1.1 Alcance
 

Estos Términos del procesamiento de datos se aplican al Proveedor si este procesa Datos personales en relación con la prestación de los Servicios por parte del Proveedor (tal como se definen a continuación).

1.2 Definiciones

A los efectos de estos Términos del procesamiento de datos, se aplicarán las siguientes definiciones:

1. “Decisión de adecuación” significa una decisión emitida por la Comisión Europea en virtud del artículo 45 del RGPD.
    
2. “Ley aplicable” se refiere a todas las leyes aplicables (incluidas las que surjan en virtud del derecho consuetudinario), estatutos, ordenanzas, reglamentaciones, directivas, tratados, códigos y otros pronunciamientos que tengan efecto de ley en los Estados Unidos, cualquier país extranjero o cualquier estado, condado, ciudad u otra subdivisión política nacional o extranjera, incluidos los promulgados o aplicados por cualquier autoridad gubernamental, con sus modificaciones o complementos.
    
3. “Datos del titular de la tarjeta” significa: (1) con respecto a una tarjeta de pago, nombre del titular de la cuenta, número de cuenta, códigos de seguridad, código/valor de validación de la tarjeta, códigos de servicio (es decir, el número de tres o cuatro dígitos en la banda magnética que especifica los requisitos de aceptación y las limitaciones para una transacción de lectura de banda magnética), PIN o PIN block, fechas de validez y datos de banda magnética; e (2) información y datos relacionados con una transacción con tarjeta de pago que se pueda relacionar con una cuenta específica, independientemente de si se utiliza o no una tarjeta física en relación con la transacción en cuestión.
    
4. “Transferencia de datos” significa el acceso a Datos personales por parte de una Persona, o la transferencia, entrega o divulgación de Datos personales a una Persona, cuando dicha Persona se encuentra en un país distinto del país de origen de los Datos personales.
    
5. “EEE” significa colectivamente los estados miembros de la Unión Europea y Suiza.
    
6. “RGPD” se refiere al Reglamento 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y al libre movimiento de dichos datos, y por el que se deroga la Directiva 95/46/CE, con sus modificaciones o complementos.
    
7. “Estándares de PCI” se refiere a los estándares de seguridad de datos para la protección de la información de tarjetas de pago con los que las compañías de tarjetas de pago exigen en forma colectiva o individual que los comerciantes cumplan. Entre ellos se incluyen los Estándares de seguridad de datos de la industria de tarjetas de pago actualmente en vigor y con sus modificaciones durante la vigencia del Contrato, entre otros.
    
8. “Filtración de datos personales” se refiere a cualquier acceso, adquisición, uso, modificación, divulgación, pérdida, destrucción o daño accidental, ilegal o no autorizado de los Datos personales o bien a cualquier otro Procesamiento de los datos personales no autorizado.
    
9. “Datos personales” significa cualquier información relacionada con una persona física identificada o identificable, o cualquier información que identifique, se relacione con, describa o pueda relacionarse razonablemente con una determinada persona física o grupo familiar, a la que el Proveedor acceda o adquiera de la Compañía, que la Compañía proporcione al Proveedor o que el Proveedor recopile o adquiera en nombre de la Compañía. Una persona física identificable es aquella que puede ser identificada, en forma directa o indirecta, en particular por referencia a un identificador tal como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. Los Datos personales incluyen: (a) nombre, (b) dirección postal, (c) número de teléfono o fax, (d) dirección de correo electrónico y (e) número de identificación gubernamental. Los Datos personales también incluyen cualquier Información personal, Información de identificación personal o términos similares, según se define en las Leyes de privacidad.
    
10. “Leyes de privacidad” se refiere a todas las (1) Leyes aplicables relacionadas con la privacidad, confidencialidad, retención o seguridad de los Datos personales, incluidos el RGPD, el RGPD del Reino Unido, la “CCPA” (Ley de Privacidad del Consumidor de California) de 2018, con sus modificaciones, la PIPEDA (Ley Canadiense de Protección de la Información Personal y los Documentos Electrónicos), las leyes de privacidad provinciales (incluidas las de Columbia Británica, Alberta, y Quebec), y la legislación canadiense contra el spam; la CAN-SPAM (Ley de Control del Asalto de la Pornografía y de la Comercialización No Solicitada); la Norma de Eliminación de Información y Registros de Informes de Consumidores de la FTC, Título 16 del C.F.R., sección 682 (2005); la Reglamentación Federal de “Privacidad de la Información Financiera del Consumidor” (Título 12 del CFR, Parte 30) emitida de conformidad con la Sección 504 de la Ley Gramm-Leach-Bliley de 1999 (Título 15 del U.S.C., sección 6801 et seq.); la ley HIPAA y la ley HITECH, y todas las demás leyes internacionales, federales, estatales, provinciales y los requisitos locales similares, (2) todos los estándares aplicables de la industria relativos a la privacidad, protección de datos, confidencialidad o seguridad de la información actualmente en vigor y a medida que entran en vigor, incluido el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago y cualquier otro estándar similar; y (3) las disposiciones aplicables de todas las políticas de confidencialidad, declaraciones o avisos de la Compañía que se proporcionen o pongan a disposición del Proveedor. Para evitar dudas, las Leyes de privacidad son aplicables con respecto a cualquier recepción, acceso o Procesamiento de los datos personales, ya sea en forma intencional o no intencional.
     
