Apéndice sobre el Tratamiento de Datos (DPA)

Firmar la versión en línea

Este Apéndice sobre el Tratamiento de Datos (“DPA”) forma parte de las Condiciones del Servicio de monday.com u otro acuerdo que rija el uso de los servicios de monday.com (“Acuerdo”) suscritos por usted, el Cliente (según lo definido en el Acuerdo) (en conjunto, “usted”, “su”, “Cliente”) y monday.com Ltd. (“monday.com”, “nos”, “nosotros”, “nuestro(a)”) para reflejar el acuerdo de las partes en relación con el Tratamiento de Datos Personales por parte de monday.com únicamente en nombre del Cliente. Ambas partes se denominarán las “Partes” y cada una, una “Parte”.

Los términos en mayúsculas no definidos en el presente tendrán los significados asignados a dichos términos en el Acuerdo.

Al usar los Servicios, el Cliente acepta este DPA, y declara y garantiza que tiene capacidad plena para obligar al Cliente en virtud de este DPA. Si no pudiera cumplir este DPA y estar obligado por él o si no está de acuerdo con el DPA o no tiene la capacidad para obligar al Cliente o a cualquier otra entidad, no nos proporcione Datos Personales.

En caso de conflicto entre determinadas disposiciones de este DPA y las disposiciones del Acuerdo, las disposiciones de este DPA prevalecerán sobre todas las demás disposiciones en conflicto del Acuerdo solo en relación con el Tratamiento de Datos Personales.

DEFINICIONES

Definiciones:

“Afiliado”

Hace referencia a cualquier entidad que directa o indirectamente controla, está controlada por o está bajo control común con la entidad en cuestión. “Control”, a los efectos de esta definición, significa propiedad o control directo o indirecto de más del 50 % de los intereses de votación de la entidad objeto.

“Afiliado autorizado”

Hace referencia a cualquiera de los Afiliados del Cliente que tenga permiso explícito para usar el Servicio de conformidad con el Acuerdo entre el Cliente y monday.com, pero que no ha firmado su propio acuerdo con monday.com y no es un “Cliente” según se define en el Acuerdo.

“CCPA”

Hace referencia a la Ley de Privacidad del Consumidor de California de 2018, artículos 1798.100 et. seq. del Cód. Civ. de California.

Los términos “Controlador”, “Sujetos de Datos”, “Estado Miembro”, “Procesador”, “Tratamiento” y “Autoridad de Control”

tendrán el mismo significado que en el RGPD. Los términos “Negocio”, “Fin Comercial”, “Consumidor” y “Proveedor de Servicios” tendrán el mismo significado que en la CCPA.

Para mayor claridad dentro de este DPA, “Controlador”

también significará “Negocio” y “Procesador” también significará “Proveedor de Servicios”. De la misma manera, el Subprocesador del Procesador también se referirá al concepto de Proveedor de Servicios.

“Leyes de Protección de Datos”

Hace referencia a todas las leyes y reglamentos de privacidad y protección de datos, incluidas dichas leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo y sus Estados Miembro, Suiza, el Reino Unido y los Estados Unidos de América, según corresponda al Tratamiento de Datos Personales en virtud del Acuerdo.

“Sujetos de Datos”

Hace referencia a la persona identificada o identificable con quien se relacionan los datos personales.

“RGPD”

Hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

“Datos Personales” o “Información Personal”

Hace referencia a toda información que identifique, se relacione con, describa, sea capaz de asociarse o pueda razonablemente vincularse, directa o indirectamente, a una persona física identificada o identificable o un Consumidor (según se define en la CCPA), procesada por monday.com solo en nombre del Cliente, en virtud de este DPA y el Acuerdo entre el Cliente y el Procesador.

“Documentación de Seguridad”

Hace referencia a la Documentación de Seguridad aplicable al Servicio adquirido por el Cliente, con sus modificaciones oportunas, y a la que se puede acceder en https://monday.com/trustcenter/datasecure/ o de cualquier otra manera razonable que monday.com ofrezca.

