Agenda Sobre Tratamiento De Datos
Última actualización: abril de 2023
Este Acuerdo de Procesamiento de Datos, incluyendo su Apéndice, (este “DPA“) forma parte de los Términos y Condiciones u otros contratos escritos o electrónicos entre Engage y el Cliente para la compra de servicios de Engage (el “Acuerdo“), que refleja el acuerdo de las partes en relación con el Tratamiento de Datos Personales.
Para ejercer los derechos y cumplir las obligaciones derivadas del Acuerdo, el Exportador revelará y transferirá Datos Personales al Importador. En virtud del presente APD, el importador tratará los datos personales transferidos en nombre del exportador, de conformidad con los requisitos del exportador establecidos en el presente APD.
En virtud del presente APD, el Exportador actúa como Responsable del Tratamiento, determinando los fines y medios del Tratamiento de los Datos Personales, de conformidad con la Legislación Aplicable en materia de Protección de Datos, y el Importador actúa como Encargado del Tratamiento, tratando los Datos Personales transferidos por cuenta del Responsable.
Ambas Partes tienen la responsabilidad de respetar las disposiciones del presente APD.
- Definiciones
- “Acuerdo” significa los Términos y Condiciones, u otro acuerdo escrito o electrónico celebrado entre Engage y el Cliente para la compra de servicios de Engage.
- “Legislación Aplicable de Protección de Datos” significa las leyes aplicables al Tratamiento de Datos Personales específico de acuerdo con su ámbito personal, material y territorial; la Legislación Aplicable de Protección de Datos normalmente se determina por referencia a la ubicación del Titular de los Datos.
- “Cliente” significa la persona jurídica a la que Engage presta servicios, de conformidad con el Acuerdo. El término “Cliente” incluirá Cliente y afiliados autorizados.
- “Violación de Datos” significa cualquier pérdida o uso no autorizado, copia, modificación, divulgación o destrucción de, o acceso a, Datos Personales transferidos bajo esta DPA.
- “Responsable del tratamiento” o “Responsable del tratamiento” se refiere a la Parte que determina los fines y medios del Tratamiento de Datos Personales.
- “Exportador de datos” o “Exportador” se refiere al Cliente que transfiere Datos Personales al Importador de Datos en virtud del presente APD.
- “Importador de Datos” o “Importador” significa Engage que recibe Datos Personales del Exportador de Datos para su Procesamiento en virtud de esta DPA.
- “Encargado del tratamiento” o “Responsable del tratamiento” se refiere a la Parte que trata Datos Personales por cuenta del Responsable del tratamiento, también denominado intermediario de datos/persona de confianza.
- “Interesado” significa la persona física a la que se refieren los Datos Personales.
- “Subencargado del tratamiento de datos” se refiere a cualquier persona física o jurídica que pueda ser contratada por el Importador de datos para ayudar en el Tratamiento de datos personales en virtud del presente APD.
- “APD” se refiere al presente Apéndice sobre Tratamiento de Datos.
- “Autoridad(es) de Control” significa la(s) Autoridad(es) de Control o cualquier otra Autoridad(es) encargada(s) de hacer cumplir la Legislación de Protección de Datos Aplicable.
- “Engage” significa Engage Technologies Group Inc entidad jurídica constituida por las leyes de EE.UU., con sede en 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Estados Unidos.
- “Datos Personales” significa cualquier información relativa a un Sujeto de Datos.
- “Tratamiento“: cualquier operación o conjunto de operaciones que se realicen con Datos Personales o con conjuntos de Datos Personales, ya sea por medios automatizados o no, incluyendo, por ejemplo, la recogida, el uso y la divulgación de Datos Personales; y
- “Servicios” se refiere a los servicios prestados por el Importador de Datos al Exportador de Datos de conformidad con el Acuerdo.
- Responsabilidades de las Partes
- Cada una de las Partes tiene la responsabilidad de cumplir las cláusulas del presente APD, de conformidad con la Legislación Aplicable en materia de Protección de Datos.
- Ambas Partes tienen la responsabilidad de garantizar la protección y seguridad de los Datos Personales, de acuerdo con sus funciones y obligaciones en virtud de la Legislación Aplicable sobre Protección de Datos.