11. “Procesar” o “Procesamiento” se refiere a cualquier operación o conjunto de operaciones que se realice sobre los Datos personales o sobre conjuntos de Datos personales, ya sea por medios automatizados o no, como recopilación, registro, organización, estructuración, alteración, uso, acceso, divulgación, copia, transferencia, almacenamiento, eliminación, alineación o combinación, restricción, adaptación, recuperación, consulta, destrucción, eliminación u otro uso de los Datos personales.
     
12. “RGPD del Reino Unido” se refiere a la implementación del RGPD por parte del Reino Unido en la legislación nacional, según se define en la sección 3(10) y la sección 205(4) de la Ley de Protección de Datos de 2018.
     

1.3 Limitación de uso
 

1. Alcance del procesamiento. El Proveedor procesará los Datos personales en relación con los Servicios descritos en el Contrato y durante la vigencia de dicho Contrato, sujeto al cumplimiento de la Ley aplicable y el Contrato. El tipo de Datos personales procesados por el Proveedor se describe en el Contrato. El Procesamiento puede implicar Datos personales de empleados de la Compañía, de clientes de la Compañía e información de contacto comercial de clientes, proveedores y otros socios comerciales de la Compañía, tal como se describe con más detalle en el Contrato. Bajo ninguna circunstancia el Proveedor utilizará, procesará (incluida específicamente la combinación con otros datos) o divulgará los Datos personales para sus propios fines comerciales, fuera de la relación comercial directa con la Compañía o para cualquier otro fin que no sea la prestación de los Servicios.
    
2. Procesamiento de conformidad con las instrucciones de la Compañía. El Proveedor reconoce que, con respecto a los Datos personales, la Compañía es el contralor y el Proveedor es un procesador de datos, según se define en las Leyes de privacidad aplicables. El Proveedor procesará los Datos personales solo en nombre de la Compañía según sea necesario para prestar los Servicios de conformidad con el Contrato (incluidos estos Términos del procesamiento de datos) y de conformidad con las instrucciones de la Compañía emitidas ocasionalmente por escrito (colectivamente, las “Instrucciones”). El Proveedor procesará los Datos personales y prestará los Servicios en todo momento de conformidad con la Ley aplicable, lo que incluye proporcionar el mismo nivel de protección de privacidad que exigen las Leyes de privacidad de la Compañía. El Proveedor no podrá: (1) utilizar los Datos personales para cualquier fin que no sea el previsto en la Sección 1.3.a, (2) vender, ceder o arrendar Datos personales a terceros, (3) compartir los Datos personales con terceros con fines de publicidad conductual de contexto cruzado o (4) explotar comercialmente los Datos personales o procesarlos de otro modo para los propios fines del Proveedor. Si la Ley aplicable exige que el Proveedor lleve a cabo un Procesamiento que sea o pueda interpretarse como incompatible con las Instrucciones, el Proveedor debe notificar a la Compañía de inmediato y antes de comenzar el Procesamiento, a menos que la Ley aplicable prohíba dicha notificación por motivos importantes de interés público. El Proveedor debe notificar a la Compañía de inmediato si cree que cualquier Instrucción de la Compañía infringe o daría lugar a un Procesamiento que infrinja la Ley aplicable.
    

1.4 Limitación de la divulgación

El Proveedor no divulgará Datos personales a ningún tercero sin obtener primero el consentimiento por escrito de la Compañía, excepto según lo dispuesto en la Sección 1.7 (Solicitudes del titular de los datos) o la Sección 1.11 (Solicitudes de producción). El Proveedor impondrá obligaciones por escrito exigibles a todos los empleados, contratistas y agentes que procesen Datos personales en nombre del Proveedor para proteger la confidencialidad de los Datos personales (por la duración del contrato laboral o participación y posteriormente).

1.5 Medidas técnicas y organizativas, requisitos de seguridad
 

1. Requisitos de seguridad. El Proveedor cumplirá con los requisitos de la Compañía para las medidas de control administrativas, técnicas y físicas aplicables a la prestación de los Servicios por parte del Proveedor y los requisitos de la Compañía para la seguridad física en las instalaciones establecidas en el presente, en el Contrato y según lo proporcionado por la Compañía al Proveedor por escrito (los “Requisitos de seguridad”). La Compañía notificará al Proveedor por escrito sobre cualquier cambio, actualización, modificación o enmienda de los Requisitos de seguridad. El Proveedor cumplirá, y se asegurará de que sus agentes y subcontratistas cumplan, con los Requisitos de seguridad, con las modificaciones ocasionales que realice la Compañía.
    
