Adenda de Tratamiento de Datos (Clientes)

Este Adenda de Tratamiento de Datos ("Adenda") es ejecutado por y entre HostPapa Inc., y usted ("Cliente") y se adjunta y complementa nuestros Términos de Servicio, Política de Privacidad y todos y cada uno de los acuerdos que rigen nuestros Servicios Cubiertos (colectivamente, los "Términos de Servicio").

En caso de diferencias entre esta traducción y el Adenda en inglés, prevalecerá el Adenda en inglés.

1. Definiciones

"Servicios Cubiertos": cualquier servicio alojado que le ofrecemos y que podría implicar nuestro Tratamiento de Datos Personales.

"Datos del Cliente" significa los datos personales de cualquier Titular de los datos procesados por HostPapa dentro de la Red de HostPapa en nombre del Cliente en conformidad con o en conexión con los Términos de Servicio.

"Controlador de Datos" significa el Cliente, como entidad que determina los fines y medios del Tratamiento de Datos Personales.

"Procesador de Datos" significa HostPapa, como la entidad que le da Tratamiento a los Datos Personales en nombre del Controlador de Datos.

"Leyes de Protección de Datos" significa toda ley y regulación, incluidas las leyes y regulaciones de la Unión Europea, aplicables al Tratamiento de Datos Personales bajo el Adenda.

"Titular de los Datos" significa la persona física a la que se refieren los Datos Personales.

"EEE" significa el Espacio Económico Europeo.

"Red de HostPapa" significa las instalaciones del centro de datos, servidores, equipos de red y sistemas de software de alojamiento de HostPapa que están bajo el control de HostPapa y se utilizan para brindar los Servicios Cubiertos.

"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable.

"Tratamiento" significa cualquier operación o conjunto de operaciones que se realicen sobre los Datos Personales, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, restricción, borrado o destrucción. "Tratamiento", "tratamientos" y "tratado" se interpretarán en conformidad. Los Detalles del Tratamiento se establecen en el Anexo 1.

"Incidente de Seguridad" es, ya sea, (a) una violación de la seguridad de HostPapa que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a cualquier Dato del Cliente; o (b) cualquier acceso no autorizado a equipos o instalaciones de HostPapa, donde en cualquier caso dicho acceso resulte en la destrucción, pérdida, divulgación no autorizada o alteración de los Datos del Cliente.

"Normas de Seguridad" significa las normas de seguridad adjuntas a este Adenda como Anexo 2.

"Cláusulas Contractuales Tipo" se refieren al Anexo 3, adjunto y que forma parte de este Adenda conforme a la Decisión de la Comisión Europea del 5 de febrero del 2010 sobre cláusulas contractuales estándar para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países de conformidad con la Directiva.

"Subprocesador" se refiere a cualquier Procesador de Datos contratado por el Procesador  para el Tratamiento de datos en nombre del Controlador de Datos.

2. Tratamiento de datos


2.1 Alcance y funciones

Este Adenda se aplica cuando HostPapa procesa los Datos del Cliente. En este contexto, HostPapa actuará como Procesador de Datos en nombre del Cliente como Controlador de Datos con respecto a los Datos del Cliente.

2.2 Detalles del Tratamiento de Datos

El objeto del tratamiento de los Datos del Cliente por parte de HostPapa es la prestación de los Servicios Cubiertos de conformidad con los Términos de Servicio y los acuerdos específicos del producto. HostPapa deberá únicamente Procesar Datos del Cliente en nombre del Cliente y de acuerdo con las instrucciones documentadas del Cliente para los siguientes fines:

  • Tratamiento en conformidad con los Términos de Servicio o el acuerdo específico del producto aplicable;
  • Tratamiento iniciado por los usuarios finales en su uso de los Servicios Cubiertos;
  • Tratamiento para el cumplimiento con otras instrucciones razonables y documentadas proporcionadas por los Clientes (por ejemplo, por medio del correo electrónico) cuando dichas instrucciones sean congruentes con los términos del Adenda.

No obstante, HostPapa no estará obligado a cumplir o acatar las instrucciones del Cliente si dichas instrucciones violan el Reglamento General de Protección de Datos de la UE 2016/679 ("GDPR") o cualquier otra ley de privacidad de datos aplicable.

La duración del Tratamiento, la naturaleza y el propósito del Tratamiento, los tipos de datos personales y las categorías de los Titulares de Datos Tratados bajo esta Adenda se especifican a detalle en el Anexo 1 ("Detalles del tratamiento") de esta Adenda.

