Apéndice sobre tratamiento de datos
Esta DPA forma parte integral de los Términos de Uso disponibles en https://controlhippo.com/ (los " Términos") y es aplicable cuando Nosotros/ControlHippo somos/es el Procesador de los Datos Personales de Usted/Cliente. En caso de conflicto entre esta DPA y los Términos, prevalecerá esta DPA.
El Responsable del tratamiento y el Encargado del tratamiento también se denominarán colectivamente las " Partes " e individualmente la " Parte ".
- Definiciones
Los términos no definidos específicamente en el presente documento tendrán el significado que se les atribuye en las Condiciones de Uso.
En el presente APD, los siguientes términos tendrán los significados que se indican a continuación: - 1.1 Por "Responsable del Tratamiento" se entenderá la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del Tratamiento de Datos Personales.
- 1.2 Por "Contenido del cliente" se entenderá los Datos personales enviados por el Cliente a los Servicios o almacenados en su nombre a través de la cuenta del Cliente en relación con el uso de los Servicios por parte del Cliente, lo que incluye datos electrónicos, cuerpos de correo electrónico, destinatarios de correo electrónico, texto, voz, vídeo, imágenes, sonido o registros de comunicación.
- 1.3 "Datos de suscripción del cliente" se refiere a los Datos personales relacionados con las interacciones y la asociación del Cliente con ControlHippo. Esto incluirá los nombres y/o detalles de contacto de los individuos autorizados por el Cliente para acceder a la cuenta del Cliente, junto con la información de facturación de los individuos que el Cliente ha asociado con su cuenta. Los Datos de Suscripción del Cliente también incluirán cualquier dato que ControlHippo pueda requerir recopilar con el fin de verificar la identidad, entre otras obligaciones legales.
- 1.4 "Datos de uso del cliente" se refiere a los datos relativos a la actividad de la cuenta del cliente procesados por ControlHippo con el fin de transmitir el Contenido del cliente al destinatario previsto. Esto incluirá los datos utilizados para identificar la fuente y el destino del Contenido del Cliente, como (a) los números de teléfono de los sujetos de datos individuales, la fecha, la hora, la duración y el tipo de comunicación, junto con los datos sobre la ubicación del dispositivo generados en el contexto de la prestación de los Servicios; y (b) los registros de comunicación utilizados para identificar la fuente de las solicitudes de Servicio, mejorar y prevenir el abuso del sistema.
- 1.5 Por "CCPA " se entenderá la Ley de Privacidad del Consumidor de California de 2018.
- 1.6 "Leyes de protección de datos" significará las leyes de protección de datos del país en el que está establecido y cualquier ley de protección de datos que le sea aplicable en relación con los Términos, incluidas, entre otras, (a) las leyes y reglamentos aplicables al GDPR, (b) con respecto al Reino Unido, el GDPR tal como se guardó en el Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 ("GDPR del Reino Unido") y la Ley de Protección de Datos, 2019 (c) la Ley Federal de Protección de Datos de Suiza y sus reglamentos de implementación ("DPA suiza") en cada caso, según se modifique, sustituya o reemplace.
- 1.7 "Interesado": toda persona física identificada o identificable.
- 1.8 Por "GDPR " se entenderá el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
- 1.9 Por "Cláusulas Contractuales Tipo" o "CEC " se entenderá (i) cuando se aplique el GDPR, las cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914 de 04 de junio de 2021) y disponibles en https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914 ("CEC de la UE"); (ii) cuando se aplique el GDPR del Reino Unido, el Anexo de Transferencia Internacional de Datos a las CEC de la UE emitido por el Comisario de Información del Reino Unido, Versión B1.0, en vigor desde el 21 de marzo de 2022, que figura como Apéndice IV ("CEC del Reino Unido") y (iii) cuando se aplique la DPA suiza, las cláusulas tipo de protección de datos aplicables emitidas, aprobadas o reconocidas por el Comisario Federal Suizo de Protección de Datos e Información (las "CEC suizas") (en cada caso, actualizadas, modificadas o sustituidas periódicamente).
