Anexo Sobre El Procesamiento de Datos
Este Anexo sobre el procesamiento de datos (“DPA”) modifica y forma parte del Contrato de suscripción principal u otro acuerdo (el “Contrato”) entre el Cliente y Absolute que regule la provisión de los Productos y Serviciosde Absolute al Cliente. En caso de conflicto entre los términos de este DPA y el Contrato, los términos de este DPA prevalecerán.
1. Definiciones. Los términos en mayúsculas utilizados pero no definidos en este DPA tendrán el significado que se les otorga en el Contrato.
1.1. “Empresa”, “Propósito empresarial”, “recopilar”, “recopilados”, “recopilación”, “Consumidor”, “Información desidentificada”, “Información personal”, “venta” y “Proveedor de servicios” tienen el significado que se les da en la CCPA, y “vender” se interpretará en consecuencia.
1.2. “Controlador”, “Titular de los datos”, “Datos personales”, “procesamiento”, “Procesador” y “Autoridad supervisora” tienen el significado que se les da en el GDPR, y “proceso”, “procesos” y “procesados” se interpretarán en consecuencia.
1.3. “Datos personales del cliente” hace referencia a cualquier Dato del cliente que constituya Información personal o Datos personales recopilados o procesados por Absolute como Proveedor de servicios o Procesador (según corresponda) en nombre del Cliente para proporcionar los Productos y Servicios, según se describe más detalladamente en el Anexo I de este DPA.
1.4. “Ley de protección de datos” hace referencia a la Ley de Privacidad del Consumidor de California, Código Civil de California, artículo 1798.100 y siguientes, y sus reglamentos de aplicación (“CCPA”), el Reglamento General de Protección de Datos (UE) 2016/679 (“GDPR”) y la Directiva sobre privacidad electrónica 2002/58/CE (modificada por la Directiva 2009/136/CE), y sus implementaciones nacionales en el Espacio Económico Europeo (“EEE”), la Ley Federal de Protección de Datos de Suiza, el Reglamento General de Protección de Datos del Reino Unido y la Ley de Protección de Datos del Reino Unido de 2018, cada uno según corresponda, y se pueden modificar o reemplazar de vez en cuando.
1.5. “Derechos del titular de los datos” hace referencia a los derechos de los Consumidores o de los Titulares de los datos a la información, acceso, rectificación, eliminación, borrado, restricción, portabilidad, objeción, exclusión de la venta, a no ser discriminados por ejercer determinados derechos y a no estar sujetos a una toma de decisiones individual automatizada, de acuerdo con y cada uno en la medida requerida por la Ley de Protección de Datos.
1.6. “Europa” hace referencia al EEA y a Suiza.
1.7. “Transferencia internacional de datos” hace referencia a cualquier transferencia de Datos personales del cliente desde Europa o el Reino Unido a un país fuera de Europa y el Reino Unido.
1.8. “Filtración de datos personales” hace referencia a cualquier violación de la seguridad de Absolute que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales del cliente transmitidos, almacenados o procesados de otro modo por Absolute o sus Subprocesadores.
1.9. “Subprocesador” hace referencia a un Procesador contratado por Absolute para procesar los Datos personales del cliente.
1.10. “Cláusulas contractuales estándar” hace referencia a las cláusulas anexas a la Decisión 2021/914 de la Comisión de la UE, del 4 de junio de 2021, relativa a las cláusulas contractuales estándar para la transferencia de datos personales a terceros países, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (DO L 199 de 7.6.2021, págs. 31-61), según proceda, y se pueden modificar o reemplazar de vez en cuando.
2. Función de las Partes y alcance del Procesamiento
2.1. Alcance. Este DPA y cada una de las disposiciones y obligaciones del presente documento se aplican en la medida en que Absolute procese los Datos personales del cliente como Proveedor de servicios o Procesador (según corresponda).
2.2. Funcion de las Partes. El Cliente es una Empresa o un Controlador y designa a Absolute como Proveedor de servicios o Procesador en nombre del Cliente. Cada Parte recopilará, conservará, utilizará, revelará y procesará los Datos personales del Cliente en relación con los Productos y Servicios de acuerdo con la Ley de Protección de Datos aplicable.
2.3. Responsabilidades del cliente. El Cliente es responsable del cumplimiento de los requisitos aplicables para notificar a los Titulares de los Datos sobre el uso de Absolute como Procesador. El objeto, la naturaleza y la finalidad del procesamiento, los tipos de Datos personales del cliente y las categorías de Titulares de los datos se establecen en el Anexo I.