3. Confidencialidad de los Datos del Cliente

HostPapa no divulgará los Datos del Cliente a ningún gobierno ni a ningún otro tercero, excepto cuando sea necesario para cumplir con la ley o con una orden válida y vinculante de una agencia de aplicación de la ley (como un citatorio o una orden judicial). Si una agencia de aplicación de la ley envía a HostPapa una solicitud de los Datos del Cliente, HostPapa intentará redirigir a la agencia de aplicación de la ley para que solicite estos datos directamente al Cliente. Como parte de este esfuerzo, HostPapa puede proporcionar la información de contacto básica del Cliente a la agencia de aplicación de la ley. Si se le obliga a revelar los Datos del Cliente a una agencia de aplicación de la ley, entonces HostPapa le dará un aviso dentro de lo razonable al Cliente de la demanda para permitir que el Cliente busque una orden de protección u otro recurso apropiado a menos que a HostPapa se le prohíba legalmente hacerlo.

4. Seguridad

HostPapa ha implementado y mantendrá las medidas técnicas y organizativas para la Red de HostPapa como se describe en esta Sección y como se describe con más detalle en el Anexo 2 de este Adenda, Normas de Seguridad. En particular, HostPapa ha implementado y mantendrá las siguientes medidas técnicas y organizativas que abordan:

  1. La seguridad de la Red de HostPapa;
  2. La seguridad física de las instalaciones;
  3. Los controles sobre el acceso de empleados y contratistas a la Red de HostPapa y a las instalaciones de HostPapa; y,
  4. Los procesos para probar, evaluar y valorar la eficacia de las medidas técnicas y organizativas implementadas por HostPapa.

HostPapa pone a disposición una serie de funciones y características de seguridad que el Cliente puede optar utilizar en relación con los Servicios Cubiertos. El Cliente es responsable de:

  1. Configurar adecuadamente los Servicios Cubiertos.
  2. Utilizar los controles disponibles en relación con los Servicios Cubiertos (incluyendo los controles de seguridad) para asegurar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento.
  3. Utilizar los controles disponibles en relación con los Servicios Cubiertos (incluyendo los controles de seguridad) para permitir al Cliente restaurar la disponibilidad y el acceso a los Datos del Cliente de manera oportuna en caso de un incidente físico o técnico (por ejemplo, respaldos y archivado de rutina de los datos del Cliente).
  4. Tomar las medidas que el Cliente considere adecuadas para mantener la seguridad, protección y eliminación adecuadas de los Datos del Cliente, que incluye el uso de tecnología de cifrado para proteger los Datos del Cliente de accesos no autorizados y medidas para controlar los derechos de acceso a los Datos del Cliente.

5. Derechos del Titular de los Datos

Teniendo en cuenta la naturaleza de los Servicios Cubiertos, HostPapa ofrece al Cliente ciertos servicios que el Cliente puede optar por utilizar para recuperar, corregir, eliminar o restringir el uso y el intercambio de los Datos del Cliente según se describe en los Servicios Cubiertos. El Cliente puede solicitar estos servicios como medidas técnicas y organizativas para ayudarle en relación con sus obligaciones según las leyes de privacidad aplicables, incluyendo sus obligaciones relacionadas con la respuesta a las solicitudes por parte de los Titulares de Datos.

En la medida en que sea comercialmente razonable y legalmente requerido o permitido, HostPapa deberá notificar de inmediato al Cliente si HostPapa recibe directamente una solicitud de un Titular de los Datos para ejercer dichos derechos en virtud de las leyes de privacidad de datos aplicables ("Solicitud del Titular de los Datos"). Además, cuando el uso por parte del Cliente de los Servicios Cubiertos limite su capacidad para abordar una Solicitud del Titular de los Datos, HostPapa podrá, cuando esté legalmente permitido y sea apropiado y por solicitud específica del Cliente, proporcionar asistencia comercialmente razonable para abordar la solicitud, a cargo del Cliente (si corresponde).

6. Subprocesamiento


6.1 Subprocesadores autorizados

El Cliente está de acuerdo que HostPapa puede usar Subprocesadores para cumplir con sus obligaciones contractuales en virtud de sus Términos de Servicio y este Adenda o para proporcionar ciertos servicios en su nombre, como proporcionar servicios de soporte. El Cliente por la presente consiente el uso de Subprocesadores por parte de HostPapa como se describe en esta Sección. Excepto como se establece en esta Sección o como usted lo autorice explícitamente, HostPapa no permitirá ninguna otra actividad de subprocesamiento.

6.2 Obligaciones del Subprocesador

Cuando HostPapa utilice cualquier Subprocesador autorizado como se describe en "Subprocesadores autorizados", arriba:

  1. HostPapa restringirá el acceso de los Subprocesadores a los Datos del Cliente únicamente para lo que sea necesario para mantener los Servicios Cubiertos o para proporcionar los Servicios Cubiertos al Cliente o a cualquier usuario final de acuerdo con los Servicios Cubiertos. HostPapa prohibirá al Subprocesador acceder a los Datos del Cliente para cualquier otro propósito.
  2. HostPapa celebrará un acuerdo por escrito con el Subprocesador y, en la medida en que el Subprocesador esté realizando los mismos servicios de tratamiento de datos que proporciona HostPapa bajo este Adenda, HostPapa impondrá al Subprocesador las mismas obligaciones contractuales que HostPapa tiene bajo esta Adenda.
  3. HostPapa permanecerá como el responsable de su cumplimiento de las obligaciones de esta Adenda y de cualquier acto u omisión del Subprocesador que ocasione que HostPapa incumpla cualquiera de las obligaciones de HostPapa en virtud de esta Adenda.