- Ambas Partes tienen la responsabilidad de respetar los derechos del Titular de los Datos y de proporcionar los medios para su ejercicio, de conformidad con sus funciones y obligaciones en virtud de la Legislación Aplicable sobre Protección de Datos.
- Cada Parte será responsable ante la(s) otra(s) Parte(s) de cualquier daño que cause a la(s) otra(s) Parte(s) por cualquier incumplimiento del presente APD.
- Cuando más de una Parte sea responsable de cualquier daño causado al Titular de los datos como consecuencia de un incumplimiento del presente APD, todas las Partes responsables serán solidariamente responsables y el Titular de los datos tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes.
- Las Partes acuerdan que si una Parte es considerada responsable en virtud del apartado (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.
- El exportador de datos garantiza, declara y se compromete a que:
- Los Datos Personales han sido recogidos, utilizados, divulgados y transferidos al Importador de Datos en virtud de la presente DPA de conformidad con la Legislación Aplicable en materia de Protección de Datos.
- Los Datos Personales transferidos al Importador de Datos en virtud de la presente DPA son exactos, completos y pertinentes para los fines del tratamiento por parte del Importador de Datos.
- El exportador de datos aplicará las medidas técnicas y operativas adecuadas para garantizar la seguridad de los datos personales durante su transmisión al importador de datos.
- El exportador de datos responderá a las consultas de los interesados o de las autoridades competentes en relación con el tratamiento de datos personales por parte del importador de datos, de conformidad con la legislación aplicable en materia de protección de datos. Las respuestas a dichas consultas y solicitudes se realizarán dentro de un plazo razonable o dentro del plazo y de la forma que, en su caso, exija la legislación aplicable en materia de protección de datos.
- En su caso, el Exportador es responsable de recabar el consentimiento de los interesados para que el Importador pueda tratar, utilizar o divulgar datos personales por cuenta del Exportador.
- El Importador de datos garantiza, declara y se compromete a que:
- El importador de datos procesa los datos personales únicamente de conformidad con las instrucciones del exportador de datos y para los fines descritos en el apéndice de esta DPA.
- El importador de datos no divulgará ni transferirá los datos personales que reciba del exportador de datos a otra persona, autoridad de aplicación o entidad jurídica, incluidos los subencargados del tratamiento de datos, a menos que haya notificado por escrito al exportador de datos dicha divulgación o transferencia y le haya dado una oportunidad razonable de oponerse.
- El importador de datos acepta que, antes de divulgar o transferir datos personales a terceros, incluidos los subencargados del tratamiento de datos, el importador de datos se asegurará de que el tercero esté sujeto y vinculado por las obligaciones del importador de datos para con el exportador de datos.
- El Importador de Datos se compromete a tomar las medidas razonables para implementar medidas sobre el almacenamiento y Tratamiento de Datos Personales que cumplan con los estándares de seguridad adecuados de acuerdo con la Legislación de Protección de Datos Aplicable.
- El importador de datos comunicará y remitirá al exportador de datos, sin demora injustificada, todas las consultas y solicitudes de los interesados relativas a los datos personales transferidos por el exportador de datos, incluidas las solicitudes de acceso o corrección de los datos personales.
- El Importador de Datos corregirá cualquier error u omisión en los Datos Personales razonablemente solicitados por el Exportador de Datos dentro de los 30 días siguientes a la recepción de la solicitud o en cualquier otro plazo exigido por la Legislación de Protección de Datos Aplicable.
- Tras la rescisión del Acuerdo o la finalización del Tratamiento requerido en virtud del presente APD, el Importador de datos, a elección del Exportador de datos, devolverá al Exportador de datos los Datos personales que obren en su poder en virtud del presente APD o dejará de conservar dichos Datos personales de un modo aprobado por el Exportador de datos.
- El Importador de Datos adoptará medidas técnicas, administrativas, operativas y físicas razonables y adecuadas, de conformidad con la legislación aplicable en materia de protección de datos, para proteger la confidencialidad, integridad y disponibilidad de los Datos Personales, en particular contra los riesgos de violación de datos.