“Subprocesador”

Hace referencia a todo tercero que procese Datos Personales con las instrucciones o la supervisión de monday.com.

“Cláusulas Contractuales Estándar”

Hace referencia a las cláusulas contractuales estándar y los anexos y apéndices relacionados disponibles en www.monday.com/terms/scc (“SCC de monday.com”), o, con respecto a las transferencias posteriores del Procesador a un Subprocesador según la sección C del Anexo A de las Cláusulas Contractuales Estándar (SCC) de monday.com, también las cláusulas contractuales estándar para la transferencia de datos personales a procesadores o subprocesadores establecidos en otros países, como lo adopte la Comisión Europea oportunamente en virtud de la Directiva 95/46/EC o el RGPD, según corresponda.

TRATAMIENTO DE DATOS PERSONALES

Funciones de las Partes.

Las Partes reconocen y acuerdan que, con respecto al Tratamiento de Datos Personales realizado solo en nombre del Cliente, (i) el Cliente es el Controlador de los Datos Personales que se incluyen en los Datos de Cliente (como se define en el Acuerdo), (ii) monday.com es el Procesador de dichos Datos Personales que se incluyen en los Datos de Cliente; (iii) para los fines de la CCPA (y en la medida que corresponda), el Cliente es el “Empresa” y monday.com es el “Proveedor de Servicios” (como se definen dichos términos en la CCPA), con respecto al Tratamiento de Datos Personales descritos en esta cláusula 2.1. En el presente, los términos “Controlador” y “Procesador” abajo hacen referencia al Cliente y a monday.com, respectivamente.

Tratamiento de Datos Personales por parte del cliente.

El Cliente, al utilizar el Servicio y las instrucciones del Cliente para el Procesador, cumplirá las Leyes de Protección de Datos. El Cliente establecerá y tendrá todos y cada uno de los motivos legales necesarios para recopilar, procesar y transferir al Procesador los Datos Personales, y para autorizar el Tratamiento por parte del Procesador, y para las actividades de Tratamiento del Procesador en nombre del Cliente, incluidos los “fines comerciales” como se define en la CCPA.

Tratamiento de Datos Personales por parte del Procesador.

Cuando el Tratamiento se realice solo en nombre del Cliente en virtud del Acuerdo, el Procesador deberá procesar los Datos Personales para los siguientes fines: (i) Tratamiento de conformidad con el Acuerdo y este DPA; (ii) Tratamiento para que el Cliente pueda utilizar el Servicio; (iii) Tratamiento para cumplir las instrucciones razonables y documentadas del Cliente, cuando dichas instrucciones sean coherentes con los términos del Acuerdo, con respecto a cómo se ejecutará el Tratamiento; (iv) Tratamiento de Datos Personales completamente anónimo, no identificable y no personal; (v) Tratamiento según lo exigido por las leyes aplicables al Procesador, siempre que el Procesador informe al Cliente del requisito legal antes del Tratamiento, a menos que la ley prohíba dicha información con justificaciones relevantes de interés público.

El Procesador deberá informar al Cliente sin demora injustificada si, en opinión del Procesador, una instrucción para el Tratamiento de Datos Personales dada por el Cliente infringe las Leyes de Protección de Datos aplicables. En la medida que el Procesador no pueda cumplir una instrucción del Cliente, el Procesador (i) deberá informar al Cliente, proporcionando detalles relevantes del problema, (ii) el Procesador puede, sin responsabilidad para el Cliente, cesar temporalmente todo el Tratamiento de los Datos Personales afectados (que no sea el almacenamiento seguro de dichos datos) o suspender el acceso a la Cuenta, y (iii) si las Partes no acuerdan una resolución al problema en cuestión y sus costos, el Cliente puede, como único recurso, rescindir el Acuerdo y este DPA con respecto al Tratamiento afectado, y el Cliente deberá pagar al Procesador todos los montos adeudados al Procesador o adeudados antes de la fecha de rescisión. El Cliente no tendrá más reclamos contra el Procesador (incluidos, entre otros, solicitar reembolsos por el Servicio) en virtud de la rescisión del Acuerdo y el DPA como se describe en este párrafo.