6.3 Subprocesadores nuevos

De vez en cuando, HostPapa puede contratar nuevos Subprocesadores de acuerdo con los términos de esta Adenda. Siempre y cuando sea posible, HostPapa proporcionará un aviso por correo electrónico con 60 días de anticipación antes de que cualquier nuevo Subprocesador obtenga cualquier Dato del Cliente. Si usted no aprueba un nuevo Subprocesador, puede rescindir cualquier Servicio Cubierto sin penalización proporcionando, dentro de los 10 días posteriores a la recepción de la notificación por nuestra parte, una notificación por escrito de la rescisión que incluya una explicación de las razones de su no aprobación. Si los Servicios Cubiertos son parte de un paquete o de una compra combinada, entonces la rescisión se aplicará a su totalidad.

7. Aviso de Violación de Seguridad


7.1 Incidente de Seguridad

Si HostPapa tiene conocimiento de un Incidente de Seguridad, HostPapa, sin demora indebida:

  • Notificará al Cliente sobre el Incidente de Seguridad; y,
  • Tomará medidas razonables para mitigar los efectos y para minimizar cualquier daño resultante del Incidente de Seguridad.

7.2 Asistencia de HostPapa

Para ayudar al Cliente en relación con cualquier notificación de violación de datos personales que el Cliente deba realizar según cualquier ley de privacidad aplicable, HostPapa incluirá en la notificación bajo la sección Derechos del Cliente/Determinación Independiente (a continuación), la información acerca del Incidente de Seguridad que HostPapa pueda razonablemente divulgar al Cliente, tomando en cuenta la naturaleza de los Servicios Cubiertos, la información disponible para HostPapa y cualquier restricción sobre la divulgación de la información, como la confidencialidad.

7.3 Incidentes de Seguridad fallidos

El cliente acepta que:

  • Un Incidente de Seguridad fallido no será sujeto a los términos de este Adenda. Un Incidente de Seguridad fallido es aquél que no da como resultado un acceso no autorizado a los Datos del Cliente ni a ninguna de las Redes, equipos o instalaciones de HostPapa que almacenan Datos del Cliente, y puede incluir, sin limitación, pings y otros ataques de difusión en firewalls o servidores perimetrales, escaneos de puertos, intentos de inicio de sesión fallidos, ataques de denegación de servicio, rastreo de paquetes (o cualquier otro acceso no autorizado a los datos de tráfico que no dé como resultado un acceso más allá de los encabezados) o incidentes similares; y,
  • La obligación de HostPapa de informar o responder a un Incidente de Seguridad según esta Sección no es ni será interpretada como un reconocimiento por parte de HostPapa de cualquier falla o responsabilidad de HostPapa con respecto al Incidente de Seguridad.

7.4 Comunicación

Las notificaciones sobre Incidentes de Seguridad, si hubiere, se enviarán a uno o más administradores de Clientes por cualquier medio que HostPapa seleccione, incluyendo por medio de correo electrónico. Es responsabilidad exclusiva del Cliente garantizar que los administradores de Clientes mantengan la información de contacto adecuada en la consola de administración de HostPapa y la transmisión segura en todo momento.

8. Derechos del Cliente


8.1 Determinación independiente

El Cliente es responsable de la revisión de la información puesta a disposición por parte de HostPapa en relación con la seguridad de los datos y sus Normas de Seguridad, y de tomar una determinación independiente sobre si los Servicios Cubiertos cumplen con los requisitos y las obligaciones legales del Cliente, así como las obligaciones del Cliente en virtud de este Adenda. La información puesta a disposición tiene como objetivo ayudar al Cliente en el cumplimiento de sus obligaciones en virtud de las leyes de privacidad aplicables, incluida el RGPD, con respecto a las valoraciones de impacto de la protección de los datos y la consulta previa.

