Anexo de procesamiento de datos
Para la prestación de sus servicios, Redmasiva procesa ciertos datos personales relacionados con clientes, sus representantes, los usuarios finales y los suscriptores del cliente. Al hacerlo, Redmasiva actúa como procesador en nombre de un cliente y como controlador. En el presente Anexo de procesamiento de datos (“DPA”, por sus siglas en inglés), se establecen los términos y condiciones del procesamiento por parte de Redmasiva.
El Anexo de procesamiento de datos (DPA) es una parte integral de los Términos de Servicio (“Acuerdo”) celebrado entre Redmasiva, sus subsidiarias y filiales, en conjunto denominadas (“Redmasiva”) y el cliente, que es parte del Acuerdo (“Cliente”).
1. Definiciones
Leyes de protección de datos aplicables: Se refiere a todas las leyes y normativas de privacidad y protección de datos aplicables a cualquiera de las partes en virtud del Acuerdo. Cada parte determina por sí misma sus leyes de protección de datos aplicables, y estas pueden ser diferentes para Redmasiva y el Cliente.
Controlador: Es la persona física o jurídica que determina los fines y medios del procesamiento de datos personales.
Cliente: Se refiere a una de las partes en el Acuerdo con Redmasiva. Puede ser un cliente individual, una agencia de marketing, un particular, un empresario individual o una persona jurídica en nombre de la cual los usuarios finales utilizan el Servicio.
Información de la cuenta del cliente: Los datos personales relacionados con el Cliente, sus representantes y los usuarios finales que Redmasiva procesa como controlador independiente, como se describe más particularmente en este DPA.
Contenido del cliente: Los datos personales relacionados con los usuarios finales y los suscriptores del Cliente que Redmasiva procesa en nombre del Cliente como procesador para la prestación del Servicio, como se describe más particularmente en este DPA.
Suscriptores del cliente: Los interesados con los que el Cliente se comunica respecto al uso del Servicio y cuyos datos carga en el Servicio (clientes, clientes potenciales, contactos de redes sociales y plataformas de mensajería u otros individuos).
Vulneración de datos: Cualquier violación de seguridad no autorizada o ilegal confirmada que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los datos personales que procesa Redmasiva. No incluye intentos fallidos ni actividades que no comprometan la seguridad de los datos personales, como intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio u otros ataques de red a cortafuegos o sistemas en red.
Marcos de Privacidad de Datos: Incluye el Marco de Privacidad de Datos UE-EE. UU., el Marco de Privacidad de Datos Suiza-EE. UU. y la Extensión del Reino Unido al DPF UE-EE. UU. administrados por el Departamento de Comercio de los EE. UU.
Interesado: Una persona física identificada o identificable a la que se refieren los datos personales.
Usuarios finales: Se refiere al Cliente y a otros interesados con acceso legal al Servicio en nombre del Cliente o en virtud de una autorización legal del Cliente.
Datos personales: Significa “datos personales”, “información personal”, “información personal identificable” o información similar definida y regulada por las leyes de protección de datos aplicables. Abarca tanto el Contenido del cliente como la Información de la cuenta del cliente.
Procesamiento: Cualquier operación o conjunto de operaciones efectuadas sobre los datos personales, como recolección, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, uso, comunicación, difusión, cotejo, interconexión, limitación, eliminación o destrucción.
Procesador: Una entidad que trata los datos personales en nombre de un controlador.
Servicio: Cualquier producto o servicio proporcionado por Redmasiva al Cliente de conformidad con el Acuerdo.
Cláusulas contractuales tipo: Se refiere a las cláusulas aplicables para la transferencia de datos personales, como las de la UE, Reino Unido, Suiza y Brasil, completadas según lo descrito en el Anexo correspondiente.
Subprocesador: Cualquier procesador contratado por Redmasiva para colaborar en el cumplimiento de sus obligaciones respecto a la prestación del Servicio en virtud del Acuerdo o este DPA.