- Si el importador de datos tiene conocimiento de que se ha producido una violación de datos que afecta a los datos personales que obran en su poder o están bajo su control, o en poder o bajo el control de un importador de una divulgación o transferencia ulterior de los datos personales, lo notificará al exportador de datos sin demora injustificada.
- El importador de datos notificará y consultará sin demora al exportador de datos acerca de cualquier investigación relativa a la recogida, uso, transferencia, divulgación, seguridad o eliminación de los datos personales transferidos en virtud del presente APD, a menos que la ley prohíba lo contrario.
- El Importador cumplirá a su costa todas las obligaciones que le impone la legislación aplicable en materia de protección de datos.
- Cuando el Exportador proporcione Datos Personales al Importador, el Exportador hará un esfuerzo razonable para garantizar que los Datos Personales sean exactos y completos antes de proporcionarlos al Importador. En cualquier caso, el importador tomará medidas para corregir cualquier error en los datos personales, tan pronto como sea posible, a petición escrita del exportador.
- El importador sólo es responsable, en virtud de la presente DPA, del tratamiento de los datos personales cuando sean transferidos por el exportador, según lo dispuesto por éste.
- GARANTÍAS DE PROTECCIÓN DE DATOS
- El Exportador garantiza que ha realizado esfuerzos razonables para determinar que el Importador es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le impone el presente APD.
- El importador tratará los datos personales recibidos del importador o tratados en nombre del exportador únicamente siguiendo instrucciones documentadas del exportador. El Exportador podrá dar tales instrucciones durante toda la vigencia del Acuerdo.
- El Importador informará inmediatamente al Exportador si no puede seguir dichas instrucciones.
- El importador tratará los datos personales recibidos del importador o tratados en nombre del exportador únicamente para los fines específicos de la transferencia, tal como se establece en el presente APD, salvo que reciba instrucciones adicionales del exportador.
- El Importador sólo revelará los Datos Personales recibidos del Importador o procesados en nombre del Exportador a un tercero de conformidad con los requisitos de la Legislación Aplicable sobre Protección de Datos.
- SEGURIDAD DEL TRATAMIENTO
- El importador y el exportador aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de esos datos. Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del tratamiento, así como los riesgos que entraña el tratamiento de los datos de los interesados. Las Partes considerarán la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado concreto permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos.
- El Importador concederá acceso a los Datos Personales a los miembros de su personal sólo en la medida estrictamente necesaria para la aplicación, gestión y supervisión del Acuerdo. Garantizará que las personas autorizadas a tratar los Datos Personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal de confidencialidad adecuada.
- En caso de violación de datos personales relativos a datos personales tratados por el importador en virtud del presente APD, el importador adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos, y notificará al exportador sin demora indebida tras haber tenido conocimiento de la violación.
- El importador protegerá los datos personales que estén bajo su control o posesión adoptando medidas de seguridad razonables (incluidas, cuando proceda, medidas físicas, administrativas, de procedimiento y de tecnología de la información y las comunicaciones) para impedir: (i) el acceso no autorizado o accidental, la recopilación, el uso, la divulgación, la copia, la modificación, la eliminación o la destrucción de los datos personales, u otros riesgos similares; y (ii) la pérdida de cualquier medio de almacenamiento o dispositivo en el que se almacenen los datos personales. A efectos del presente Acuerdo, las “medidas de seguridad razonables” incluyen las medidas establecidas en el Anexo II del Acuerdo.
- UTILIZACIÓN DE SUBENCARGADOS DEL TRATAMIENTO
- AUTORIZACIÓN GENERAL POR ESCRITO: El Importador de Datos cuenta con la autorización general del Exportador de Datos para la contratación de subencargado(s) del tratamiento.
- Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud del presente APD.
- El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado que borre o devuelva los datos personales.
- A petición del exportador de datos, el importador de datos facilitará una copia de dicho acuerdo de subencargado del tratamiento y de cualquier modificación posterior al responsable del tratamiento. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el encargado del tratamiento podrá redactar el texto del acuerdo antes de compartir la copia.
- DERECHOS DE LOS INTERESADOS
- El importador notificará sin demora indebida al exportador cualquier solicitud que haya recibido de un interesado. No responderá por sí mismo a dicha solicitud a menos que el exportador le haya autorizado a hacerlo.