- 1.10 Por "Datos Personales " se entenderá cualquier información relativa a un Sujeto de Datos que sea Procesada por el Procesador como parte de la prestación de los Servicios al Controlador.
- 1.11 Por "violación de datos personales" se entenderá una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a datos personales transmitidos, almacenados o tratados de otro modo.
- 1.12 "Política de privacidad" se refiere a la política de privacidad de ControlHippo en https://controlhippo.com/privacy/.
- 1.13 Por "Tratamiento" se entenderá cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, que se realicen con Datos Personales o conjuntos de Datos Personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como la limitación, supresión o destrucción.
- 1.14 Por "Encargado del tratamiento" se entenderá una persona física o jurídica, autoridad pública, agencia u otro organismo que trate Datos Personales por cuenta del Responsable del tratamiento.
- 1.15 Por "datos sensibles" se entenderán los datos personales consistentes en el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos destinados a identificar de manera unívoca a una persona física, los datos relativos a la salud, o los datos relativos a la vida sexual o a la orientación sexual de una persona física. También incluye información sobre delitos o condenas penales de una persona física, así como cualquier otra información considerada sensible en virtud de la legislación aplicable en materia de protección de datos.
- 1.16 "Servicios" se refiere a los servicios de plataforma de comunicación sincronizada basados en la nube proporcionados por ControlHippo a los que el Cliente se ha suscrito en virtud de las Condiciones.
- Alcance, duración y responsabilidades
- 2.1 La presente DPA se aplica al tratamiento de los Contenidos del Cliente.
- 2.2 ControlHippo Procesará el Contenido del Cliente durante la vigencia de este APD y sólo de acuerdo con este APD, especialmente como se menciona en el respectivo Apéndice.
- 2.3 Dentro del ámbito de aplicación de las Condiciones, cada una de las Partes será responsable del cumplimiento de sus respectivas obligaciones como Controlador y Procesador en virtud de las Leyes de Protección de Datos.
- Relación entre las partes
- 3.1 ControlHippo como Procesador: Las Partes reconocen y acuerdan que con respecto al Procesamiento del Contenido del Cliente, el Cliente puede actuar como Controlador o Procesador y ControlHippo es un Procesador.
- 3.2 ControlHippo como Controlador de los Datos de Suscripción del Cliente: Las Partes reconocen que, con respecto al Procesamiento de los Datos de Suscripción del Cliente, el Cliente es un Controlador y ControlHippo es un Controlador independiente, no un Controlador conjunto con el Cliente. Los Datos de Suscripción del Cliente serán Procesados de acuerdo con la Política de Privacidad de ControlHippo.
- 3.3 ControlHippo como Controlador de los Datos de Uso del Cliente: Las Partes reconocen que, con respecto al Procesamiento de los Datos de Uso del Cliente, el Cliente puede actuar como Controlador o Procesador y ControlHippo es un Controlador independiente, no un Controlador conjunto con el Cliente. Los Datos de Uso del Cliente serán Procesados de acuerdo con la Política de Privacidad de ControlHippo.
- Plazo y terminación
- 4.1 Este DPA entra en vigor cuando el Cliente se suscribe a los Servicios. Continuará en pleno vigor y efecto mientras ControlHippo esté procesando Contenido del Cliente de conformidad con los Términos y terminará automáticamente a partir de entonces.
- 4.2 Cuando se requieran modificaciones para garantizar el cumplimiento del presente APD o de un Apéndice con las Leyes de Protección de Datos, las Partes realizarán esfuerzos razonables para acordar dichas modificaciones a petición del Responsable del Tratamiento. Cuando las Partes no puedan llegar a un acuerdo sobre dichas modificaciones, cualquiera de ellas podrá poner fin al uso de los Servicios por parte del Cliente mediante notificación por escrito a la otra Parte con treinta (30) días de antelación.