2. Protecciones. Además de cualquier requisito específico establecido en los Requisitos de seguridad, el Proveedor establecerá un programa de seguridad de la información por escrito (“WISP”) para los Datos personales (y proporcionará una copia de este a la Compañía) que debe ajustarse sustancialmente al marco establecido por la Organización Internacional de Normalización en un documento de estándares titulado “Código de prácticas para la gestión de la seguridad de la información” (ISO/IEC 27002:2013 y sus modificaciones ocasionales) y que, de conformidad con la Sección 1.5(c): (1) garantice la seguridad, confidencialidad, integridad y disponibilidad de los Datos personales; (2) proteja de cualquier amenaza o peligro previsto para la seguridad, confidencialidad, disponibilidad o integridad de los Datos personales; (3) proteja de cualquier acceso, uso o divulgación no autorizados de los Datos personales; y (4) garantice la eliminación adecuada y segura de los Datos personales. El Proveedor, de conformidad con el WISP y las Leyes de privacidad, tomará todas las medidas de seguridad técnicas y organizativas necesarias contra el Procesamiento de datos personales no autorizado o ilícito y contra la pérdida, alteración, destrucción o daño de los Datos personales. Cuando evalúe el nivel adecuado de seguridad, el Proveedor tendrá en cuenta los últimos adelantos tecnológicos, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del Procesamiento de Datos personales, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
    
3. Documentación. Durante la vigencia del presente Contrato y durante un período posterior de siete años, el Proveedor conservará, y proporcionará para la revisión de la Compañía, a pedido de esta: (a) el WISP y (b) otros documentos del programa de seguridad aplicables, incluidas sus políticas de respuesta a incidentes, estándares de cifrado u otras políticas o procedimientos de protección de la seguridad informática que constituyan el cumplimiento de las Leyes de privacidad. El Proveedor proporcionará a la Compañía cualquier modificación a dichas políticas o programas, y cualquier nueva política o programa relacionado con la privacidad y seguridad de la información que el Proveedor pueda implementar ocasionalmente, en un plazo de 30 días después de la adopción de dicha modificación, política o programa.
    
4. Evaluación de seguridad. Sin perjuicio del carácter general de lo mencionado anteriormente, el WISP del Proveedor dispondrá lo siguiente: (a) evaluación y reevaluación periódicas de los riesgos para la confidencialidad, integridad y disponibilidad de los Datos personales y los sistemas que el Proveedor y sus agentes y contratistas adquieren o mantienen, lo que incluye (x) la identificación de amenazas internas y externas que podrían dar lugar a una Filtración de datos personales, (y) la evaluación de la probabilidad y el daño potencial de dichas amenazas, y (z) la evaluación de la suficiencia de las políticas, procedimientos y sistemas de información del Proveedor y Subcontratistas, y otros acuerdos vigentes, para controlar los riesgos, y (b) protección contra dichos riesgos.
    
5. Medios. El Proveedor eliminará todos los Datos personales de cualquier medio que se retire del servicio, y destruirá o borrará de manera segura dichos medios de acuerdo con los estándares vigentes de la industria, como el NIST 800-88 o un estándar sustitutivo equivalente, las Leyes de privacidad y otras disposiciones de una manera diseñada para proteger del acceso no autorizado o el uso de los Datos personales en relación con dicha destrucción o eliminación. Ningún medio en el que se almacenen Datos personales puede utilizarse o reutilizarse para almacenar datos de cualquier otro cliente del Proveedor o para entregar datos a un tercero, incluido otro cliente del Proveedor, a menos que se borre de forma segura.
    

1.6 Subcontratación

El Proveedor podrá subcontratar el Procesamiento de los datos personales únicamente con el permiso previo por escrito de la Compañía. Antes de cualquier divulgación de Datos personales a un subcontratista o de otro Procesamiento de los datos personales por parte de un subcontratista (cada uno, un “Subcontratista”), el Proveedor debe haber celebrado un contrato que exija que el Subcontratista cumpla con las Leyes de privacidad y las mismas obligaciones y restricciones que se establecen en estos Términos del procesamiento de datos. El Proveedor proporcionará el contrato a la Compañía inmediatamente después de su solicitud. El Proveedor seguirá siendo responsable del Procesamiento de los datos personales, y de todas las acciones y omisiones que realicen dichos Subcontratistas.

1.7 Solicitudes del titular de los datos

El Proveedor notificará de inmediato a la Compañía por escrito (y, en cualquier caso, en un plazo de 2 días hábiles desde su recepción), a menos que la Ley aplicable lo prohíba específicamente, si recibe: (1) cualquier solicitud de un particular con respecto a los Datos personales procesados, lo que incluye solicitudes de exclusión, solicitudes de acceso, rectificación, borrado, restricción o portabilidad de los datos, solicitudes que impliquen una objeción al Procesamiento o a la toma de decisiones automatizada, y todas las solicitudes similares; o (2) cualquier queja, consulta o notificación de investigación en virtud de la Ley aplicable en relación con el Procesamiento de los datos personales, incluidas las acusaciones de que dicho Procesamiento infringe los derechos de un particular en virtud de la Ley aplicable. El Proveedor, sin cargo adicional: (a) implementará procesos adecuados (que incluyen las medidas técnicas y organizativas) para ayudar a la Compañía a responder a dichas solicitudes o quejas de particulares y (b) cooperará plenamente con la Compañía con respecto a, y para facilitar, la autenticación, el registro, la investigación, el procesamiento, la ejecución y la resolución de todas esas solicitudes, quejas, consultas o notificaciones de investigación de la Compañía. El Proveedor no responderá a ninguna solicitud, queja, consulta o notificación de investigación a menos que la Compañía lo autorice por escrito o que así lo exija la Ley aplicable.