2.4. Responsabilidades de Absolute. Absolute procesará los Datos Personales del Cliente para proporcionar los Productos y Servicios de acuerdo con las instrucciones legales documentadas del Cliente, que se consideren dadas, con los siguientes fines: (i) el procesamiento de acuerdo con este DPA, el Contrato y cualquier declaración de trabajo aplicable; (ii) el procesamiento iniciado por Usuarios autorizados en su uso de los Productos y Servicios; y (iii) el procesamiento para cumplir con otras instrucciones razonables documentadas proporcionadas por el Cliente (por ejemplo, a través del correo electrónico) cuando dichas instrucciones sean coherentes con los términos de este DPA, el Contrato y cualquier declaración de trabajo aplicable. A menos que lo prohíba la ley aplicable, Absolute informará al Cliente si toma conocimiento de que, o en su opinión, las instrucciones del Cliente violan la Ley de Protección de Datos. Por ejemplo, si Absolute recibe una citación u orden judicial de una agencia de aplicación de la ley, informará al Cliente de la solicitud a menos que esté prohibido legalmente hacerlo.
2.5. Cooperación con las solicitudes del Cliente. Absolute, teniendo en cuenta la naturaleza del procesamiento y la información disponible para Absolute, ayudará razonablemente al Cliente a (a) responder a las solicitudes para ejercer los Derechos del titular de los datos; (b) realizar evaluaciones de impacto en la protección de datos y consultas previas con las Autoridades supervisoras; y (c) notificar a un Titular de los datos afectado sobre una filtración de datos personales cuando así lo exija la ley. El cliente será responsable de cualquier costo razonable que surja de la asistencia de Absolute.
3. Seguridad y auditorías
3.1. Medidas de seguridad. Absolute implementará medidas técnicas y organizativas, adecuadas al riesgo, para proteger los Datos personales del cliente del acceso no autorizado, la destrucción, el uso, la modificación o la divulgación, tal como se establece en las Normas de Seguridad de Absolute mencionadas en el Anexo II. Absolute puede modificar las Normas de Seguridad de Absolute de vez en cuando, pero seguirá proporcionando al menos el mismo nivel de seguridad que se describe en las Normas de Seguridad de Absolute. Absolute se asegurará de que todo el personal autorizado para procesar los Datos personales del cliente esté sujeto a una obligación de confidencialidad.
3.2. Respuesta a la filtración de datos personales. Absolute notificará al Cliente sin demora indebida una vez que tome conocimiento de una filtración de datos personales. Absolute hará los esfuerzos comercialmente razonables para identificar la causa de la Filtración de datos personales y tomará las medidas que considere necesarias y razonables para remediar la causa de la Filtración de datos personales en la medida en que la corrección esté dentro del control razonable de Absolute. Esta disposición no se aplicará a las Filtraciones de datos personales causadas por el Cliente o los usuarios del Cliente.
3.3. Auditoría. Como lo exige la Ley de Protección de Datos, Absolute proporcionará al Cliente un resumen de los informes de auditoría de Absolute, incluida cualquier información razonablemente necesaria para demostrar el cumplimiento por parte de Absolute de las obligaciones de este DPA; siempre que Absolute pueda redactar cualquier información confidencial o comercialmente sensible en dichos informes.
4. Subprocesamiento
4.1. Subprocesadores autorizados. El Cliente reconoce y acepta que Absolute puede contratar a Subprocesadores. Existe una lista de los Subprocesadores actuales de Absolute disponible en www.absolute.com/company/legal/absolute-sub-processors. Absolute celebrará un acuerdo por escrito con los Subprocesadores que impone a los Subprocesadores materialmente las mismas obligaciones que las impuestas a Absolute en virtud de este DPA.
4.2. Cambios de Subprocesadores. El Cliente reconoce y acepta que Absolute notificará al Cliente de cualquier adición o reemplazo previsto de Subprocesadores mediante la actualización de su lista de Subprocesadores a los que se hace referencia en la Sección 4.1. El Cliente puede objetar la adición o el reemplazo de un Subprocesador dentro de los treinta (30) días siguientes a la actualización de la lista de Subprocesadores por parte de Absolute. Si la objeción del Cliente se basa en motivos razonables relacionados con una violación posible o real de la Ley de Protección de Datos, el Cliente y Absolute trabajarán juntos de buena fe para abordar la objeción del Cliente.
5. Transferencias de datos
5.1. Transferencias de datos internacionales. El Cliente acepta que Absolute puede realizar transferencias de datos internacionales: (a) a cualquier país que la Comisión de la UE o el gobierno del Reino Unido consideren adecuado, según corresponda, incluido Canadá; (b) sobre la base de las salvaguardias adecuadas de conformidad con la Ley de Protección de Datos; o (c) de conformidad con las Cláusulas contractuales estándar mencionadas en la Sección 5.2 o 5.3. Si el cumplimiento por parte de Absolute de las Leyes de Protección de Datos aplicables a las Transferencias de datos internacionales se ve afectado por circunstancias ajenas a su control, incluido el caso de que un instrumento legal para las Transferencias de datos internacionales se invalide, modifique o sustituya, el Cliente y Absolute trabajarán juntos de buena fe para resolver razonablemente dicho incumplimiento.