- Instrucciones de procesamiento
- 5.1 ControlHippo procesará el Contenido del Cliente de acuerdo con las instrucciones del Cliente. Este APD contiene las instrucciones iniciales del Cliente a ControlHippo con respecto al Contenido del Cliente. Las Partes acuerdan que el Cliente podrá comunicar cualquier cambio en sus instrucciones iniciales a ControlHippo mediante la modificación del presente DPA.
- 5.2 Para evitar cualquier duda, cualquier instrucción que conduzca a un Tratamiento fuera del ámbito de aplicación de la presente DPA (por ejemplo, porque se introduzca una nueva finalidad de Tratamiento) requerirá un acuerdo previo entre las Partes.
- 5.3 ControlHippo informará por escrito y sin demora indebida al responsable del tratamiento si, en opinión de ControlHippo, una instrucción infringe las leyes de protección de datos, y proporcionará por escrito una explicación detallada de los motivos de su opinión.
- Personal de procesamiento
- 6.1 ControlHippo restringirá a su personal el Procesamiento del Contenido del Cliente sin autorización. ControlHippo impondrá a su personal las obligaciones contractuales adecuadas, incluidas las obligaciones pertinentes en materia de confidencialidad, protección de datos y seguridad de los datos.
- Divulgación a terceros; derechos de los interesados
- 7.1 ControlHippo no divulgará el Contenido del cliente a ninguna agencia gubernamental, tribunal o aplicación de la ley, excepto con el consentimiento por escrito del Controlador o según sea necesario para cumplir con las leyes obligatorias aplicables. Si ControlHippo se ve obligada a revelar el Contenido del cliente a una agencia de cumplimiento de la ley, ControlHippo se compromete a dar al Controlador un aviso razonable de la solicitud de acceso antes de conceder dicho acceso, para permitir al Controlador solicitar una orden de protección u otro recurso adecuado. Si dicha notificación está legalmente prohibida, ControlHippo tomará las medidas razonables para proteger el Contenido del Cliente de una divulgación indebida como si se tratara de la propia información confidencial de ControlHippo que se está solicitando e informará al Controlador con prontitud tan pronto como sea posible si y cuando dicha prohibición legal deje de aplicarse.
- 7.2 En caso de que el Controlador reciba cualquier solicitud o comunicación de los Sujetos de Datos que se relacione con el Procesamiento del Contenido del Cliente (" Solicitud "), ControlHippo proporcionará razonablemente al Controlador plena cooperación, información y asistencia (" Asistencia ") en relación con dicha Solicitud cuando así lo instruya el Controlador.
- 7.3 Cuando ControlHippo reciba una Solicitud, ControlHippo (i) no responderá directamente a dicha Solicitud, (ii) remitirá la solicitud al Controlador en un plazo de diez (10) días laborables a partir de la identificación de la Solicitud como relacionada con el Controlador y (iii) prestará Asistencia de acuerdo con las instrucciones posteriores del Controlador.
- Medidas técnicas y organizativas
- 8.1 ControlHippo implementará y mantendrá las medidas de seguridad técnicas y organizativas apropiadas para garantizar que el Contenido del Cliente sea Procesado de acuerdo con esta DPA, para proporcionar asistencia y proteger el Contenido del Cliente contra una Violación de Datos Personales (" TOMs "). Dichas medidas incluirán las medidas establecidas en el Apéndice 2.
- Asistencia para la evaluación del impacto de la protección de datos
- 9.1 Cuando se requiera una Evaluación de Impacto de Protección de Datos (" DPIA ") bajo las Leyes de Protección de Datos aplicables para el Procesamiento del Contenido del Cliente, ControlHippo proporcionará a petición del Cliente cualquier información y asistencia razonablemente requerida para la DPIA y asistencia para cualquier comunicación con las autoridades de protección de datos, cuando se requiera, a menos que la información o asistencia solicitada no pertenezca a las obligaciones de ControlHippo bajo este DPA.