1.8 Filtraciones de datos personales
 

1. El Proveedor notificará de inmediato a la Compañía por escrito (y, en cualquier caso, en un plazo de 24 horas) cuando crea razonable que ha habido una Filtración de datos personales, lo cual incluye la presencia de malware. La notificación del Proveedor a la Compañía de una Filtración de datos personales debe incluir lo siguiente: (1) una descripción de las categorías y la cantidad aproximada de titulares de los datos, así como de las categorías y la cantidad aproximada de registros de Datos personales afectados por la Filtración de datos personales; (2) el nombre y los datos de contacto de cualquier Encargado de Protección de Datos designado por el Proveedor; (3) la evaluación del proveedor, desarrollada con diligencia razonable, de las posibles consecuencias de la Filtración de datos personales con respecto a los Datos personales y los titulares de los datos afectados; y (4) cualquier información adicional requerida de conformidad con las Leyes de privacidad aplicables al Proveedor o a la Compañía.
    
2. En caso de una Filtración de datos personales, el Proveedor investigará la Filtración de datos personales, tomará todas las medidas necesarias para eliminar o contener la exposición de los Datos personales, y mantendrá informada a la Compañía acerca del estado de la Filtración de datos personales, de la investigación del Proveedor y de las medidas adoptadas para subsanarla. Además, el Proveedor acepta proporcionar, a cargo exclusivo del Proveedor, asistencia y cooperación razonables y apropiadas según lo solicite la Compañía en pos de cualquier corrección, remediación o investigación de dicha Filtración de datos personales que realice la Compañía o de la mitigación de cualquier daño resultante de dicha Filtración de datos personales, lo que incluye cualquier notificación que la Compañía determine apropiada para enviar a las personas, los reguladores o los terceros afectados, o la prestación de cualquier servicio de informes de crédito que la Compañía considere apropiado proporcionar a las personas afectadas. Además, en un plazo de 30 días desde la identificación o la notificación de una Filtración de datos personales, el Proveedor creará y ejecutará un plan que reduzca la probabilidad de que se repita una Filtración de datos personales.
    
3. Si la Compañía determina que cualquier Filtración de datos personales debe divulgarse a un tercero, incluidos, entre otros, los titulares de los datos, las autoridades gubernamentales o las autoridades de protección de datos, el Proveedor cooperará plenamente con la Compañía y la ayudará a cumplir con sus obligaciones de notificación y divulgación. A menos que lo exija la Ley aplicable, el Proveedor no notificará a ningún particular o tercero que no sean agencias policiales sobre ninguna posible Filtración de datos personales sin antes consultar a la Compañía y obtener su permiso por escrito.
    

1.9 Devolución o eliminación de la información

Tras la rescisión o vencimiento del Contrato por cualquier motivo, o a pedido de la Compañía (y sin tener en cuenta el estado de incumplimiento de las Partes en virtud del Contrato), el Proveedor devolverá en un plazo de 10 días, en la manera y el formato que razonablemente solicite la Compañía, o, según las instrucciones de la Compañía, destruirá, todos los Datos personales sobre los que tenga posesión o control, excepto en la medida en que la Ley aplicable exija lo contrario. Si el Proveedor tiene la obligación legal de conservar los Datos personales después del período especificado en el Contrato, el Proveedor notificará a la Compañía por escrito acerca de dicha obligación (a menos que no pueda hacerlo de conformidad con la Ley aplicable) y devolverá o destruirá los Datos personales de conformidad con estos Términos del procesamiento de datos lo antes posible después de que haya finalizado el período de retención que exige la ley. El Proveedor ejecutará la destrucción de los Datos personales de conformidad con estos Términos del procesamiento de datos de manera tal que se destruyan los Datos personales de forma permanente y segura, de acuerdo con las Leyes de privacidad y los estándares de la industria, de modo que la información no pueda leerse ni reconstruirse de manera factible con medios forenses o de otro tipo. A pedido de la Compañía, el Proveedor proporcionará una explicación por escrito del método utilizado para la eliminación/destrucción de los datos, junto con una certificación por escrito de que dichos Datos personales se han devuelto o destruido de forma segura conforme a estos Términos del procesamiento de datos.

1.10 Investigaciones

Tras la notificación al Proveedor, este asistirá y apoyará a la Compañía en caso de una investigación por parte de cualquier agencia reguladora, incluida una agencia reguladora de protección de datos o autoridad similar, si y en la medida que, dicha investigación se relacione con los Datos personales gestionados por el Proveedor en nombre de la Compañía. Dicha asistencia correrá a cargo de la Compañía, excepto cuando la investigación fuera necesaria por actos u omisiones del Proveedor, en cuyo caso la asistencia correrá a cargo exclusivo del Proveedor.

1.11 Certificación

Por el presente, el Proveedor certifica que entiende y que cumplirá con las restricciones establecidas en estos Términos del procesamiento de datos con respecto a los Datos personales.