- El importador asistirá al exportador en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos.
- En caso de controversia entre un interesado y una de las Partes en relación con el cumplimiento del presente Acuerdo, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y oportuna. Las Partes se mantendrán mutuamente informadas de tales controversias y, en su caso, cooperarán para resolverlas.
- CONSERVACIÓN DE DATOS PERSONALES
- El Importador no conservará los Datos Personales sujetos a la presente DPA (ni ningún documento o registro que contenga estos Datos Personales, electrónicos o de otro tipo) durante un periodo de tiempo superior al necesario para cumplir los fines de la presente DPA.
- El Importador deberá, a petición del Exportador:
- devolver al Exportador todos los Datos Personales; o
- suprimir todos los Datos Personales que obren en su poder, y, cuando proceda, el Importador también dará instrucciones a todos los terceros a los que haya revelado los Datos Personales a efectos del presente APD para que devuelvan al Encargado del Tratamiento o supriman dichos Datos Personales.
- Las cláusulas previstas en los apartados (a) y (b) anteriores no se aplicarán a situaciones específicas en las que el Importador esté sujeto a una obligación legal relativa a la conservación de datos personales durante un periodo de tiempo más largo.
- Resolución de litigios y legislación aplicable
- Cualquier litigio en virtud del presente APD se resolverá mediante acuerdo amistoso.
- Si no es posible llegar a un acuerdo amistoso, cualquier disputa se resolverá de acuerdo con las leyes del Estado desde las instalaciones del Importador de Datos.
- En caso de conflicto o incoherencia entre las cláusulas de la presente DPA y la Legislación de Protección de Datos Aplicable, prevalecerán las disposiciones de la Legislación de Protección de Datos Aplicable.
- Consecuencias del incumplimiento
- En caso de que alguna de las Partes incumpla las responsabilidades derivadas del presente APD, la Parte afectada lo notificará a la Parte culpable para que subsane el incumplimiento en un plazo razonable.
- Dependiendo de la gravedad de la falta de conformidad, la Parte afectada podrá suspender la transferencia o el Tratamiento de los Datos Personales en virtud del presente APD durante el periodo de tiempo necesario para subsanar la falta de conformidad.
- En el caso de que:
- la transferencia o el Tratamiento de Datos Personales a o por el Importador de Datos se ha suspendido temporalmente durante más de 6 meses de conformidad con el párrafo (b); o
- el cumplimiento por cualquiera de las Partes de la presente DPA la pondría en situación de incumplimiento de sus obligaciones en virtud de la legislación del país en el que está tratando los Datos Personales; o
- se dicte una resolución firme, contra la que no quepa recurso alguno, de un tribunal competente en la que se declare que se ha producido un incumplimiento del presente APD por cualquiera de las Partes; o
- cualquiera de las Partes cese sus operaciones voluntaria o involuntariamente, anuncie su intención de cesar sus operaciones o transfiera todos o sustancialmente todos sus activos a una entidad no afiliada, entonces la Parte perjudicada, sin perjuicio de cualesquiera otros derechos que pueda tener contra la Parte culpable, tendrá derecho a rescindir el presente APD.
- Las Partes acuerdan que la rescisión del presente APD en cualquier momento, en cualquier circunstancia y por cualquier motivo no las exime de las obligaciones del presente APD relativas a la devolución o supresión de los Datos Personales transferidos.
- El Exportador será responsable del cumplimiento de sus propias obligaciones legales e indemnizará al Importador por todos y cada uno de los daños causados al Importador como consecuencia del incumplimiento por parte del Exportador de sus propias obligaciones legales.
- Compromisos generales
- Cada Parte garantiza, declara y se compromete ante la otra Parte a que tiene plena capacidad y autoridad para suscribir y cumplir sus obligaciones en virtud del presente APD y de conformidad con el mismo.
- Cada una de las Partes se compromete a cumplir toda la legislación aplicable en materia de protección de datos en relación con el cumplimiento de sus obligaciones en virtud del presente APD.
- En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.