- 9.2 El Cliente pagará a ControlHippo los cargos razonables por proporcionar la asistencia en esta cláusula 9 en la medida en que dicha asistencia no sea razonablemente capaz de ser acomodada dentro de la prestación normal de los Servicios.
- Derechos de información y auditoría
- 10.1 ControlHippo, de acuerdo con las Leyes de Protección de Datos, pondrá a disposición del Cliente, a petición y de manera oportuna, la información que sea necesaria para demostrar el cumplimiento por parte de ControlHippo de sus obligaciones en virtud de las Leyes de Protección de Datos.
- 10.2 ControlHippo permitirá y contribuirá, previo aviso razonable, a la realización de auditorías del Procesamiento por parte de ControlHippo del Contenido del Cliente, así como de los TOM (incluidos los sistemas de Procesamiento de datos, políticas, procedimientos y registros), durante el horario laboral habitual y con una interrupción mínima de las operaciones comerciales de ControlHippo. Dichas auditorías serán realizadas por el Cliente, sus filiales o un tercero independiente en nombre del Cliente (que no será un competidor del Procesador) que esté sujeto a obligaciones razonables de confidencialidad.
- 10.3 El Cliente pagará a ControlHippo los costes razonables de permitir o contribuir a auditorías o inspecciones de acuerdo con la cláusula 10 (b) cuando el Cliente desee realizar más de una auditoría o inspección cada 12 meses. 10.4. ControlHippo remitirá inmediatamente al Cliente cualquier solicitud recibida de las autoridades nacionales de protección de datos que esté relacionada con el Tratamiento por ControlHippo del Contenido del Cliente.
- 10.4 ControlHippo se compromete a cooperar con el Controlador en sus relaciones con las autoridades nacionales de protección de datos y con cualquier solicitud de auditoría recibida de las autoridades nacionales de protección de datos.
- Notificación de violación de datos personales
- 11.1 Con respecto a una violación de datos personales (real o razonablemente sospechada), ControlHippo deberá:
- (a) notificar al Cliente una Violación de Datos Personales que implique a ControlHippo o a un subcontratista sin demora indebida y será responsabilidad del Controlador informar a la Autoridad de Supervisión de dicha violación en un plazo de 72 horas a partir de la notificación por parte de ControlHippo;
- (b) proporcionar información, cooperación y asistencia razonables al Cliente en relación con cualquier acción que deba emprenderse en respuesta a una violación de datos personales en virtud de las leyes de protección de datos, incluida cualquier comunicación de la violación de datos personales a los interesados y a las autoridades nacionales de protección de datos.
- Subcontratación
- 12.1 El Cliente consiente que ControlHippo contrate a terceros subencargados del tratamiento, como se indica en el Apéndice 1, para procesar el Contenido del Cliente a fin de cumplir sus obligaciones en virtud del Acuerdo, siempre que ControlHippo notifique al administrador de la cuenta del Cliente con al menos quince (15) días de antelación al nombramiento o sustitución de cualquier subencargado del tratamiento. El Cliente podrá oponerse a la designación o sustitución de un subencargado por ControlHippo antes de su designación o sustitución, siempre que dicha oposición se base en motivos razonables relacionados con la protección de datos. En tal caso, ControlHippo no designará ni sustituirá al subencargado del tratamiento o, si esto no fuera posible, el Cliente podrá suspender o rescindir los Servicios (sin perjuicio de los honorarios en que haya incurrido el Cliente antes de dicha suspensión o rescisión).
- 12.2 Cuando ControlHippo, con el consentimiento del Cliente, subcontrate sus obligaciones y derechos en virtud de la presente DPA, lo hará únicamente mediante un contrato vinculante por escrito con el subprocesador que imponga esencialmente las mismas obligaciones de conformidad con el Art. 28 GDPR especialmente con respecto a instrucciones y TOMs en el sub-procesador que se imponen a ControlHippo bajo este DPA.