2.1 Auditoría anual
 

Además de cualquier otro derecho de auditoría en virtud del Contrato, una vez cada 12 meses, sujeto a cualquier disposición en contrario de la Sección 2.3 de estos Términos del procesamiento de datos, el Proveedor proporcionará a la Compañía, o a un tercero independiente elegido por la Compañía y razonablemente aceptable para el Proveedor, previa notificación razonable: (1) acceso a la información, las instalaciones de Procesamiento y los registros del Proveedor; (2) asistencia y cooperación razonables del personal pertinente del Proveedor; y (3) disposiciones razonables en las instalaciones del Proveedor, con el fin de que la Compañía audite el cumplimiento del Proveedor de estos Términos del procesamiento de datos. En lugar de realizar una auditoría in situ, la Compañía puede solicitar una copia de la evaluación externa del Proveedor más reciente, como una evaluación ISO 27001, SSAE 18 SOC 2, ISAE 3402 o similar. El Proveedor proporcionará una copia de dicha evaluación a la Compañía inmediatamente después de su solicitud. La Compañía tiene el derecho de realizar una auditoría tal como se describe en este párrafo, incluso si se proporciona dicho certificado. Cada parte asumirá sus propios gastos en relación con una auditoría, de conformidad con esta Sección 2.1.

2.2 Auditoría de filtración de datos personales

Si el Proveedor notifica una Filtración de datos personales según se describe en la Sección 1.8, la Compañía tendrá los siguientes derechos de auditoría, sin tomar en consideración la limitación de frecuencia de la Sección 2.1. Sujeto a la Sección 2.3 de estos Términos del procesamiento de datos, la Compañía tendrá derecho a realizar, por parte de un tercero independiente elegido por la Compañía y razonablemente aceptable para el Proveedor, o mediante el propio personal de la Compañía, una auditoría de seguimiento para garantizar que se hayan tomado todas las medidas correctivas razonablemente necesarias. Si dicha auditoría concluye que el Proveedor no ha tomado las medidas correctivas adecuadas para remediar los problemas, entonces (1) el Proveedor tomará inmediatamente las medidas correctivas que sean razonablemente necesarias para remediar los problemas y (2) el Proveedor reembolsará a la Compañía todos los costos razonables de la auditoría.

2.3 Confidencialidad de la auditoría

Las partes acuerdan que, si las políticas escritas preexistentes del Proveedor, proporcionadas a la Compañía previa solicitud, no permiten que el propio personal de la Compañía realice ninguna auditoría o revisión de seguridad requerida o permitida en virtud de estos Términos del procesamiento de datos, la Compañía realizará dicha auditoría o revisión de seguridad mediante un auditor externo seleccionado por la Compañía y razonablemente aceptable para el Proveedor, y el Proveedor reembolsará el costo a la Compañía por realizar dicha auditoría o revisión de seguridad. La Compañía acepta que cualquier auditor o empresa de seguridad externa celebrará un contrato por escrito con el Proveedor y la Compañía que exija que dicha empresa (1) utilice cualquier información confidencial del Proveedor únicamente para los fines de la inspección o auditoría, y (2) proteja la confidencialidad de la información del Proveedor de acuerdo con cualquier disposición aplicable del Contrato. Además, las partes acuerdan que, si las políticas del Proveedor también prohíben a los auditores externos de la Compañía realizar cualquier auditoría o revisión de seguridad, el Proveedor, a pedido de la Compañía, contratará a una empresa de auditoría independiente del Proveedor, que actuará con un deber hacia el Proveedor, para llevar a cabo dicha auditoría o revisión de seguridad, a cargo del Proveedor, y dicha empresa proporcionará a la Compañía una carta de representación de la gerencia que certifique a la Compañía los resultados de dicha auditoría o revisión, incluidos todos los hallazgos, comentarios y recomendaciones para medidas adicionales.

Las Transferencias de datos realizadas de conformidad con el Contrato o los Servicios deben cumplir con esta, la Sección 3. Si un tribunal de jurisdicción competente o autoridad gubernamental competente invalida o deroga cualquier mecanismo de Transferencia de datos identificado en el presente documento, el Proveedor debe adoptar y cumplir inmediatamente uno de los otros mecanismos de Transferencia de datos que se establecen a continuación.

3.1 Transferencias por parte de la Compañía

Las Transferencias de datos realizadas por una filial de la Compañía establecida en el EEE o el Reino Unido al Proveedor (incluido cualquier Subcontratista del Proveedor) en una ubicación fuera del EEE o el Reino Unido y no cubierta por una Decisión de adecuación deben realizarse de acuerdo con uno o más de los medios aprobados establecidos a continuación:

1. BCR-P. Reglas corporativas vinculantes para los encargados del procesamiento, implementadas por el Proveedor y aprobadas por todas las autoridades de control aplicables de conformidad con el Artículo 47 del RGPD y otras Leyes de privacidad aplicables (las normas corporativas vinculantes para encargados del procesamiento o “BCR-P” [Binding corporate rules for processors]), en cuyo caso el Proveedor declara, garantiza y acuerda que: (i) mantendrá dichas BCR-P durante la vigencia del Contrato; (ii) notificará de inmediato a la Compañía sobre cualquier cambio sustancial posterior en dicha autorización y (iii) facilitará cualquiera de sus obligaciones en virtud de las Reglas corporativas vinculantes para los encargados del procesamiento implementadas por el Proveedor y aprobadas por todas las autoridades de control aplicables de conformidad con el Artículo 47 del RGPD y otras Leyes de privacidad aplicables (“BCR-P”), en cuyo caso el Proveedor declara, garantiza y acuerda que: (i) mantendrá dichas BCR-P durante la vigencia del Contrato; (ii) notificará de inmediato a la Compañía sobre cualquier cambio sustancial posterior en dicha autorización y (iii) facilitará cualquiera de sus obligaciones de acuerdo con uno o más de los medios aprobados que se establecen a continuación: en virtud de sus BCR-P mediante la celebración de un contrato de transferencia ulterior adecuado con cualquier Subcontratista.
    