8.2 Derechos de auditoría del Cliente

El Cliente tiene el derecho a confirmar la conformidad por parte de HostPapa con este Adenda en lo que respecta a los Servicios Cubiertos, incluido específicamente el cumplimiento por parte de HostPapa de sus Normas de Seguridad, ejerciendo un derecho razonable a realizar una auditoría o inspección, incluso en virtud de las Cláusulas Contractuales Tipo si se aplican, mediante una solicitud específica a HostPapa por escrito a la dirección establecida en sus Términos de Servicio. Si HostPapa se niega a seguir cualquier instrucción solicitada por el Cliente en referencia a una auditoría o inspección debidamente solicitada y con el alcance adecuado, el Cliente tiene derecho a rescindir este Adenda y los Términos de Servicio. Si se aplican las Cláusulas Contractuales Tipo, nada de lo dispuesto en esta Sección varía o modifica las Cláusulas Contractuales Tipo ni afecta los derechos de ninguna autoridad supervisora o titular de los datos en virtud de las Cláusulas Contractuales Tipo. Esta Sección también se aplicará en la medida en que HostPapa lleve a cabo el control de los Subprocesadores en nombre del Cliente.

9. Transferencias de Datos Personales


9.1 Tratamiento con base en Canadá

Salvo que se indique específicamente en los Términos de Servicio, los Datos del Cliente se transferirán fuera del EEE y se procesarán en Canadá, donde éstos datos están regulados por la Ley de Protección de la Información Personal y de los Documentos Electrónicos (PIPEDA). La UE ha reconocido que Canadá ofrece una protección adecuada de datos (según el artículo 45 del Reglamento (UE) 2016/679), que permite que la información personal de los residentes de la UE se transfiera a Canadá libremente.

Como HostPapa trabaja con varios asociados con sede en Estados Unidos, también transferimos (en conformidad con el Artículo 45 del RGPD) información personal a empresas que han certificado su conformidad con los Marcos de Protección de la Privacidad de UE-EE.UU. y Suiza-EE.UU.

9.2 Aplicación de Cláusulas Contractuales Tipo

Las Cláusulas Contractuales Tipo se aplicarán a los Datos del Cliente que sean transferidos fuera del EEE, ya sea directamente o mediante transferencia posterior, a cualquier país no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de los datos personales (como se describe en el RGPD). Las Cláusulas Contractuales Tipo no se aplicarán a los Datos del Cliente que no sean transferidos, ya sea directamente o mediante transferencia posterior, fuera del EEE. No obstante lo anterior, las Cláusulas Contractuales Tipo no se aplicarán cuando los datos sean transferidos de conformidad con una norma de cumplimiento reconocida para la transferencia legal de datos personales (como se define en el RGPD) fuera del EEE, como las regulaciones de la Ley de Protección de Datos Personales y de la Ley de Responsabilidad y Descargo de Responsabilidad de Canadá y también los Marcos de Protección de la Privacidad de UE-EE.UU. y Suiza-EE.UU.

10. Terminación del Adenda

Este Adenda continuará en vigor hasta la terminación de nuestro procesamiento en conformidad con los Términos de Servicio (la "Fecha de Terminación").

11. Devolución o eliminación de los Datos del Cliente

Como se describe en los Servicios Cubiertos, HostPapa puede proporcionar un servicio al Cliente que puede utilizarse para recuperar o eliminar Datos del Cliente. Cualquier eliminación de Datos del Cliente se regirá bajo los términos de los Servicios Cubiertos en particular.

12. Limitaciones de responsabilidad

La responsabilidad de cada una de las partes en virtud de esta Adenda estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en los Términos de Servicio. El Cliente acepta que cualquier sanción regulatoria en la que incurra HostPapa en relación con los datos del Cliente que surja como resultado o en conexión con el incumplimiento por parte del Cliente de sus obligaciones en virtud de este Adenda y cualquier ley de privacidad aplicable se computará y reducirá la responsabilidad de HostPapa en virtud de los Términos de Servicio como si fuera responsabilidad del Cliente en virtud de los Términos de Servicio.

13. Términos de Servicio completos; conflicto

Este Adenda sustituye y reemplaza todas las declaraciones, entendimientos, acuerdos o comunicaciones anteriores o contemporáneas entre el Cliente y HostPapa, ya sean escritos o verbales, en relación al tema de este Adenda, incluyendo cualquier adenda de tratamiento de datos celebrado entre HostPapa y el Cliente con respecto al tratamiento de los datos personales y sobre la libre circulación de dichos datos. Salvo que se modifique en virtud de esta Adenda, los Términos de Servicio permanecerán en pleno vigor y efecto. Si existe un conflicto entre cualquier otro acuerdo entre las partes, incluyendo los Términos de Servicio y este Adenda, prevalecerán los términos de éste Adenda.

Anexo 1 - Detalles del Tratamiento

  1. Naturaleza y propósito del tratamiento. HostPapa tratará los Datos Personales según sea necesario para realizar los Servicios Cubiertos en acuerdo con los Términos de Servicio, los acuerdos específicos del producto, y como se instruya más adelante por el Cliente a lo largo de su uso de los Servicios Cubiertos.

  2. Duración del Tratamiento. Sujeto a la Sección 10 de esta Adenda, HostPapa tratará los Datos Personales durante la fecha de vigencia de los Términos de Servicio, pero cumplirá con los términos de esta Adenda durante el Tratamiento si se excede ese plazo, y a menos que se acuerde lo contrario por escrito.

