas de seguridad
ServiceChannel seguirá siendo responsable en todo momento de las siguientes medidas de seguridad de transferencia comercialmente razonables:

MEDIDAS DE SEGURIDAD DE TRANSFERENCIA	MEDIDAS IMPLEMENTADAS
Medidas de seudonimización y cifrado de datos personales	Seudonimización enmascaramiento de caracteres intercambio k-anonimato Cifrado Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior) en cada interfaz de inicio de sesión, utilizando algoritmos y certificados estándar del sector. Cifrado de datos en reposo utilizando el algoritmo AES-256 estándar del sector
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento	Confidencialidad Red privada virtual (VPN) Autenticación multifactor (MFA) Sistema de derechos diferenciados basado en grupos de seguridad y listas de control de acceso. Transmisión segura de credenciales mediante TLS 1.2 (o superior) Las contraseñas requieren una complejidad mínima definida. Las contraseñas iniciales deben cambiarse después del primer inicio de sesión. Bloqueo automático de cuentas Directrices para la gestión de contraseñas Controles de acceso a la infraestructura alojada por el proveedor de servicios en la nube Gestión de derechos de acceso, incluido el concepto de autorización, implementación de restricciones de acceso, implementación del principio de “necesidad de conocer”, gestión de derechos de acceso individuales. Acuerdos de formación y confidencialidad para el personal interno y externo Separación de redes Separación de responsabilidades y deberes Limitar el acceso a los datos personales a las partes implicadas en el tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Integridad Interconexiones de red seguras garantizadas por cortafuegos, etc. Registro de transmisiones de datos del sistema informático que almacena o trata datos personales Autenticación de registro y acceso lógico al sistema supervisado Registro del acceso a los datos, incluidos, entre otros, el acceso, la modificación, la introducción y la supresión de datos Documentación de los derechos de introducción de datos y registro de entradas relacionadas con la seguridad Cortafuegos de aplicaciones web (Web Application Firewall, WAF) Disponibilidad y resiliencia Los datos de los clientes se copian por seguridad en múltiples almacenes de datos duraderos y se replican en múltiples zonas de disponibilidad. Protección de los soportes de copia de seguridad almacenados
Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de forma pertinente en caso de incidente físico o técnico	Planificación de continuidad y plan de recuperación ante desastres Procesos de recuperación ante desastres para restaurar datos y procesos Objetivo de tiempo de recuperación (Recovery Time Objective, RTO) Objetivo de punto de recuperación (Recovery Point Objective, RPO) Tiempo de inactividad máximo tolerable (Maximum Tolerable Downtime, MTD) Medidas de gestión de la capacidad para supervisar el consumo de recursos de los sistemas, así como planificación de futuros requisitos de recursos. Procedimientos para gestionar y notificar incidentes (gestión de incidentes), incluida la detección y reacción a posibles incidentes de seguridad. Se realiza una copia de seguridad de los datos productivos cada hora de forma incremental y diariamente como copia de seguridad completa. Todas las copias de seguridad se conservan de forma redundante y cifradas (AES-256).
Procesos para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento	Pruebas de equipos de emergencia Documentación de interfaces y campos de datos personales Auditorías internas y externas Comprobaciones de seguridad (p. ej., pruebas de penetración) realizadas por terceros Auditorías SOC 1 y 2 Pruebas y análisis comparativos regulares con los estándares del sector, p. ej., SANS Top 20 Controls for Internet Security, directrices NIST, etc.