Todos los términos en mayúsculas que no se definen en el presente DPA tendrán el significado establecido en el Acuerdo.
2. Relaciones entre las partes
2.1. Redmasiva como procesador: Las partes reconocen y acuerdan que, respecto al procesamiento del Contenido del Cliente, Redmasiva actúa como un Procesador en nombre del Cliente (ya sea un Controlador o un Procesador). Redmasiva procesa el Contenido del Cliente de acuerdo con las instrucciones del Cliente establecidas en la Sección 2.4. Redmasiva procesará el Contenido del Cliente únicamente para los fines descritos en este DPA y solo conforme a las instrucciones del Cliente.
2.2. Redmasiva como controlador: Las partes reconocen que, respecto al procesamiento de la Información de la Cuenta del Cliente, Redmasiva es un controlador independiente, no un controlador conjunto con el Cliente. Redmasiva procesará la Información de la cuenta del cliente como Controlador para realizar funciones necesarias como la gestión del acuerdo, la administración de la cuenta, el cumplimiento de la ley, la contabilidad, los impuestos, la facturación, la auditoría, las ventas y la comunicación de marketing con el Cliente. Redmasiva procesará esta información conforme a su Política de privacidad y a las disposiciones aplicables de este DPA.
2.3. Detalles del procesamiento de la información: El procesamiento del Contenido del cliente y la Información de la cuenta del cliente se detalla en el Anexo 1, especificando la naturaleza y finalidad del Procesamiento, duración, tipos de datos personales, categorías de interesados, fuentes de Datos personales, y los Procesadores y Subprocesadores contratados por Redmasiva.
2.4. Instrucciones del cliente: Excepto por las disposiciones de la cláusula 2.2, Redmasiva procesará el Contenido del cliente solo conforme a las instrucciones del Cliente. Al celebrar el Acuerdo, incluido este DPA, el Cliente instruye a Redmasiva para procesar el Contenido del cliente para prestar el Servicio y autoriza a Redmasiva a anonimizar y utilizar el Contenido del cliente anonimizado para mejorar el producto o realizar análisis.
2.5. Cliente como procesador: Si el Cliente actúa como procesador en nombre de otro Controlador, garantiza que el Controlador ha autorizado (i) las instrucciones descritas en el DPA y el nombramiento de Redmasiva como subprocesador y (ii) la contratación de Subprocesadores por Redmasiva, según se establece en la Sección 3. El Cliente deberá remitir al Controlador cualquier notificación que Redmasiva le envíe bajo este DPA.
2.6. Cumplimiento de la ley: Cada parte cumplirá con sus obligaciones bajo las Leyes de Protección de Datos Aplicables en el tratamiento de los datos personales.
2.7. Obligaciones del cliente: El Cliente garantiza que cumplirá con sus obligaciones bajo las Leyes de Protección de Datos Aplicables respecto al procesamiento de datos personales y cualquier instrucción que emita a Redmasiva. Debe obtener todos los consentimientos necesarios para (i) contratar a Redmasiva para procesar el Contenido del Cliente y (ii) transferir la Información de la cuenta del cliente a Redmasiva conforme al Acuerdo y este DPA. El Cliente informará a los Suscriptores que Redmasiva se utiliza como procesador de datos y proporcionará toda la información requerida por la ley aplicable.
El Cliente debe informar a Redmasiva de cualquier requisito de procesamiento adicional no cubierto por este DPA, según lo establecido por las Leyes de Protección de Datos Aplicables. El Cliente indemnizará a Redmasiva por cualquier reclamo, responsabilidad, daño o costo derivado del incumplimiento de sus obligaciones según esta disposición.
3. Subprocesamiento
3.1. Subprocesadores autorizados: El Cliente autoriza y acepta específicamente que Redmasiva pueda contratar a Subprocesadores para procesar el Contenido del Cliente. Los Subprocesadores actualmente contratados por Redmasiva y autorizados por el Cliente están disponibles en la página correspondiente de proveedores de servicios de Redmasiva. El Cliente también autoriza a Redmasiva a contratar nuevos Subprocesadores para procesar el Contenido del Cliente sujeto al procedimiento establecido en la Sección 3.3 del DPA.