2. Cláusulas modelo para transferencias desde el Reino Unido. En todos los casos no cubiertos por la Sección 3.1.a anterior, la Transferencia de datos pertinente desde el Reino Unido se regirá por las Cláusulas contractuales estándar (del Contralor al Encargado del procesamiento) (las “Cláusulas modelo C2P”) para las transferencias desde el Reino Unido. El Proveedor debe cumplir con las Cláusulas modelo C2P, que se incorporarán en su totalidad en la forma aprobada a estos Términos del procesamiento de datos cuando la Compañía celebre un contrato con el Proveedor. Las Cláusulas modelo C2P se aplican al Proveedor como importador de datos y, al formalizar el Contrato, el Proveedor también ejecuta las Cláusulas modelo C2P como importador de datos. El Proveedor acepta también ejecutar las Cláusulas modelo C2P directamente previa solicitud.
    
3. Cláusulas modelo para transferencias desde el EEE. En todos los casos no cubiertos por la Sección 3.1.a o 3.1.b anterior, la Transferencia de datos pertinente desde el EEE se regirá por las Cláusulas contractuales estándar (módulos del Contralor al Encargado del procesamiento) (las “Cláusulas modelo de 2021”) para las transferencias desde el EEE. El Proveedor debe cumplir con las Cláusulas modelo de 2021, que se incorporarán en su totalidad en la forma aprobada a estos Términos del procesamiento de datos cuando la Compañía celebre un contrato con el Proveedor. Las Cláusulas modelo de 2021 se aplican al Proveedor como importador de datos y, al formalizar el Contrato, el Proveedor también ejecuta las Cláusulas modelo de 2021 como importador de datos. El Proveedor acepta también ejecutar las Cláusulas modelo de 2021 directamente previa solicitud.
    

3.2 Transferencias por parte del Proveedor

El Proveedor no transferirá Datos personales cruzando fronteras nacionales, excepto con el consentimiento previo por escrito de la Compañía. El Proveedor no exportará fuera del EEE los Datos personales recopilados, almacenados o procesados de otro modo por el Proveedor en el EEE, excepto de conformidad con las instrucciones de la Compañía. El Proveedor debe asegurarse de que todas las Transferencias de datos cumplan con las Leyes de privacidad en todo momento.

4.1
 

El Proveedor declara, garantiza y acuerda que no ha recopilado ni transferido Datos personales a terceros en violación de ninguna Ley de privacidad. No hay avisos, reclamos, investigaciones o procedimientos pendientes, o, según el conocimiento del Proveedor, amenazas, de agencias estatales o federales, o partes privadas, que impliquen avisos o información a particulares de que los Datos personales conservados o almacenados por el Proveedor han sido comprometidos, perdidos, tomados, accedidos o utilizados indebidamente. El Proveedor no ha recibido ninguna notificación relativa a ninguna infracción de ninguna Ley de privacidad y no tiene motivos para creer que la seguridad de los Datos personales procesados por el Proveedor haya sufrido una violación real ni potencial.

4.2

Todos los sitios web y aplicaciones móviles orientados al consumidor operados por el Proveedor en nombre de la Compañía deben contener un enlace a una declaración de privacidad que cumpla con las Leyes de privacidad y que la Compañía haya aprobado por escrito. Sin perjuicio de dicha declaración de privacidad, el Proveedor podrá procesar los Datos personales únicamente de conformidad con el presente Contrato y solo según sea necesario para prestar los Servicios a la Compañía. Los sitios web y aplicaciones móviles que parezcan proporcionados por la Compañía a un consumidor deben publicar una declaración de privacidad de la Compañía y deben ser aprobados antes de que la Compañía los lance.

4.3

El Proveedor mantendrá indemne a la Compañía y a sus ejecutivos, directores, empleados y agentes (los “Indemnizados”), y eximirá a los Indemnizados de y contra todas y cada una de las pérdidas, daños y gastos, incluidas todas y cada una de las pérdidas, daños y gastos incidentales y consecuentes, que incluirán los costos de (1) investigación, incluidos los servicios o asistencia de informática forense; (2) notificación a particulares y autoridades gubernamentales; (3) monitoreo o restauración de crédito y (4) honorarios razonables de abogados, relacionados o derivados del (5) incumplimiento por parte del Proveedor de estos Términos del procesamiento de datos o (6) cualquier Filtración de datos personales que implique Datos personales procesados por el Proveedor.