- Disposiciones finales
- Las Partes podrán, mediante acuerdo por escrito, adoptar o modificar el presente APD, o según lo exija la Legislación Aplicable en materia de Protección de Datos. Ello no impedirá que las Partes añadan o modifiquen cláusulas, mediante acuerdo por escrito, según convenga a sus acuerdos comerciales o empresariales.
- La responsabilidad de cada una de las partes y de todos sus Afiliados, tomada en conjunto en el agregado, que surja de o esté relacionada con este DPA, y todos los DPA entre Afiliados Autorizados y Engage, ya sea en contrato, agravio o bajo cualquier otra teoría de responsabilidad, está sujeta a la sección “Limitación de Responsabilidad” del Acuerdo, y cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y todos sus Afiliados en virtud del Acuerdo y todos los DPA juntos. Para evitar cualquier duda, la responsabilidad total de Engage y sus Afiliadas por todas las reclamaciones del Cliente y de todas sus Afiliadas Autorizadas derivadas o relacionadas con el Contrato y todos los APD se aplicará de forma conjunta a todas las reclamaciones tanto en virtud del Contrato como de todos los APD establecidos en virtud del Contrato, incluso por parte del Cliente y de todas las Afiliadas Autorizadas, y, en particular, no se entenderá que se aplica de forma individual y solidaria al Cliente y/o a cualquier Afiliada Autorizada que sea parte contractual de cualquiera de dichos APD.
- Engage podrá modificar esta DPA de vez en cuando mediante la publicación de una versión revisada en su sitio web, disponible en https://www.engagetg.com/data-processing-addendum. Si Engage realiza cualquier modificación que afecte negativa y materialmente a los derechos u obligaciones del Cliente en este DPA, Engage notificará al Cliente electrónicamente por escrito. Tras la recepción de la notificación de cambios materiales a este DPA, en la medida en que el Cliente se ve afectado negativamente y materialmente por dichos cambios, el Cliente tendrá cinco (5) días para notificar a Engage por escrito de su intención de rescindir el Acuerdo, después de lo cual, se considerará que el Cliente ha aceptado el DPA revisado. La notificación del Cliente de su intención de rescindir el Acuerdo como resultado de modificaciones materiales a este DPA en virtud de esta sección deberá incluir una descripción específica de cómo los cambios afectan material y negativamente al Cliente. Engage rescindirá el Acuerdo y todos los Servicios en cualquier momento dentro de los sesenta (60) días a partir del día de dicha notificación por escrito a Engage.
- El presente APD forma parte del Acuerdo celebrado entre las Partes.
- La terminación o suspensión del presente APD determina la imposibilidad de continuar con el Tratamiento de Datos Personales en virtud del presente APD, con graves consecuencias en la ejecución del Acuerdo.
ANEXO
Anexo I – DESCRIPCIÓN DE LA TRANSFORMACIÓN
A. LISTA DE LAS PARTES
Exportador de datos:
El Cliente, tal como se menciona en el Acuerdo
Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: El Exportador de Datos transfiere los Datos Personales y el Importador de Datos almacena los Datos Personales con el fin de ejecutar el Acuerdo de prestación de servicios celebrado entre el Exportador de Datos y el Importador.
Función (controlador/procesador): Controlador
Importador de datos:
Nombre: Engage Technologies Group, Inc
Dirección: 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Estados Unidos
Responsable de protección de datos o persona de contacto: dpo@engagetg.com
Actividades relacionadas con los datos transferidos en virtud de las presentes Cláusulas: El Importador de Datos recibe los Datos Personales del Exportador de Datos y los Trata por cuenta del Exportador de Datos, de conformidad con las instrucciones dadas por este último.
Función (controlador/procesador): Procesador
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren: La categoría de interesados afectada por las transferencias sujetas al presente Acuerdo son los destinatarios (es decir, los destinatarios del usuario y otras personas sobre las que un usuario ha facilitado información o ha interactuado de otro modo con un usuario a través del servicio).