3.2. Obligaciones del subprocesador: Con respecto a todos los Subprocesadores, Redmasiva deberá:
- Celebrar un acuerdo jurídicamente vinculante con el Subprocesador, imponiendo obligaciones de protección de datos sustancialmente similares a las establecidas en este DPA.
- Seguir siendo responsable del cumplimiento por parte del Subprocesador de las obligaciones de este DPA y de cualquier acto u omisión del Subprocesador que provoque que Redmasiva incumpla cualquiera de sus obligaciones bajo este DPA.
3.3. Contratación de nuevos subprocesadores: Redmasiva notificará al Cliente sobre la contratación de cualquier nuevo Subprocesador, si el Cliente se suscribe para recibir estas actualizaciones. Redmasiva enviará la notificación al menos diez (10) días naturales antes de que el nuevo Subprocesador acceda al Contenido del Cliente. Si Redmasiva cree razonablemente que es necesario contratar a un nuevo Subprocesador de forma acelerada para proteger la confidencialidad, integridad o disponibilidad del Contenido del Cliente o para evitar una interrupción material del Servicio, Redmasiva lo notificará tan pronto como sea posible.
3.4. Objeción: Si, en el plazo de cinco (5) días naturales tras la recepción de la notificación de Redmasiva, el Cliente notifica a Redmasiva que se opone a la designación de un nuevo Subprocesador basándose en preocupaciones razonables sobre la protección de datos, las partes discutirán estas inquietudes de buena fe e intentarán resolverlas. Si no se puede llegar a un acuerdo mutuo, el Cliente, como único y exclusivo recurso, podrá rescindir el Acuerdo y el DPA por conveniencia, sin derecho a reembolso, y seguirá siendo responsable del pago de los honorarios comprometidos en un formulario de pedido, un pedido, una declaración de trabajo u otro documento de pedido similar.
Si el Cliente no notifica a Redmasiva sus objeciones en el plazo especificado, se considerará que Redmasiva está autorizado a contratar a un nuevo Subprocesador por el Cliente.
4. Medidas de seguridad
4.1. Medidas adecuadas: Durante la vigencia de este DPA, Redmasiva implementará y mantendrá las medidas de seguridad técnicas y organizativas establecidas en el Anexo 2 (“Medidas de seguridad”) para proteger los Datos personales de posibles vulneraciones y preservar su seguridad y confidencialidad, de acuerdo con las normas de seguridad de Redmasiva.
4.2. Confidencialidad del procesamiento: Redmasiva se asegurará de que cualquier persona autorizada para procesar Datos personales (incluidos su personal, agentes, subcontratistas y Subprocesadores) esté bajo una obligación adecuada de confidencialidad, ya sea contractual o legal.
4.3. Responsabilidades del cliente: El Cliente acepta lo siguiente:
- Ha revisado y evaluado la lista de Medidas de seguridad y la considera adecuada para la protección de los Datos personales según las Leyes de Protección de Datos Aplicables del Cliente, y proporciona las garantías adecuadas para la transferencia transfronteriza de Datos personales, si corresponde. A petición del Cliente, Redmasiva puede implementar medidas o salvaguardas adicionales que sean razonablemente necesarias para permitir la transferencia legal de Datos personales.
- Salvo lo dispuesto en este DPA, el Cliente es responsable de su uso seguro del Servicio, incluida la protección de las credenciales de autenticación de su cuenta y la seguridad de los Datos personales en tránsito, así como la seguridad de los sistemas y dispositivos del Cliente utilizados para acceder al Servicio.