  3. Categorías de Titulares de Datos. El Cliente puede cargar Datos Personales en el curso de su uso de los Servicios Cubiertos, en la medida en que lo determine y controle el Cliente a su exclusivo criterio, y que puede incluir, entre otros, Datos Personales  relacionados con las siguientes categorías de Titulares de Datos:

    • Prospectos, clientes, socios comerciales y proveedores del Cliente (que son personas físicas).
    • Empleados o personas de contacto de los prospectos, clientes, socios comerciales y proveedores del Cliente.
    • Empleados, agentes, asesores y trabajadores autónomos del Cliente (que sean personas físicas).
    • Usuarios del Cliente autorizados por el Cliente para utilizar los Servicios Cubiertos.

  4. Tipos de Datos Personales. El Cliente puede cargar Datos Personales en el curso de su uso de los Servicios Cubiertos, cuyo tipo y alcance son determinados y controlados por el Cliente a su exclusivo criterio, y que pueden incluir, entre otras, las siguientes categorías de Datos Personales de los Titulares de Datos:

    • Nombre
    • Dirección
    • Número telefónico
    • Fecha de nacimiento
    • Dirección de correo electrónico
    • Otros datos recolectados que podrían identificar directa o indirectamente a un Titular de Datos.

Anexo 2 - Normas de Seguridad


I.  Medidas técnicas y organizativas

Nos comprometemos a proteger la información de nuestros clientes. Teniendo en cuenta las mejores prácticas, los costes de implementación y la naturaleza, el alcance, las circunstancias y los propósitos del tratamiento, así como la diferente probabilidad de ocurrencia y gravedad del riesgo para los derechos y libertades de las personas físicas, adoptamos las siguientes medidas técnicas y organizativas. Al seleccionar las medidas se consideran la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas. Se garantiza una rápida recuperación después de un incidente físico o técnico.

II.  Programa de privacidad de los datos

Probamos, valoramos y evaluamos periódicamente la eficacia de la Red de HostPapa y la seguridad de nuestras instalaciones.

1. Confidencialidad.

Utilizamos una variedad de medidas físicas y lógicas para proteger la confidencialidad de los datos personales de nuestros clientes. Esas medidas incluyen:

Seguridad física

  • Sistemas de control de acceso físico implementados (control de acceso con tarjetas, monitoreo de eventos de seguridad, etc.).
  • Sistemas de vigilancia que incluyen alarmas y, en su caso, monitoreo por CCTV.
  • Se han establecido políticas y controles para mantener el escritorio limpio (bloqueo de computadoras desatendidas, gabinetes cerrados con llave, etc.).
  • Manejo del acceso de visitantes
  • Destrucción de datos en medios físicos y documentos.

Control de acceso y prevención del acceso no autorizado

  • Se aplican restricciones de acceso de usuario y se proporcionan/revisan permisos de acceso según el puesto de acuerdo con el principio de segregación de funciones.
  • Métodos robustos de autenticación y autorización (autenticación multifactor, desactivación/cierre de sesión automática, etc.).
  • Administración centralizada de contraseñas y políticas de contraseñas seguras y complejas (longitud mínima, complejidad de caracteres, caducidad de contraseñas, etc.).

Pruebas de seguridad

  • Análisis periódicos de redes y vulnerabilidades.

2. Integridad

Se han implementado controles adecuados de gestión de cambios y registros, además de controles de acceso para poder mantener la integridad de los datos personales como:

Gestión de cambios y lanzamientos

  • Proceso de gestión de cambios y lanzamientos que incluye (análisis de impacto, aprobaciones, pruebas, revisiones de seguridad, staging, monitoreo, etc.).
  • Aprovisionamiento de acceso basado en roles y funciones (Segregación de Funciones) en entornos de producción.

Registro y monitoreo

  • Registro de acceso y cambios en los datos.
  • Auditorías y registros de seguridad centralizados.

3. Disponibilidad

"La disponibilidad de los servicios y de los sistemas informáticos, de las aplicaciones informáticas y de las funciones de red informática o de la información está garantizada si los usuarios pueden usarlos en todo momento según lo previsto".

Implementamos medidas de continuidad y de seguridad apropiadas para mantener la disponibilidad de sus servicios y de los datos residentes dentro de esos servicios:

  • Monitoreo y generación de informes exhaustivos sobre el rendimiento y la disponibilidad de sistemas críticos.
  • Programa de respuesta a incidentes.
  • Datos críticos replicados o respaldados (respaldos en nube/discos duros/replicación de base de datos, etc.).
  • Implementación de mantenimiento planificado de software, infraestructura y seguridad (actualizaciones de software, parches de seguridad, etc.).
  • Sistemas redundantes y resilientes.
  • Uso de fuentes de alimentación ininterrumpida, hardware redundante en caso de fallo y sistemas de red.
  • Implementación de alarmas y sistemas de seguridad.
  • Medidas de protección física implementadas para sitios críticos (protección contra sobretensiones, pisos elevados, sistemas de enfriamiento, detectores de incendios y/o humo, sistemas de extinción de incendios, etc.).
  • Protección DDOS para mantener la disponibilidad.
  • Pruebas de carga y estrés.
  • Firewalls de aplicaciones web.