Detalles del Tratamiento.

El objeto del Tratamiento de Datos Personales por el Procesador es la prestación del Servicio de conformidad con el Acuerdo. La duración del Tratamiento, la naturaleza y el propósito del Tratamiento, los tipos de Datos Personales y las categorías de los Sujetos de Datos Procesados en virtud de este DPA se especifican en el Anexo 1 (Detalles del Tratamiento) de este DPA.

Estándar de atención de la CCPA; prohibición de venta de Información Personal.

El Procesador reconoce y confirma que no recibe ni procesa ninguna Información Personal como contraprestación por los servicios u otros elementos que el Procesador proporciona al Cliente en virtud del Acuerdo. El Procesador no tendrá, derivará ni ejercerá ningún derecho o beneficio con respecto a la Información Personal Procesada en nombre del Cliente, y podrá utilizar y divulgar Información Personal solo para los fines para los que se le proporcionó dicha Información Personal, según se estipula en el Acuerdo y en este DPA. El Procesador certifica que comprende las reglas, los requisitos y las definiciones de la CCPA y acepta abstenerse de vender (según se define dicho término en la CCPA) toda Información Personal Procesada en virtud del presente, sin el consentimiento previo por escrito del Cliente, ni tomar ninguna acción que pueda hacer que una transferencia de Información Personal al Procesador o desde este según el Acuerdo o este DPA califique como “venta” de dicha Información Personal en virtud de la CCPA.

DERECHOS DE LOS SUJETOS DE DATOS

Derechos de los Sujetos de Datos.

El Procesador deberá, en la medida en que lo permita la ley, notificar de inmediato al Cliente o remitir al Sujeto de Datos o Consumidor, según sea el caso, al Cliente, si el Procesador recibe una solicitud de un Sujeto de Datos o Consumidor para ejercer sus derechos (en la medida en que sea posible según la ley pertinente) de acceso, derecho de rectificación, restricción del Tratamiento, eliminación (“derecho a ser olvidado”), portabilidad de datos, objeción al Tratamiento, su derecho a no estar sujeto a una toma de decisiones individual automatizada, optar por no participar de la venta de Información Personal, o el derecho a no ser discriminado por ejercer cualquier derecho del consumidor de la CCPA (“Solicitud del Sujeto de Datos”). Según la naturaleza del Tratamiento, el Procesador asistirá al Cliente con las medidas técnicas y organizativas adecuadas, en la medida de lo posible y razonable, para cumplir la obligación del Cliente de responder a una Solicitud del Sujeto de Datos en virtud de las Leyes de Protección de Datos. El Procesador puede remitir las Solicitudes de Sujetos de Datos recibidas, y los Sujetos de Datos que las realizan, directamente al Cliente para que responda a dichas solicitudes.

PERSONAL DEL PROCESADOR

Confidencialidad.

El Procesador se asegurará de que su personal involucrado en el Tratamiento de Datos Personales se comprometa con la confidencialidad.

Divulgaciones permitidas.

Sin perjuicio de la cláusula 2.3 anterior y la cláusula 5 abajo, el Procesador puede divulgar y Procesar los Datos Personales (a) en la medida requerida por un tribunal de jurisdicción competente u otra autoridad gubernamental o semigubernamental competente, o (b) según lo requieran las Leyes de Protección de Datos pertinentes (en tal caso, el Procesador deberá informar al Cliente sobre el requisito legal antes de la divulgación, a menos que esté legalmente prohibido hacerlo), o (c) sobre la base de la “necesidad de saber” en virtud de una obligación de confidencialidad a sus asesores legales, asesores de protección de datos y contables.