4.4. Actualizaciones a las medidas de seguridad: El Cliente reconoce que las Medidas de seguridad están sujetas al progreso y desarrollo técnico, y que Redmasiva puede actualizar o modificar las Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no degraden la seguridad general del Servicio adquirido por el Cliente. El Cliente es responsable de revisar la información proporcionada por Redmasiva sobre la seguridad actualizada de los datos y de determinar de manera independiente si el Servicio cumple con los requisitos del Cliente y sus obligaciones legales bajo las Leyes de Protección de Datos Aplicables del Cliente.
5. Revisiones de seguridad e informes
5.1. Informes de seguridad: Redmasiva recurre a auditores externos para verificar la adecuación de sus medidas de seguridad y ha obtenido la certificación ISO 27001 y el informe SOC 2 Tipo 2 para el Servicio. Estas auditorías son realizadas por profesionales de seguridad independientes elegidos por Redmasiva al menos una vez al año, y se elabora un informe de auditoría confidencial (“Informe de auditoría”). Previa solicitud por escrito, y sujeto a controles razonables de confidencialidad, Redmasiva pondrá a disposición del Cliente una copia resumida del Informe de auditoría más reciente de Redmasiva.
5.2. Diligencia debida sobre la seguridad: Además del Informe de auditoría, Redmasiva responderá a las solicitudes razonables de información enviadas por el Cliente para confirmar el cumplimiento de Redmasiva con este DPA, incluidas las respuestas a los cuestionarios de seguridad de la información y diligencia debida del Cliente. El Cliente no podrá ejercer este derecho más de una vez por año natural.
6. Vulneración de datos y notificación
6.1. Plazo de notificación: Tras tener conocimiento de una filtración de datos confirmada que pueda afectar significativamente los intereses y derechos fundamentales de los titulares de los datos, y que implique categorías sensibles de datos personales, Redmasiva notificará al Cliente sin demora indebida, y en ningún caso después de 52 horas de haber tomado conocimiento del incidente, a menos que la legislación aplicable lo prohíba. No se considerará retraso indebido la demora solicitada por las fuerzas del orden o debido a las necesidades legítimas de Redmasiva para investigar o remediar el asunto antes de proporcionar la notificación.
6.2. Contenido de la notificación: Las notificaciones incluirán, en la medida de lo posible, detalles sobre la vulneración de datos, los pasos tomados para mitigar los riesgos potenciales y las recomendaciones de Redmasiva al Cliente para enfrentar la vulneración.
6.3. Cooperación de Redmasiva: Redmasiva cooperará con el Cliente y tomará medidas comerciales razonables para ayudar en la investigación, mitigación y remediación de cada vulneración de datos. La notificación o respuesta de Redmasiva a una vulneración de datos bajo esta sección no se interpretará como un reconocimiento de culpa o responsabilidad por parte de Redmasiva respecto a la vulneración de datos.
6.4. Notificación de vulneraciones de datos a las autoridades y a los interesados: El Cliente es el único responsable de cumplir con cualquier obligación de notificación a terceros relacionada con una vulneración de datos bajo las Leyes de Protección de Datos Aplicables del Cliente, como la notificación a las autoridades de protección de datos o la comunicación a los interesados.
7. Derechos de los interesados y cooperación
7.1. Solicitudes de los interesados: A solicitud del Cliente, Redmasiva proporcionará la ayuda que pueda requerir razonablemente para cumplir con sus obligaciones bajo las Leyes de Protección de Datos Aplicables del Cliente y responder a las solicitudes de los interesados para ejercer sus derechos (como los derechos de acceso, rectificación, supresión, restricción, portabilidad y objeción), en los casos donde el Cliente no pueda cumplir con las solicitudes de manera independiente mediante la funcionalidad de autoservicio del Servicio.
7.2. Autorización de solicitudes directas a Redmasiva: Si Redmasiva recibe una solicitud de un interesado relacionada con el Contenido del Cliente, para (i) cancelar la suscripción del interesado a los mensajes enviados por el Cliente a través del Servicio, o (ii) eliminar el Contenido del Cliente en el Servicio relacionado con el interesado, el Cliente autoriza e instruye a Redmasiva a cancelar la suscripción o eliminar la Información de Contenido relacionada con el interesado.