5.2. Transferencias de datos desde Europa. Al firmar este DPA, el Cliente y Absolute aceptan los términos del MÓDULO DOS de las Cláusulas contractuales estándar, que se incorporan a este DPA como referencia. Las Partes acuerdan que, cuando se apliquen las Cláusulas contractuales estándar, se cumplimentarán de la siguiente manera: A) se mantendrá la Cláusula 7 facultativa; b) en la Cláusula 9, se anulará la Opción 1 y se mantendrá la Opción 2; c) en la Cláusula 11, se anulará el lenguaje facultativo; d) en las Cláusulas 17 y 18, la ley aplicable y los tribunales competentes serán los de Irlanda; y (e) los Anexos I y II de las Cláusulas contractuales estándar serán los Anexos I y II del presente DPA, respectivamente. Si Absolute transfiere los Datos personales del cliente de Europa a un país que no proporciona un nivel de protección adecuado según lo determinado por la Comisión de la UE para proporcionar los Productos al Cliente, se aplicarán las Cláusulas contractuales estándar.
5.3. Transferencias de datos desde el Reino Unido. Al firmar este DPA, el Cliente y Absolute aceptan los términos del MÓDULO DOS de las Cláusulas contractuales estándar y la Parte 2 (Cláusulas obligatorias) del Anexo sobre transferencias de datos internacionales de las Cláusulas contractuales estándar, disponible en: https://ico.org.uk/media/for-organizations/documents/4019483/international-data-transfer-addendum.pdf (el “Anexo del Reino Unido”), que se incorpora al presente documento como referencia. Si Absolute transfiere los Datos personales del cliente desde el Reino Unido a un país que no proporciona un nivel de protección adecuado según lo determinado por el Reino Unido, se aplicará el Anexo del Reino Unido.
6. Ley de Privacidad de Datos del Consumidor de California
6.1. Consideración. Absolute reconoce que el intercambio de Datos personales del cliente entre el Cliente y Absolute no forma parte de ninguna consideración monetaria o valiosa intercambiada entre el Cliente y Absolute con respecto al Contrato o este DPA.
6.2. Uso de los Datos personales del cliente. A menos que la ley aplicable permita lo contrario, Absolute: (a) no conservará, utilizará ni divulgará los Datos personales del cliente para cualquier otro fin que no sea la prestación de los Servicios y la prestación de los Productos especificados en el Contrato; y (b) no venderá los Datos personales del cliente. Sin perjuicio de cualquier disposición contraria al Contrato o a este DPA, los términos de este DPA no se aplicarán al procesamiento por parte de Absolute de los Datos personales del cliente que estén exentos de la Ley de Protección de Datos, incluso según el Código Civil de California, artículo 1798.145(a).
7. Rescisión y devolución o eliminación de los Datos personales del cliente
7.1. Este DPA se rescinde al término del Contrato. El Cliente puede obtener la devolución de los Datos personales del cliente utilizando las características o funcionalidades accesibles en la cuenta del Cliente para los Productos aplicables, o si tales características o funcionalidades no están disponibles, el Cliente puede solicitar la devolución de los Datos personales del cliente hasta noventa (90) días después de la terminación del Contrato. A menos que la ley aplicable lo exija o lo permita, Absolute eliminará o anonimizará todas las copias restantes de los Datos personales del cliente tras la rescisión del Contrato.
8. Limitación de responsabilidades
8.1. La responsabilidad de cada parte derivada o relacionada con este DPA, incluidas las Cláusulas contractuales estándar, si procede, ya sea contractual, extracontractual o según cualquier otra teoría de responsabilidad, está sujeta a la sección Limitación de responsabilidades del Contrato.
9. Invalidez y divisibilidad
9.1. Si alguna disposición de este DPA es considerada inválida o inaplicable por algún tribunal u órgano administrativo de la jurisdicción competente, la invalidez o inaplicabilidad de dicha disposición no afectará a ninguna otra disposición de este DPA y todas las disposiciones no afectadas por dicha invalidez o inaplicabilidad permanecerán en pleno vigor y efecto.
ANEXO I
- LISTA DE PARTES (MODULO DOS: Transferencia del controlador al procesador)
Exportador(es) de datos: Cliente
El Cliente, como Controlador, puede optar por transferir datos a Absolute en relación con la recepción de los Productos y Servicios identificados en el Formulario de pedido aplicable. El nombre, la información de contacto y la firma del Cliente se establecen en el Formulario de pedido aplicable o en la cuenta del Cliente para los Productos y Servicios.