SUBPROCESADORES

Designación de subprocesadores.

El Cliente reconoce y acepta que (a) los Afiliados del Procesador pueden contratarse como Subprocesadores; y (b) el Procesador y los Afiliados del Procesador pueden contratar Subprocesadores externos en relación con la prestación del Servicio.

Lista de subprocesadores actuales y notificación sobre subprocesadores nuevos.

El Procesador pone a disposición del Cliente la lista vigente y actualizada de Subprocesadores que el Procesador usa para procesar Datos Personales en www.monday.com/terms/subprocessors.

La lista de Subprocesadores incluye las identidades de esos Subprocesadores y el país de la entidad (“Lista de Subprocesadores”). La Lista de Subprocesadores a partir de la fecha del primer uso del Servicio por parte del Cliente se considera autorizada, tras el primer uso del Servicio. El Cliente puede oponerse razonablemente al uso por parte del Procesador de un Subprocesador actual enviando una objeción por escrito a legal@monday.com. Si el Cliente se opone razonablemente a un Subprocesador actual, según lo permitido arriba, el Cliente puede, como único recurso, rescindir el Acuerdo pertinente y este DPA con respecto solo a aquellos Servicios que el Procesador no puede proporcionar sin el uso del Subprocesador objetado mediante notificación por escrito al Procesador, siempre que todos los montos adeudados en virtud del Acuerdo antes de la fecha de rescisión con respecto al Tratamiento en cuestión se paguen debidamente al Procesador. El Cliente no tendrá más reclamos contra el Procesador debido a (i) el uso pasado de Subprocesadores aprobados antes de la fecha de la objeción o (ii) la rescisión del Acuerdo (incluidas, entre otras acciones, la solicitud de reembolsos) y el DPA en la situación descrita en este párrafo.

La página web del Procesador, a la que se puede acceder en www.monday.com/terms/subprocessors,

ofrece un mecanismo para suscribirse a las notificaciones de Subprocesadores nuevos que se utilizan para Procesar Datos Personales, a las que el Cliente puede suscribirse y, cuando el Cliente se suscribe, el Procesador debe notificarle sobre cualquier Subencargado(s) nuevo(s) antes de autorizar a dicho(s) Subencargado(s) para Procesar Datos Personales en relación con la prestación del Servicio.

Derecho de objeción sobre Subprocesadores nuevos.

El Cliente puede objetar razonablemente el uso por parte del Procesador de un Subprocesador nuevo, por razones relacionadas con la protección de los Datos Personales que dicho Subprocesador debe procesar, notificando al Procesador de inmediato por escrito dentro de los tres (3) días hábiles posteriores a la recepción de la notificación del Procesador, de conformidad con el mecanismo establecido en la cláusula 5.2.2. Dicha objeción por escrito debe incluir las razones para objetar el uso de dicho Subprocesador nuevo por parte del Procesador. Si el Cliente no envía una objeción por escrito en relación con dicho Subprocesador nuevo dentro de los tres (3) días hábiles posteriores a la recepción de la notificación del Procesador, se considerará que acepta al Subprocesador nuevo. Si el Cliente se opone razonablemente a un Subprocesador nuevo, según lo permitido arriba, el Procesador deberá hacer todos los esfuerzos razonables para poner a disposición del Cliente un cambio en el Servicio o recomendar un cambio comercialmente razonable a la configuración del Cliente o el uso del Servicio para evitar el Tratamiento de Datos Personales por parte del Subprocesador nuevo objetado sin cobrarle en exceso al Cliente de manera irrazonable. Si el Procesador no puede poner a disposición dicho cambio dentro de los treinta (30) días, el Cliente puede, como único recurso, rescindir el Acuerdo pertinente y este DPA con respecto solo a aquellos Servicios que el Procesador no puede proporcionar sin el uso del Subprocesador nuevo objetado, mediante notificación por escrito al Procesador. Los montos adeudados en virtud del Acuerdo antes de la fecha de rescisión con respecto al Tratamiento en cuestión se deben pagar en su totalidad al Procesador. Hasta que se tome una decisión con respecto al Subprocesador nuevo, el Procesador puede suspender temporalmente el Tratamiento de los Datos Personales afectados o suspender el acceso a la Cuenta. El Cliente no tendrá más reclamos contra el Procesador luego de la rescisión del Acuerdo (que incluyen, entre otros, la solicitud de reembolsos) o el DPA en la situación que se describe en este párrafo.