4. Instrucciones de Tratamiento de Datos

Hemos establecido políticas y acuerdos de privacidad internos para asegurar que los datos personales sean tratados en conformidad con las preferencias e instrucciones del cliente.

  • Términos de privacidad y confidencialidad implementados dentro de los contratos de empleados y subcontratistas.
  • Auditorías periódicas de seguridad.
  • Pruebas de conformidad de PCI.

Anexo 3 - Cláusulas Contractuales Tipo (Procesadores)

Nota: Consulte la Sección 9.2 de la Adenda para la aplicabilidad de estas Cláusulas Contractuales Tipo.

A los efectos del artículo 26(2) de la Directiva 95/46/EC para la transferencia de datos personales a los procesadores establecidos en terceros países que no garanticen un nivel adecuado de protección de datos

La entidad identificada como "Cliente" en la Adenda

(el "exportador de datos")

y

HostPapa Inc.,

(el "importador de datos")

cada uno una "parte"; en conjunto "las partes", 

   HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de proporcionar garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de individuos para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.

Cláusula 1 - Definiciones

A los efectos de las Cláusulas:

  1. 'datos personales', 'categorías especiales de datos', 'proceso/procesamiento', 'controlador', 'procesador', 'titular de los datos' y 'autoridad de supervisión' tendrán el mismo significado que en la Directiva 95/46/EC del Parlamento Europeo y del Consejo del 24 de octubre de 1995, sobre la protección de individuos con respecto al tratamiento de datos personales y sobre la libre circulación de dichos datos;
  2. 'el exportador de datos' se refiere al controlador que transfiere los datos personales;
  3. 'el importador de datos' se refiere al procesador que acepta recibir del exportador de datos datos personales con el fin de procesarlos en su nombre después de la transferencia en acuerdo con sus instrucciones y los términos de las Cláusulas y que no está sujeto a un sistema de un tercer país que garantice la protección adecuada en el sentido del Artículo 25(1) de la Directiva 95/46/EC;
  4. 'el subprocesador' se refiere a cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de cualquier otro subprocesador del importador de datos datos personales destinados exclusivamente a actividades de tratamiento para llevarse a cabo en nombre del exportador de datos después de la transferencia en acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
  5. 'la ley de protección de datos aplicable' se refiere a la legislación que protege los derechos y las libertades fundamentales de individuos y, en particular, su derecho a la privacidad con respecto al tratamiento de datos personales, aplicable a un controlador de datos en el Estado Miembro en que el exportador de datos esté establecido;
  6. 'medidas de seguridad técnicas y organizativas' se refiere a aquellas medidas dirigidas a la protección de datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento involucra la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento.

Cláusula 2 - Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando corresponda, se especifican en el Apéndice 1 el cual forma parte integral de las Cláusulas.

Cláusula 3 - Cláusula de tercero beneficiario

  1. El titular de los datos puede hacer cumplir frente al exportador de datos la presente Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y (g) a (j), la Cláusula 6, la Cláusula 7(2) y las Cláusulas 8 a 11 en calidad de tercero beneficiario.

  2. El titular de los datos puede hacer cumplir frente al importador de datos la presente Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7(2) y las Cláusulas 8 a 11 en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir ante la ley, a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante un contrato o mediante ministerio de la ley, como resultado de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el titular de los datos puede hacer cumplir frente a dicha entidad.

  3. El titular de los datos puede hacer cumplir frente al subprocesador la presente Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7(2) y las Cláusulas 8 a 11, en los casos en donde tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir ante la ley o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por ministerio de la ley como resultado de lo cual toma posesión de los derechos y obligaciones del exportador de datos, en cuyo caso el titular de los datos podrá hacer cumplir dichos derechos ante tal entidad. Tal responsabilidad de terceros del subprocesador deberá limitarse a sus propias operaciones de tratamiento conforme a las Cláusulas.