Categorías de datos personales transferidos: Datos de identificación (ID interno de Engage); Información de contacto (nombre, apellidos); Datos de contacto (número de teléfono); Información médica (tipo de cita, fecha/hora de la cita); Información del viaje (viaje, tipo de evento, fecha del evento, id del evento, nombre del episodio, idioma, id del vídeo, nombre del vídeo, duración del vídeo, tiempo de visionado del vídeo, porcentaje de tiempo de visionado del vídeo, llamada a la acción)
Datos sensibles transferidos: S ensitive data se procesa como parte del Servicio sólo a través del método de integración API Kit. Si el exportador de datos opta por utilizar este método de integración, el tipo de cita y la fecha/hora de la cita son procesados por el importador de datos.
La frecuencia de la transferencia: Las transferencias de datos se realizan de forma continua, de acuerdo con la naturaleza del acuerdo de servicio.
Naturaleza del tratamiento: El Tratamiento se basa en la relación comercial según el Acuerdo celebrado entre el Exportador de Datos y el Importador de Datos y se refiere a la recogida, registro, organización, estructuración, almacenamiento, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, borrado o destrucción de datos personales.
Finalidad o finalidades de la transferencia de datos y del tratamiento posterior: La finalidad principal del tratamiento de los Datos Personales es la ejecución del Contrato de servicio celebrado entre el Exportador de Datos y el Importador de Datos, cuyo objeto es dar acceso al viaje y proporcionar estadísticas relativas a los Destinatarios del Exportador de Datos.
Las finalidades específicas del tratamiento de los Datos Personales son:
· Envío de mensajes de texto a los destinatarios con enlaces para el/los viaje(s)
· Seguimiento del comportamiento de los destinatarios durante el viaje(s)
· Proporcionar informes estadísticos sobre el uso de la plataforma por parte de los destinatarios
El periodo durante el cual se conservarán los datos personales: Los Datos Personales Tratados en virtud del presente Contrato serán tratados por el Importador de Datos únicamente durante la ejecución del Contrato con el Cliente.
Transferencias a subprocesadores: El Importador podrá transferir los Datos Personales sujetos a esta DPA o ponerlos a disposición de sus proveedores sólo para o de acuerdo con los fines de la transferencia, limitando el acceso a lo estrictamente necesario para la prestación de los Servicios y sólo durante el período de tiempo en que se presten los Servicios.
C. AUTORIDAD DE CONTROL COMPETENTE
La autoridad de control competente se determinará de conformidad con la legislación aplicable en materia de protección de datos en el lugar en que se encuentren los interesados.
Anexo II – MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas:
- Medidas de seudonimización y cifrado de datos personales
- Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento
- Medidas para garantizar la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.
- Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento.
- Medidas de identificación y autorización de los usuarios
- Medidas de protección de datos durante la transmisión
- Medidas de protección de datos durante el almacenamiento
- Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales
- Medidas para garantizar el registro de eventos
- Medidas para garantizar la configuración del sistema, incluida la configuración por defecto
- Medidas para la gobernanza y la gestión internas de la TI y la seguridad informática
- Medidas de certificación/garantía de procesos y productos
- Medidas para garantizar la minimización de los datos
- Medidas para garantizar la calidad de los datos
- Medidas para garantizar una conservación limitada de los datos
- Medidas para garantizar la rendición de cuentas
- Medidas para permitir la portabilidad de los datos y garantizar su supresión
ANEXO III – LISTA DE SUBTRANSFORMADORES
El responsable del tratamiento ha autorizado el uso de los siguientes subencargados del tratamiento:
-
Nombre: Microsoft Azure
Dirección web: https://azure.microsoft.com
Descripción del tratamiento: Alojamiento e infraestructura, plataformas de computación en nube y API. -
Nombre: Auth0
Dirección web: https://auth0.com
RPD: privacy@okta.com
Descripción del tratamiento: Autenticación y autorización a la plataforma.
-
Nombre: Twilio
Dirección web: https://www.twilio.com
RPD: privacy@twilio.com
Descripción del tratamiento: Suministro de mensajes de texto con una contraseña de un solo uso.
-
Nombre: Kaleyra
Dirección web: https://www.kaleyra.com
RPD: privacy@kaleyra.com
Descripción del tratamiento: Agregación de mensajes de texto.
-
Nombre: Vibes
Dirección web: www.vibes.com
DPO: –
Descripción del tratamiento: Agregación de mensajes de texto.