- 12.3 Cuando el subencargado del tratamiento incumpla sus obligaciones de protección de datos en virtud del acuerdo de subcontratación, ControlHippo seguirá siendo plenamente responsable ante el Cliente del cumplimiento de sus obligaciones en virtud del presente APD y del cumplimiento de las obligaciones del subencargado del tratamiento.
- Transferencias internacionales de datos
- 13.1 Las Partes acuerdan que cuando la transferencia del Contenido del Cliente del Controlador al Procesador sea una Transferencia Restringida y las Leyes de Protección de Datos aplicables requieran que se establezcan las salvaguardas apropiadas, dicha transferencia estará sujeta a las Cláusulas Contractuales Estándar apropiadas, que se considerarán incorporadas y formarán parte de este APD de la siguiente manera:
- a. En relación con las transferencias de Contenido del Cliente originadas en el EEE y sujetas al RGPD, se aplicarán los CEC de la UE, completados del siguiente modo:
- i. El Módulo 2 (Responsable del tratamiento a Responsable del tratamiento) se aplicará cuando Usted sea el Responsable del tratamiento y Nosotros seamos el Responsable del tratamiento;
- ii. en la cláusula 7, se aplicará la cláusula de acoplamiento opcional;
- iii. en la cláusula 11, no se aplicará el lenguaje opcional;
- iv. en la Cláusula 17, se aplicará la Opción 1, y las CEC de la UE se regirán por la legislación irlandesa;
- v. en la cláusula 18(b), los litigios se resolverán ante los tribunales de Irlanda;
- vi. El anexo I de las CEC de la UE se considerará completado con la información que figura en el apéndice I de la presente DPA;
- vii. El Anexo II de las CEC de la UE se considerará completado con la información establecida en el Apéndice II de la presente DPA; y
- viii. El anexo III de las CEC de la UE se considerará completado con la información que figura en el apéndice III de la presente DPA.
- b. En relación con las transferencias de Contenido del cliente con origen en Suiza y sujetas a la APD suiza, se aplicarán las CEC de la UE, tal y como se han implementado en el subapartado (a) anterior, con las siguientes modificaciones y constituirán las CEC suizas:
- i. las referencias al Reglamento (UE) 2016/679; se interpretarán como referencias a la APD suiza;
- ii. las referencias a artículos específicos del Reglamento (UE) 2016/679; se sustituirán por la sección equivalente de la DPA suiza;
- iii. las referencias a "UE", "Unión", "Estado miembro" y "Derecho de los Estados miembros" se sustituyen por referencias a "Suiza" o "Derecho suizo";
- iv. el término "Estado miembro" no se interpretará de forma que excluya a los interesados en Suiza de la posibilidad de reclamar sus derechos en su lugar de residencia habitual (es decir, Suiza);
- v. La cláusula 13(a) y la Parte C del Anexo I no se utilizan y el "supervisor competente" es el Comisario Federal Suizo de Información sobre Protección de Datos;
- vi. las referencias a la "autoridad de control competente" y a los "tribunales competentes" se sustituirán por referencias al "Comisario Federal Suizo de Información sobre Protección de Datos" y a los "tribunales aplicables de Suiza";
- vii. en la Cláusula 17, las Cláusulas Contractuales Tipo se regirán por las leyes de Suiza; y
- viii. La cláusula 18(b) estipulará que los litigios se resolverán ante los tribunales competentes de Suiza.
- ix. El Anexo I de las CEC suizas se considerará completado con la información establecida en el Apéndice I del presente APD;
- x. El Anexo II de las CEC suizas se considerará completado con la información establecida en el Apéndice II del presente APD; y
- xi. El Anexo III de las CEC suizas se considerará completado con la información establecida en el Apéndice III del presente APD.