  4. Las partes no se oponen a que un titular de los datos esté representado por una asociación u otro organismo si el titular de los datos así lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4 - Obligaciones del exportador de datos

El exportador de datos acepta y garantiza:

  1. que el tratamiento, incluyendo la transferencia misma, de los datos personales ha sido y seguirá siendo llevada a cabo en conformidad con las disposiciones pertinentes de la legislación de protección de datos aplicable (y, en su caso, se ha notificado a las autoridades pertinentes del Estado Miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;
  2. que ha instruido y a lo largo de la duración de los servicios de tratamiento de datos personales instruirá al importador de datos para que procese los datos personales transferidos solo en nombre del exportador de datos y en acuerdo con la legislación de protección de datos personales aplicable y las Cláusulas;
  3. que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;
  4. que después de la valoración de los requisitos de la legislación de protección de datos aplicable, las medidas de seguridad son apropiadas para la protección de datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos por medio de una red, y contra todas las demás formas ilícitas de tratamiento, y que estas medidas garantizan un nivel de seguridad adecuado a los riesgos presentados por el tratamiento y la naturaleza de los datos que se deben proteger, teniendo en cuenta el estado de la técnica y el costo de su implementación;
  5. que garantizará la conformidad con las medidas de seguridad;
  6. que, si la transferencia implica categorías especiales de datos, el titular de los datos ha sido informado o será informado antes o lo antes posible después de la transferencia de que sus datos podrían transmitirse a un tercer país que no ofrezca una protección adecuada dentro del significado de la Directiva 95/46/EC;
  7. remitir cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 7(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;
  8. poner a disposición de los titulares de datos, previa solicitud, una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba realizarse en conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contenga información comercial en cuyo caso se puede eliminar dicha información comercial;
  9. que, en caso de subprocesamiento, la actividad de procesamiento se lleve a cabo de conformidad con la Cláusula 10 por un subprocesador que proporcione al menos el mismo nivel de protección de los datos personales y los derechos del titular de los datos que el importador de datos de conformidad con las Cláusulas; y
  10. que garantizará la conformidad con la Cláusula 4(a) a (i).

Cláusula 5 - Obligaciones del importador de datos

Nota: Los requisitos obligatorios de la legislación nacional aplicable al importador de datos que no excedan de lo necesario en una sociedad democrática sobre la base de uno de los intereses enlistados en el Artículo 13(1) de la Directiva 95/46/EC, es decir, si constituyen una medida necesaria para salvaguardar la seguridad nacional, la defensa, la seguridad pública, la prevención, la investigación, la detección y enjuiciamiento de infracciones penales o de la ética en las profesiones reguladas, un interés económico o financiero importante del Estado o la protección del titular de los datos o de los derechos y libertades de terceros, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de dichos requisitos obligatorios que no excedan de lo necesario en una sociedad democrática son, entre otros, las sanciones reconocidas internacionalmente, los requisitos de declaración fiscal o los requisitos de información sobre prevención del blanqueo de dinero.

El importador de datos acepta y garantiza:

  1. procesar los datos personales únicamente en nombre del exportador de datos y en conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar tal cumplimiento por cualquier motivo, se compromete a informar de manera inmediata al exportador de datos de su incapacidad de cumplimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
  2. que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que en caso de que se produzca un cambio en esta legislación que pueda  tener un efecto adverso sustancial sobre las garantías y obligaciones previstas en las Cláusulas, notificará inmediatamente sobre el cambio al exportador de datos tan pronto como tenga conocimiento de él, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
  3. que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes del tratamiento de datos personales transferidos;
  4. que notificará inmediatamente al exportador de datos sobre:
    1. cualquier solicitud legalmente vinculante para la divulgación de los datos personales por una autoridad de aplicación de la ley a menos que esté prohibido de otra manera, como una prohibición bajo la ley penal para preservar la confidencialidad de una investigación de aplicación de la ley,
    2. cualquier acceso accidental o no autorizado, y
    3. cualquier solicitud recibida directamente de los titulares de datos que no respondan a esa solicitud, a menos que haya sido de otra manera autorizado para hacerse;
  5. lidiar de manera inmediata y adecuada con todas las consultas del exportador de datos en relación con el tratamiento de los datos personales sujetos a la transferencia y acatar el asesoramiento de la autoridad supervisora con respecto al tratamiento de los datos transferidos;
  6. poner a disposición del titular de los datos, previa solicitud, una copia de las Cláusulas o de cualquier contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contenga información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Apéndice 2 que deberá ser reemplazado por una descripción resumida de las medidas de seguridad en aquellos casos en que el titular de los datos sea incapaz de obtener una copia por parte del exportador de datos;
  7. que, en el caso de subprocesamiento, ha informado previamente al exportador de datos y ha obtenido su previo consentimiento escrito;
  8. que los servicios de tratamiento por parte del subprocesador se llevarán a cabo en conformidad con la Cláusula 10;
  9. enviar de manera inmediata una copia de cualquier acuerdo del subprocesador que celebre en virtud de las Cláusulas al exportador de los datos.