5.1
 

La Compañía puede cambiar estos Términos del procesamiento de datos a su exclusivo criterio en cualquier momento y ocasionalmente. Cualquier cambio en estos Términos del procesamiento de datos será vinculante para el Proveedor cuando se publique en https://www.unitedrentals.com/legal/msa-data-processing-terms; sin embargo, siempre que el Proveedor tenga un plazo razonable para implementar cualquier cambio en los Términos del procesamiento de datos (sin superar ningún plazo determinado por la ley, norma o regulación aplicable para implementar dicho cambio). El Proveedor está obligado a revisar esta URL periódicamente para mantenerse al tanto de cualquier cambio. Los cambios más recientes en los Términos del procesamiento de datos aparecerán en la parte inferior de los Términos del procesamiento de datos, en la sección titulada “Revisiones sustanciales de los Términos del procesamiento de datos”.

6.1
 

Las obligaciones del Proveedor en virtud de estos Términos del procesamiento de datos sobrevivirán a la rescisión o vencimiento de sus Servicios o de cualquier contrato relacionado, y continuarán mientras el Proveedor, o cualquiera de sus filiales o subcontratistas, conserven o tengan acceso a los Datos personales. El Proveedor reconoce y acepta que cada entidad a la que se hace referencia en la definición de “Compañía” anterior es un tercero beneficiario previsto de las obligaciones y responsabilidades del Proveedor en virtud de estos Términos del procesamiento de datos, incluidas, entre otras, las obligaciones del Proveedor con respecto a los Datos personales, y como tal, cada uno tendrá derecho a hacer cumplir estos Términos del procesamiento de datos.

6.2 Garantías adicionales

El Proveedor cumplirá con las Leyes de privacidad durante la vigencia del presente Contrato. Si el Proveedor determina que ya no puede cumplir con sus obligaciones en virtud de cualquier Ley de privacidad, notificará de inmediato a la Compañía sobre dicha decisión. El Proveedor puede tomar en cualquier momento medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos personales, incluida la suspensión del acceso o la divulgación de los Datos personales hasta que dicho uso no autorizado sea remediado. El Proveedor proporcionará la información y asistencia pertinentes solicitadas por la Compañía para demostrar el cumplimiento por parte del Proveedor de sus obligaciones en virtud de estos Términos del procesamiento de datos y las Leyes de privacidad, y para ayudar a la Compañía a cumplir con sus obligaciones en virtud de las Leyes de privacidad aplicables con respecto al Procesamiento de los datos personales por parte del Proveedor. Si se requiere algún cambio en el Procesamiento por una modificación de las Leyes de privacidad, o para garantizar el cumplimiento continuo de las Leyes de privacidad, la Compañía tendrá derecho a exigir al Proveedor que implemente el cambio solicitado.

6.3 Validez

Si alguna parte de estos Términos del procesamiento de datos se considera inaplicable, la validez de todas las partes restantes no se verá afectada.

7.1
 

El Proveedor adoptará, implementará y mantendrá procedimientos y prácticas de seguridad adecuados para impedir el acceso, adquisición, destrucción, modificación, uso o divulgación no autorizados de los Datos personales. Dichos procedimientos y prácticas cumplirán, como mínimo, con el Contrato, con estos Términos del procesamiento de datos y con las Leyes de privacidad.

7.2

De conformidad con lo anterior, el Proveedor deberá:

• 7.2.1(x) separar física o lógicamente los Datos personales de todos los demás datos que posea el Proveedor y evitar que se mezclen, (y) garantizar que los dispositivos portátiles que procesen Datos personales, como computadoras portátiles, tabletas, iPads, asistentes digitales personales, teléfonos celulares, teléfonos inteligentes, iPods, lectores electrónicos, dispositivos USB/unidades externas, CD, disquetes, dispositivos transportables o terapéuticos, y otros dispositivos portátiles similares, estén configurados para usar el cifrado estándar de la industria y, si corresponde, tecnología de gestión de dispositivos móviles que proteja por completo el almacenamiento de estos dispositivos, la instalación, la asignación de privilegios y las capacidades de transmisión de acceso no autorizado a un nivel que respete los requisitos de cumplimiento normativo, según se actualicen ocasionalmente y utilicen tecnologías de cifrado estándar de la industria para transmitir y almacenar todos los Datos personales, y (z) almacenar y tratar de otro modo todos los Datos personales únicamente desde los Estados Unidos y otras ubicaciones designadas indicadas como ubicaciones de Procesamiento aprobadas en el Contrato.
   
• 7.2.2 tomar las medidas razonables para garantizar la fiabilidad de todos los empleados, personal y Subcontratistas del Proveedor a los que se les proporcionará acceso a los Datos personales;
   
• 7.2.3 garantizar que su programa de seguridad de la información incluya contraseñas estándar de la industria, cortafuegos, sistema operativo y protecciones antivirus y antimalware para proteger los Datos personales almacenados o manipulados de otro modo en sistemas informáticos;
   