- c. En relación con las transferencias de Datos Personales procedentes del Reino Unido y sujetas al GDPR del Reino Unido, se aplicarán las CSC del Reino Unido.
- 13.2 A los efectos de las descripciones en las CEC, usted acepta que usted es el "exportador de datos" y nosotros el "importador de datos".
- 13.3 Las Partes acuerdan que si las Cláusulas Contractuales Tipo son sustituidas, modificadas o dejan de ser reconocidas como válidas en virtud de las Leyes de Protección de Datos, o si una Autoridad de Control y/o las Leyes de Protección de Datos exigen la adopción de una solución de transferencia alternativa, el exportador de datos y el importador de datos: (i) adoptarán sin demora las medidas solicitadas, incluida la puesta en marcha de un mecanismo de transferencia alternativo para garantizar que el tratamiento siga cumpliendo las Leyes de Protección de Datos; o (ii) cesarán la transferencia del Contenido del Cliente y, a elección del exportador de datos, eliminarán o devolverán el Contenido del Cliente al exportador de datos.
- Supresión o devolución de datos personales
- 14.1 Tras la expiración de los Términos, ControlHippo eliminará todo el Contenido del Cliente, incluidos los Datos Personales en un plazo de dos (2) años. Dentro de dicho período de retención, el Cliente podrá exportar el Contenido del Cliente escribiendo a ControlHippo a [email protected]. Este requisito no se aplicará en la medida en que ControlHippo, como Procesador, esté obligado por la ley aplicable a retener algunos o todos los Datos Personales, en cuyo caso ControlHippo aislará y protegerá los Datos Personales de cualquier Procesamiento posterior excepto en la medida requerida por dicha ley.
- Compromiso del CCPA
- 15.1 El Cliente reconoce y acuerda que el Cliente es el Negocio y ControlHippo el Proveedor de Servicios con respecto a cualquier Información Personal de Consumidores (como esos términos son entendidos bajo la CCPA) formando parte del Contenido del Cliente. ControlHippo no venderá, retendrá, usará o divulgará Información Personal de Consumidores que ControlHippo Procese en nombre del Cliente cuando preste los Servicios bajo los Términos para cualquier propósito que no sea el propósito específico de prestar los Servicios de acuerdo con los Términos y como parte de la relación directa entre ControlHippo y el Cliente. ControlHippo certifica que entiende las restricciones de esta cláusula 15 y que cumplirá con dichas restricciones.
- Uso analítico de los contenidos de los clientes
- 16.1 El Cliente reconoce y concede a ControlHippo el derecho de uso del Contenido del Cliente para recopilar, utilizar, copiar, almacenar y transmitir dicho Contenido del Cliente, en cada caso únicamente en la medida necesaria para llevar a cabo los fines previstos por el Cliente, incluyendo pero no limitado a la realización de análisis para el aprendizaje automático.
- Varios
- 17.1 En caso de conflicto, las disposiciones de esta DPA prevalecerán sobre las disposiciones de cualquier otro acuerdo con ControlHippo.
- 17.2 Ninguna de las Partes recibirá remuneración alguna por el cumplimiento de sus obligaciones en virtud del presente APD, salvo que se establezca explícitamente en el presente o en otro acuerdo.
- 17.3 Cuando este DPA requiera una "notificación por escrito" dicha notificación también puede ser comunicada por correo electrónico a la otra Parte. Las notificaciones se enviarán a ControlHippo a [email protected] y al Cliente a la dirección de correo electrónico con la que se registró.
- 17.4 Cualquier acuerdo complementario o modificación del presente APD deberá realizarse por escrito y ser firmado por ambas Partes.
- 17.5 En caso de que alguna de las disposiciones del presente APD sea nula, inválida o inviable, ello no afectará a la validez de las restantes condiciones del acuerdo.