Acuerdos con Subprocesadores.

El Procesador o el Afiliado del Procesador ha celebrado un acuerdo por escrito con cada Subprocesador que incluye garantías adecuadas para la protección de los Datos Personales. Cuando el Procesador contrate a un Subprocesador nuevo para ejecutar actividades de Tratamiento específicas en nombre del Cliente, se impondrán a dicho Subprocesador nuevo por medio de un contrato las mismas obligaciones de protección de datos que se establecen en este DPA, u obligaciones significativamente similares, en particular, que brinden garantías suficientes para implementar medidas técnicas y organizativas apropiadas de manera que el tratamiento cumpla los requisitos del RGPD. Cuando el Subprocesador nuevo no cumpla sus obligaciones de protección de datos, el Procesador seguirá siendo completamente responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador nuevo.

Seguridad

Controles para la Protección de Datos Personales.

El Procesador deberá mantener medidas técnicas y organizativas estándar de la industria para la protección de los Datos Personales Procesados en virtud del presente (incluida la protección contra el Tratamiento no autorizado o ilegal y contra la destrucción, pérdida o alteración o daño accidental o ilegal, divulgación o acceso no autorizado a los Datos Personales), la confidencialidad y la integridad de los Datos Personales, incluidas las medidas establecidas en la Documentación de Seguridad, que puede modificarse oportunamente. Previa solicitud razonable por parte del Cliente, el Procesador deberá ayudar al Cliente, a costa del Cliente, a garantizar el cumplimiento de las obligaciones de conformidad con los artículos 32 al 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información que tiene disponible el Procesador de Datos.

Auditorías e inspecciones.

Previa solicitud por escrito con 14 días de antelación por parte del Cliente en intervalos razonables (no más de una vez cada 12 meses), y sujeto a estrictos compromisos de confidencialidad por parte del Cliente, el Procesador deberá poner a disposición del Cliente que no sea un competidor del Procesador (o de un auditor independiente, de buena reputación y externo del Cliente que no sea un competidor del Procesador y que no esté en conflicto con el Procesador, sujeto a compromisos de confidencialidad y no competencia) toda la información necesaria para demostrar el cumplimiento de este DPA y permitir las auditorías y contribuir con ellas, incluidas las inspecciones realizadas (siempre que el Cliente solo utilice dicha información, auditorías, inspecciones y resultados, incluidos los documentos que reflejen el resultado de la auditoría o las inspecciones, para evaluar el cumplimiento de este DPA y no para ningún otro fin ni se divulgue a ningún tercero sin la aprobación previa por escrito del Procesador. Tras la primera solicitud del Procesador, el Cliente deberá devolver todos los registros o documentos que posea el Cliente o que tenga bajo su control y que hayan sido proporcionados por el Procesador en el contexto de la auditoría o la inspección). El Cliente deberá a asumir todos los costos y gastos que surjan de esta cláusula o estén relacionados con ella. En la medida que apliquen las Cláusulas Contractuales Estándar, nada en esta cláusula 6.2 varía ni modifica las Cláusulas Contractuales Estándar ni afecta los derechos de ninguna autoridad de control o del sujeto de datos en virtud de las Cláusulas Contractuales Estándar.