7.3. Soporte de Redmasiva: Redmasiva proporcionará al Cliente el soporte razonable solicitado para cumplir con las obligaciones bajo las Leyes de Protección de Datos Aplicables del Cliente, teniendo en cuenta la naturaleza del procesamiento y la información disponible para Redmasiva como Procesador (por ejemplo, en relación con la seguridad del procesamiento, la notificación de vulneración de datos, la evaluación del impacto de la protección de datos y las consultas previas con las autoridades de supervisión). Si este soporte razonable requiere que Redmasiva asigne recursos significativos, los costos serán asumidos por el Cliente.
8. Devolución o eliminación de los datos
8.1. Eliminación o devolución del contenido del cliente: Tras la recepción de una solicitud del Cliente o tras la extinción de este Acuerdo, Redmasiva debe eliminar o devolver al Cliente todo el Contenido del Cliente de sus sistemas. No obstante lo anterior, el Cliente entiende que Redmasiva puede tener que conservar algunas partes del Contenido del Cliente si así lo requiere la ley, de acuerdo con sus políticas de conservación de información. Esta información permanecerá sujeta a los requisitos de este DPA.9. Varios
9.1. Procesamiento internacional de datos: El Cliente reconoce que la prestación del Servicio y las actividades relacionadas de Redmasiva como Responsable del procesamiento pueden requerir el procesamiento de Datos personales por parte de Subprocesadores o Procesadores en países fuera del EEE e, incluso, en los Estados Unidos, como se establece en la Sección correspondiente de la Política de privacidad.
9.2. Vía de comunicación: Redmasiva enviará todas las notificaciones mencionadas en el DPA al correo electrónico proporcionado por el Cliente durante el proceso de registro o las publicará en la interfaz de usuario del Servicio. El Cliente debe enviar todas las objeciones y solicitudes mencionadas en el DPA u otras comunicaciones relacionadas con el Procesamiento de Datos personales al mismo correo electrónico desde el que recibió la notificación de Redmasiva.
9.3. Reclamaciones: Cualquier reclamación presentada en virtud de este DPA o en relación con él estará sujeta a los términos y condiciones, incluidas las exclusiones y limitaciones, establecidas en el Acuerdo.
9.4. No hay derechos de terceros beneficiarios: Este DPA no confiere derechos de terceros beneficiarios. Está destinado exclusivamente a las partes y a sus respectivos sucesores y cesionarios autorizados.
9.5. Legislación aplicable: Este DPA se regirá e interpretará de acuerdo con la legislación aplicable y las disposiciones sobre jurisdicción contenidas en el Acuerdo, salvo que las Leyes de Protección de Datos Aplicables del Cliente dispongan lo contrario o se establezca en los Términos específicos de la jurisdicción.
9.6. Terminación: Este Anexo quedará automáticamente sin efecto a la expiración o rescisión del Acuerdo. La rescisión del DPA solo es posible si se rescinde el Acuerdo.
9.7. Responsabilidad: El Cliente acepta que cualquier sanción reglamentaria incurrida por Redmasiva en relación con los Datos personales debido al incumplimiento del Cliente de sus obligaciones bajo este DPA o cualquier Ley de Protección de Datos Aplicable del Cliente se considerará responsabilidad del Cliente. Redmasiva es responsable de las sanciones reglamentarias incurridas por el Cliente o Redmasiva como resultado del incumplimiento por parte de Redmasiva de sus obligaciones.
9.8. Relación con el Acuerdo: Este DPA es un elemento fundamental del Acuerdo y, salvo que aquí se establezca lo contrario, el Acuerdo permanece inalterado y en pleno vigor y efecto. En caso de conflicto entre este DPA y el Acuerdo, prevalecerá el DPA. Las partes acuerdan que este DPA sustituirá a cualquier DPA existente previamente en relación con el Servicio.