Los siguientes apéndices forman parte integrante de la presente DPA:
ANEXO 1
A LAS CLÁUSULAS CONTRACTUALES TIPO
DETALLES DEL TRATAMIENTO DE DATOS PERSONALES
Exportador de datos
El exportador de datos es el Cliente y el usuario de los Servicios.
Importador de datos
El importador de datos es ControlHippo, una empresa que presta servicios de plataforma de comunicación sincronizada basada en la nube.
Interesados
Los Datos Personales transferidos se refieren a las siguientes categorías de interesados:
Usuarios finales del exportador de datos. Los Datos Personales que el exportador de datos transferirá al importador de datos son determinados y controlados exclusivamente por el exportador de datos. El importador de datos recibirá estos Datos Personales en forma de Contenido del Cliente que el exportador de datos le indique que procese a través de sus productos y servicios.
Categorías de datos
Los Datos Personales transferidos se refieren a las siguientes categorías de datos (especifique):
Contenido del cliente: Tal y como se define en la Sección 1 ("Definiciones") del presente Contrato.
Categorías especiales de datos (si procede)
No se transferirá ningún Dato Sensible como parte del Contenido del Cliente.
Operaciones de tratamiento
Los Datos Personales transferidos serán objeto de las siguientes actividades básicas de Tratamiento (especifíquese):
ControlHippo debe procesar los datos recogidos de o para el Cliente o en relación con sus Servicios prestados al Cliente únicamente para prestar los servicios especificados en la DPA. La duración del tratamiento será la designada en el APD.
ControlHippo pretende utilizar el servicio de los siguientes subcontratistas para el Tratamiento de Datos Personales a partir de la fecha de entrada en vigor de este APD.
Nombre del subprocesador | Propósito |
Crisp | Atención al cliente por chat |
FreshService | Atención al cliente |
Hubspot | Gestión de datos |
Mailgun | Herramienta de correo electrónico |
Metabase | Análisis de datos |
Panel mixto | Seguimiento y análisis de datos |
Sendinblue | Marketing por correo electrónico |
Chargebee | Facturación |
Servicio web de Amazon | Servidores y alojamiento |
WHOISXMLAPI | Verificación de dominios |
MongoDB | Base de datos |
Microsoft Claridad | Grabación de pantallas de usuario |
Cookiepro | Herramienta de gestión de cookies |
AUTORIDAD SUPERVISORA COMPETENTE
Con respecto a los SCC:
Módulo 2: Transferir el controlador al procesador
Cuando el Cliente sea el exportador de datos, la autoridad de control será la autoridad de control competente que ejerza la supervisión sobre el Cliente de conformidad con la cláusula 13 de las CEC.
ANEXO 2
MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS
Seguridad de las organizaciones
- ControlHippo tiene las siguientes políticas establecidas, aprobadas por la dirección y documentadas. Las políticas serán continuamente mejoradas, revisadas al menos anualmente, y requieren que todos los empleados, contratistas y pasantes de ControlHippo las revisen y reconozcan anualmente. Se requiere evidencia de las políticas.
- 1.1 Política de seguridad de la información
- 1.2 Política de uso aceptable
- ControlHippo tiene las siguientes políticas establecidas, aprobadas por la dirección y documentadas. Las políticas se mejorarán continuamente y se revisarán al menos una vez al año. Se exigen pruebas de las políticas.
- 2.1 Política de control de acceso
- 2.2 Política de gestión de cambios
- 2.3 Política de gestión de dispositivos móviles
- 2.4 Política de teletrabajo
- Programa de sensibilización y formación en materia de seguridad
- 3.1 ControlHippo cuenta con un Programa de Concienciación sobre Seguridad que todos los empleados deben completar al ser contratados y, posteriormente, al menos una vez al año.
- Seguridad física
- 4.1 ControlHippo limitará el acceso a las áreas en las que se procesen los datos del Controlador y mantendrá registros de auditoría del acceso.