Cláusula 6 - Mediación y jurisdicción

  1. El importador de datos acepta que si el titular de los datos invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del titular de los datos:
    1. someter el litigio a mediación, por una persona independiente o, según aplique, por la autoridad supervisora;
    2. someter a litigio a la jurisdicción exclusiva en la cual el importador de datos esté establecido. Para mayor claridad, todo litigio deberá ser iniciado en los tribunales de la provincia de Ontario en el país de Canadá.
  2. Las partes aceptan que la elección realizada por el titular de los datos no perjudicará sus derechos sustantivos o procesales para buscar soluciones en acuerdo con otras disposiciones de la ley nacional o internacional.

Cláusula 7 - Cooperación con las autoridades supervisoras

  1. El exportador de datos se compromete a depositar una copia de este contrato ante la autoridad supervisora si así lo solicita o si tal depósito es requerido según la ley de protección de datos aplicable.

  2. Las partes aceptan que la autoridad supervisora tiene el derecho de realizar una auditoría del importador de datos y de cualquier subprocesador, la cual tendrá el mismo alcance y estará sujeta a las mismas condiciones que se aplicarían a un auditoría del exportador de datos según la ley de protección de datos aplicable.

  3. El importador de datos deberá informar inmediatamente al exportador de datos sobre la existencia de la legislación aplicable a él o a cualquier subprocesador que impida la realización de una auditoría del importador de datos, o de cualquier subprocesador, en acuerdo con el apartado 2. En tal caso el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 8 - Ley aplicable

Las Cláusulas se regirán por la legislación del lugar donde el importador de datos esté establecido. Para mayor claridad, se aplicarán las leyes de Canadá y la Provincia de Ontario.

Cláusula 9 - Modificación del contrato

Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no descarta que las partes añadan cláusulas sobre asuntos comerciales según se requiera, siempre y cuando no contradigan a la Cláusula.

Cláusula 10 - Subprocesamiento

  1. El importador de datos no deberá subcontratar ninguna de sus operaciones de tratamiento que realice en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, deberá hacerlo únicamente por medio de un acuerdo escrito con el subprocesador que imponga al subprocesador las mismas obligaciones que las impuestas  al importador de datos según las Cláusulas. Cuando el subprocesador no cumpla con sus obligaciones en materia de protección de datos bajo dicho acuerdo por escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.

  2. El contrato previo por escrito entre el importador de datos y el subprocesador también deberá prever una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3 para los casos en que el titular de los datos no pueda reclamar la indemnización por daños y perjuicios contra el exportador o el importador de datos porque estos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subprocesador deberá limitarse a sus propias operaciones de tratamiento en virtud de las Cláusulas.

  3. Las disposiciones relativas a los aspectos de protección de datos en el caso de subprocesamiento del contrato al que se hace referencia en el apartado 1 se regirán por las leyes del lugar donde el importador de datos esté establecido. Para mayor claridad, se aplicarán las leyes vigentes de Canadá y de la provincia de Ontario.

  4. El exportador de datos deberá conservar una lista de los acuerdos del subprocesamiento celebrados en virtud de las presentes Cláusulas y deberán ser notificados por el importador de datos en conformidad con la Cláusula 5 (j), la cual deberá ser actualizada por lo menos una vez al año. La lista deberá estar disponible para la autoridad supervisora de protección de datos del exportador de datos.

Cláusula 11 - Obligación tras la terminación de los servicios de tratamiento de datos personales

  1. Las partes aceptan que, al finalizar la prestación de servicios de tratamiento de datos, el importador de datos y el subprocesador deberán, a elección del exportador de datos, regresar todos los datos personales transferidos y las copias derivadas de los mismos al exportador de datos o deberán destruir todos los datos personales y certificarán al exportador de datos que lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir todos o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que asegurará la confidencialidad de los datos personales transferidos y no tratará activamente los datos personales transferidos nunca más.

  2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos y/o de la autoridad supervisora, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas a que se refiere el apartado 1.

Apéndice 1 de las Cláusulas Contractuales Tipo

Exportador de datos: el exportador de datos es la entidad identificada como "Cliente" en la Adenda

Importador de datos: el importador de datos es HostPapa Inc., un proveedor de servicios alojados.

Titulares de datos: las operaciones de tratamiento se definen en la Sección 1.3 y en el Anexo 1 de la Adenda.

Categorías de datos: las operaciones de tratamiento se definen en la Sección 1.3 y en el Anexo 1 de la Adenda.

Operaciones de tratamiento: las operaciones de tratamiento se definen en la Sección 1.3 y en el Anexo 1 de la Adenda.

Apéndice 2 de las Cláusulas Contractuales Tipo

Este Apéndice forma parte de las Cláusulas. Al adquirir los Servicios Cubiertos de HostPapa, la Adenda y este Apéndice 2 se consideran aceptados y ejecutados por y entre las partes.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos en conformidad con las Cláusulas 4(d) y 5(c) (o documento/legislación adjuntos):

Las medidas de seguridad técnicas y organizativas implementadas por el importador de datos son como se describen en la Adenda, específicamente en el Anexo 2, que se incorpora y acompaña a la misma.