Medidas para la identificación y autorización del usuario	Interconexiones de red seguras garantizadas por VPN, MFA, cortafuegos, etc. Registro de transmisiones de datos del sistema informático que almacena o trata datos personales Autenticación de registro y acceso al sistema supervisado El acceso a los datos necesarios para la realización de la tarea en particular se garantiza dentro de los sistemas y aplicaciones mediante un rol correspondiente y un concepto de autorización de acuerdo con el principio de “necesidad de conocer”. Cortafuegos de aplicaciones web (Web Application Firewall, WAF)
Medidas para la protección de datos durante la transmisión	Acceso remoto a la red a través de túnel VPN y cifrado integral Cifrado HTTPS para datos en tránsito (con TLS 1.2 o superior)
Medidas para la protección de datos durante el almacenamiento	Entradas del sistema registradas a través de archivos de registro Listas de control de acceso (Access Control Lists, ACL) Autenticación multifactor (Multi-factor Authentication, MFA)
Medidas para garantizar la seguridad física de las ubicaciones en las que se tratan los Datos personales	Subdivisión de la instalación en zonas individuales con diferentes autorizaciones de acceso; Protección del acceso físico (p. ej., puertas de acero, habitaciones sin ventanas o ventanas protegidas); Sistema de control de acceso electrónico para proteger las áreas de seguridad; Supervisión de la instalación mediante servicios de seguridad y registro de acceso a la instalación; Videovigilancia de todas las áreas de seguridad relevantes para la seguridad, como entradas, salidas de emergencia y salas de servidores; Asignación y revocación central de autorizaciones de acceso; Identificación de todos los visitantes mediante la verificación de su documento de identidad y registro (se mantiene un registro de visitantes); Identificación obligatoria dentro de las áreas de seguridad para todos los empleados y visitantes; Los visitantes deben estar acompañados por empleados en todo momento.
Medidas para garantizar el registro de eventos	Registro remoto Encadenamiento hash Replicación Sistema central de gestión de información y eventos de seguridad (Security Event and Information Management, SIEM)
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada	Política y procedimientos de control de acceso Identificación de la configuración de referencia Planificación y gestión de la configuración Gestión de cambios de configuración Registro del estado de la configuración Verificación y auditorías de configuración Gestión de dispositivos móviles
Medidas para la gobernanza y gestión de la seguridad de las TI y las TI internas	Persona designada e identificada para supervisar el programa de cumplimiento y seguridad de la información de la empresa Auditoría SOC 1 y 2
Medidas para la certificación/garantía de procesos y productos	Certificaciones de seguridad de la información o de gestión de calidad como SSAE 18 Tipo 2 SOC 1 y SSAE18 Tipo 2 SOC2
Medidas para garantizar la minimización de los datos	Barreras tecnológicas para la vinculación no autorizada de fuentes de datos independientes. Limitación al nivel de detalle utilizado en el tratamiento de datos personales: por ejemplo, mediante técnicas como el k-anonimato y la ofuscación. Supresión de metadatos generados durante ciertos procesos que no son necesarios para el objetivo perseguido.
Medidas para garantizar la calidad de los datos	Proceso para el ejercicio de los derechos de protección de datos (derecho a modificar y actualizar la información) Documentación clara de los requisitos para todas las condiciones y escenarios de datos Limitar el acceso a los datos personales a las partes implicadas en el tratamiento de acuerdo con el principio de “necesidad de conocer” y de acuerdo con la función detrás de la creación de perfiles de acceso diferenciados. Perfiles de datos rigurosos y control de los datos entrantes Diseño de canalización de datos para evitar datos duplicados Equipo de garantía de calidad Aplicación de la integridad de los datos
Medidas para garantizar la conservación limitada de datos	La existencia de programas y políticas de conservación claros Prueba de efectividad
Medidas para garantizar la responsabilidad	Asignar la responsabilidad de garantizar la privacidad del usuario final durante todo el ciclo de vida del producto y a través de los procesos empresariales aplicables. Evaluaciones del impacto de la protección de datos como parte integral de cualquier nueva iniciativa de tratamiento. Documentar todas las decisiones adoptadas dentro de la organización desde una perspectiva de “pensamiento conceptual de privacidad”.
Medidas para permitir la portabilidad de los datos y garantizar el borrado	Procesos documentados en relación con el ejercicio por parte de los usuarios de sus derechos de privacidad (p. ej., derecho de supresión o derecho a la portabilidad de los datos) Uso de formatos abiertos como CSV, XML o JSON.
Restricciones o salvaguardas aplicadas para datos sensibles (si procede)	El cifrado o “hash” de datos de categorías especiales, aunque no sea un requisito legal explícito, debe ser la norma

English            Deutsch            Español            Français (France)            中文(简体)