- 4.2 ControlHippo aplicará protocolos de seguridad.
- Gestión de activos
- 5.1 ControlHippo dispone de un sistema de gestión y seguimiento de todos los activos propiedad del procesador o gestionados por él.
Seguridad técnica
- Sistema operativo / Software / Aplicaciones
- 1.1 ControlHippo dispone de un método para comunicar y/o impulsar actualizaciones de parches de seguridad para sistemas operativos, software y aplicaciones desplegados en sus entornos.
- 1.2 Los parches y/o actualizaciones críticos se despliegan en los 30 días siguientes a su publicación.
- Credenciales de acceso
- 2.1 Todos los empleados que tienen acceso a los datos del Controlador o los conservan:
- a. Tener un identificador/cuenta de usuario único
- b. No comparta el identificador de usuario/cuenta con otros usuarios
- c. Deben autenticarse con un segundo factor
- 2.2 Las cuentas de usuario deben:
- a. Bloquear una cuenta de usuario después de 5 o menos intentos fallidos
- b. Permanecer bloqueado durante al menos 15 minutos
- Cifrado
- 3.1 ControlHippo utilizará cifrado de disco completo en todos los dispositivos gestionados por la empresa.
- 3.2 ControlHippo cifrará todos los datos del Controlador en tránsito y en reposo.
- Copias de seguridad
- 4.1 Si ControlHippo realiza una copia de seguridad de los datos del Controlador:
- a. Las copias de seguridad deben realizarse y almacenarse en un lugar seguro.
- b. Las copias de seguridad deberán estar encriptadas.
- Detección y prevención de intrusiones
- 5.1 ControlHippo dispone de un sistema de detección y prevención de intrusos en todas las sedes corporativas y de producción.
Anexo III - Lista de subencargados del tratamiento
Como se indica en el Apéndice I.
Apéndice IV: SCC del Reino Unido
Estos CEC del Reino Unido se incluirán como anexo a los CEC de la UE establecidos en la cláusula 12.1 (a) del presente APD.
Parte 1: Tablas
Para las transferencias de datos desde el Reino Unido que estén sujetas a las CEC del Reino Unido, las CEC del Reino Unido se considerarán suscritas (e incorporadas al presente Anexo sobre Tratamiento de Datos por esta referencia) y completadas de la siguiente manera:
- En la Tabla 1 de los CEC del Reino Unido, los detalles de las Partes y la información de contacto clave serán los establecidos en el Anexo A.A.
- En la Tabla 2 de las CEC del Reino Unido, la información sobre la versión de las CEC aprobadas de la UE, los módulos y las cláusulas seleccionadas a las que se adjunta esta CEC del Reino Unido será la establecida en las cláusulas 11.1 y 12.1(a)(i), (ii), (iii), (iv) de este APD.
- En la Tabla 3 de los SCC del Reino Unido:
- 3.1 Anexo 1A: Lista de Partes: Las Partes son las que figuran en el Apéndice I.A.
- 3.2 Anexo 1B: Descripción de la transferencia: La descripción de la transferencia es la que figura en el Anexo I.B.
- 3.3 Anexo II: Medidas técnicas y organizativas que incluyen medidas técnicas y organizativas para garantizar la seguridad de los datos: Las medidas técnicas y organizativas son las que figuran en el Anexo II.
- 3.4 Anexo III: Lista de subtransformadores: Los subtransformadores son los que figuran en el Apéndice I.B.
- En el cuadro 4 de las CEC del Reino Unido, tanto el importador como el exportador de datos pueden poner fin a las CEC del Reino Unido de conformidad con los términos de las CEC del Reino Unido.
Parte 2: Cláusulas obligatorias
Cláusulas Obligatorias de la Adenda Aprobada, siendo la plantilla Adenda B.1.0 emitida por la OIC y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, ya que se revisa en virtud de la Sección 18 de dichas Cláusulas Obligatorias.