• 7.2.4 cifrar, utilizando herramientas de cifrado estándar de la industria, todos los registros y archivos que (A) contengan Datos personales que el Proveedor transmita o envíe en forma inalámbrica o a través de redes públicas, y que (B) contengan Datos personales sensibles que el Proveedor: (x) almacena en computadoras portátiles o medios de almacenamiento, (y) almacena en dispositivos portátiles y (z) almacena en cualquier dispositivo que se transporte fuera de los controles físicos o lógicos del Proveedor. El Proveedor protegerá la seguridad, confidencialidad e integridad de todas las claves de cifrado asociadas con los Datos personales cifrados. Los “Datos personales sensibles” son Datos personales que, debido a su naturaleza, han sido clasificados por las Leyes de privacidad aplicables como merecedores de protección adicional de la privacidad y la seguridad, incluidos: (1) el nombre de un particular en combinación con los datos a continuación: (A) número del Seguro Social, Número de identificación del contribuyente, información contenida en un pasaporte u otro documento de viaje, número de licencia de conducir u otro número de identificación emitido por un gobierno u organismo público, o (B) número de cuenta financiera; (2) el nombre de usuario de un particular en combinación con la contraseña, PIN o código de acceso que conceda acceso a una cuenta en línea; (3) datos del titular de la tarjeta; (4) origen racial o étnico; (5) opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical; (6) datos genéticos; (7) datos biométricos; (8) datos de salud; (9) datos relativos a la vida sexual u orientación sexual de una persona física; (10) geolocalización precisa; (11) datos relativos a la ciudadanía o situación de inmigración de una persona física; y (12) el contenido del correo postal, correo electrónico o mensajes de texto cuando el Proveedor no sea el destinatario previsto;
   
• 7.2.5 mantener un programa de respuesta a incidentes que especifique las medidas que debe tomar el Proveedor cuando tenga motivos para creer que puede haber ocurrido o se ha producido una Filtración de datos personales;
   
• 7.2.6 cuando el Proveedor procese Datos del titular de la tarjeta en relación con los Servicios, cumplirá con los Estándares de PCI con respecto a los Datos del titular de la tarjeta. De conformidad con las obligaciones del Proveedor estipuladas en el Contrato, el Proveedor reconoce por el presente su responsabilidad por la protección y seguridad de los Datos del titular de la tarjeta en relación con la prestación de los Servicios. Además, el Proveedor declara y garantiza que no tomará ninguna medida que comprometa la capacidad de la Compañía para cumplir con los Estándares de PCI.
   
• 7.2.7 cuando el Proveedor, en forma directa o a través de cualquiera de sus filiales o Subcontratistas, se conecte a los sistemas informáticos o redes de la Compañía, garantiza que:
  (1) toda la interconectividad del Proveedor con los sistemas informáticos o redes de la Compañía y todos los intentos de establecerla serán solo a través de las puertas de enlace de seguridad/cortafuegos de la Compañía; (2) el Proveedor no accederá, y no permitirá que ninguna otra persona o entidad acceda, a los sistemas informáticos o redes de la Compañía sin la autorización de la Compañía y que dicho acceso real o intento de acceso será coherente con dicha autorización, y (3) los sistemas del Proveedor que se conectan a los sistemas o redes de la Compañía, y los sistemas del Proveedor que, de verse comprometidos, podrían afectar a la seguridad, confidencialidad, integridad o disponibilidad de los sistemas informáticos o redes de la Compañía, estarán protegidos activamente con un programa de detección/escaneo de malware estándar de la industria con definiciones de antivirus actualizadas, antes y durante el acceso a cualquiera de los sistemas informáticos o redes de la Compañía. El Proveedor acepta que la Compañía pueda realizar evaluaciones periódicas de la red y, en caso de que dicha evaluación revele una seguridad inadecuada por parte del Proveedor, sus filiales o Subcontratistas, la Compañía, además de otros recursos que pueda tener, puede suspender el acceso a sus sistemas informáticos o redes hasta que se haya resuelto dicho problema de seguridad.
   

7.3

El Proveedor acepta que: (1) se exigirá a sus empleados y agentes, como condición de empleo o retención, que protejan todos los Datos personales en posesión del Proveedor o adquiridos de otro modo por el Proveedor o accesibles para este; (2) sus empleados y agentes a los que se les proporcionará acceso o contacto con los Datos personales recibirán la capacitación adecuada en relación con la protección de los Datos personales; (3) mantendrá controles de acceso adecuados, que incluyen, entre otros, limitar el acceso a los Datos personales a la cantidad mínima de empleados y agentes del Proveedor que requieran dicho acceso con el fin de proporcionar bienes o servicios a la Compañía; e (4) impondrá las medidas disciplinarias adecuadas por las infracciones de sus políticas y procedimientos de seguridad de la información.

7.4

El Proveedor, según se especifica con más detalle en su WISP, realizará evaluaciones de riesgos periódicas para identificar y evaluar los riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de los registros electrónicos, impresos y otros registros que contengan Datos personales, y evaluará y mejorará, cuando sea necesario, la eficacia de sus protecciones para limitar esos riesgos internos y externos. El Proveedor llevará a cabo dichas revisiones y, según corresponda, revisará su WISP: (1) al menos una vez al año o siempre que haya un cambio sustancial en las prácticas comerciales del Proveedor que pueda afectar razonablemente la seguridad, confidencialidad o integridad de los Datos personales; (2) de acuerdo con las prácticas predominantes de la industria; (3) de acuerdo con cualquier Ley de privacidad nueva, modificada o reinterpretada, y (4) según lo solicite razonablemente la Compañía. El Proveedor se compromete a no alterar ni modificar su WISP ni sus salvaguardas de seguridad de un modo que debilite o comprometa la seguridad, confidencialidad o integridad de los Datos personales.

N/A