Importador(es) de datos: Absolute
Absolute, como Procesador, procesa los datos recibidos del Cliente en relación con la provisión de los Productos y Servicios identificados en el Formulario de pedido aplicable.
Dirección: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
Contacto: [email protected]
- DESCRIPCIÓN DE LA TRANSFERENCIA (MÓDULO DOS: Transferencia del controlador al procesador)
Categorías de Titulares de los datos cuyos datos personales se transfieren en relación con los Productos y Servicios:
# | Categoría |
1 | Usuarios de dispositivos de punto final del Cliente. |
2 | Personal administrativo del Cliente responsable del mantenimiento de la cuenta del Cliente a través del Servicio alojado. |
Categorías de Datos personales transferidos en relación con los Servicios de Absolute:
# | Categoría |
1 | Según corresponda, la información del dispositivo de punto final, incluida la marca y el modelo del equipo, el número de serie del equipo, la versión del BIOS del sistema, el nombre del equipo, la información del sistema operativo, el número de serie del disco duro, el modelo del disco duro, la revisión del firmware del disco duro, el ID del dispositivo de la batería, el UUID del equipo, las cadenas de puerta de enlace, el número de serie de la RAM, la dirección MAC, el nombre del adaptador NIC, la dirección IP, la ubicación del dispositivo y la información de uso del dispositivo. |
Información de la cuenta del Servicio alojado, incluido el nombre, la información de contacto y las credenciales de inicio de sesión. |
Categorías de datos confidenciales transferidos en relación con los Productos y Servicios:
# | Categoría |
1 | Ninguna. |
Frecuencia y naturaleza del procesamiento:
Los datos se transfieren de forma continua. Los datos personales transferidos estarán sujetos a las siguientes operaciones de procesamiento.
- Proporcionar los Productos y Servicios, incluido el almacenamiento de datos para los Productos y Servicios.
- Resolver problemas técnicos o administrativos, el cobro y la facturación, y cumplir de otro modo con sus propias obligaciones legales.
- Optimizar y mejorar los Productos y Servicios y otros propósitos empresariales descritos en el DPA.
Finalidad(es) de la transferencia de datos y el procesamiento posterior
El propósito de la transferencia de datos es proporcionar los Productos y Servicios.
Período de retención.
Se aplican diferentes períodos de retención de datos en función del servicio aplicable. Al determinar el período de retención específico, Absolute considera varios factores, como el tipo de servicio prestado al Cliente, la naturaleza y la duración de nuestra relación con el Cliente, y los períodos de retención obligatorios previstos por la ley y el estatuto de limitaciones.
Transferencias a (sub)procesadores
Las descripciones establecidas anteriormente en esta Sección B se aplican a los datos transferidos a los Subprocesadores.
- AUTORIDAD SUPERVISORA COMPETENTE (MÓDULO DOS: Transferencia del controlador al procesador)
La autoridad supervisora competente según la define el Cliente.
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Dominio
|
Prácticas |
Organización de la información de seguridad | · Absolute cuenta con un equipo dedicado a la seguridad de la información
· El programa de seguridad de la información está respaldado por el equipo ejecutivo de Absolute · Absolute publica una Política de seguridad de la información aprobada por la administración |
Seguridad de Recursos Humanos | · Realiza una comprobación previa a la contratación de los antecedentes del personal
· Lleva a cabo una capacitación regular sobre seguridad de la información |
Seguridad fisica y ambiental | · Solo los usuarios autorizados pueden acceder físicamente a los centros de procesamiento de datos de los clientes
· Utiliza centros de datos y proveedores de alojamiento con controles físicos y ambientales |
Gestión de operaciones y comunicaciones | · Cifrar los datos del cliente en tránsito y en reposo
· Implementar protecciones de red, incluidos firewalls, VPN, IDS e IPS, siempre que sea posible |
Control del acceso | · Menor acceso principal a redes y sistemas
· Solicitar la MFA para el acceso remoto |
Gestión de incidentes de seguridad de la información | · Implementar un programa formalizado de respuesta a incidentes de seguridad y privacidad |
Seguridad de las operaciones | · Prueba anual de penetración
· Gestión continua de la vulnerabilidad · Controles para detectar y prevenir malware · Generar y supervisar la información del registro de eventos |
Gestión de la continuidad de los negocios | · Mantiene los planes de BCP y DR para apoyar la continuación de las operaciones
· Analiza planes al menos una vez al año |
Gestión de terceros proveedores | · Mantener un programa de terceros proveedores para revisar, evaluar y supervisar los controles de seguridad y privacidad de los terceros proveedores |
Desarrollo de sistemas | · Proporcionar capacitación sobre codificación segura a los desarrolladores
· Implementar pruebas de seguridad como un componente del SDLC · Entornos segregados de desarrollo, pruebas y producción |