GESTIÓN Y NOTIFICACIÓN DE INCIDENTES RELACIONADOS CON DATOS

El Procesador mantiene políticas y procedimientos de gestión de incidentes de seguridad y, en la medida en que lo requieran las leyes de protección de datos pertinentes, deberá notificar al cliente sin demoras injustificadas cuando tome conocimiento de la destrucción, pérdida o alteración accidental o ilegal, la divulgación o el acceso no autorizado a los Datos Personales Procesados en nombre del Cliente, incluidos los Datos Personales transmitidos, almacenados o procesados de otro modo por el Procesador o sus Subprocesadores de los que el Procesador tenga conocimiento (un “Incidente Relacionado con Datos”). El Procesador deberá hacer todos los esfuerzos razonables para identificar la causa de dicho Incidente Relacionado con Datos y tomar las medidas que el Procesador considere necesarias y razonables para remediar la causa de dicho Incidente Relacionado con Datos en la medida que la reparación esté dentro del control razonable del Procesador. Las obligaciones en este documento no se aplicarán a los incidentes causados por el Cliente o los usuarios del Cliente. El Cliente no podrá hacer, divulgar ni publicar ningún hallazgo, admisión de responsabilidad, comunicación, aviso, comunicado de prensa o informe sobre cualquier Incidente Relacionado con Datos que identifique directa o indirectamente al Procesador (incluso en cualquier procedimiento legal o en cualquier notificación a las autoridades reguladoras o de control o a las personas afectadas) sin la aprobación previa por escrito del Procesador, a menos que, y solo en la medida en que, el Cliente esté obligado a hacerlo de conformidad con las Leyes de Protección de Datos pertinentes. En el último caso, a menos que lo prohíba la ley, el Cliente deberá proporcionar al Procesador un aviso previo razonable por escrito para brindarle al Procesador la oportunidad de oponerse a dicha divulgación y, en cualquier caso, el Cliente deberá limitar la divulgación al alcance mínimo requerido.

DEVOLUCIÓN Y ELIMINACIÓN DE DATOS PERSONALES

Tras la rescisión del Acuerdo y sujeto al mismo, el Procesador, a elección del Cliente (según lo informado a través del Servicio o en una notificación por escrito al Procesador), deberá eliminar o devolver al Cliente todos los Datos Personales que Procese solo en nombre del Cliente como se describe en el Acuerdo, y el Procesador deberá eliminar las copias existentes de dichos Datos Personales a menos que las Leyes de Protección de Datos requieran o autoricen el almacenamiento de los Datos Personales. En la medida que lo autorice o exija la ley pertinente, el Procesador también puede retener una copia de los Datos Personales solo para fines de evidencia o para la presentación, el ejercicio o la defensa de reclamos legales o el cumplimiento de obligaciones legales.

TRANSFERENCIAS INTERNACIONALES DE DATOS

Transferencias desde el EEE, Suiza y el Reino Unido a países que ofrecen un nivel adecuado de protección de datos.

Los Datos Personales se pueden transferir desde los Estados Miembros de la UE, los tres países miembros del EEE (Noruega, Liechtenstein e Islandia) (en conjunto, “EEE”), Suiza y el Reino Unido (“Reino Unido”) a aquellos países que ofrezcan un nivel adecuado de protección de datos en virtud de las decisiones de adecuación publicadas por las autoridades de protección de datos pertinentes del EEE, la Unión Europea, los Estados Miembros o la Comisión Europea, o Suiza o el Reino Unido, según corresponda (“Decisiones de Adecuación”), según corresponda, sin necesidad de protecciones adicionales.

Transferencias a otros países.

Si el Tratamiento de Datos Personales por parte del Procesador incluye transferencias (directas o a través de transferencias posteriores) desde el EEE, Suiza o el Reino Unido a otros países que no han sido sujetos a una Decisión de Adecuación relevante, y dichas transferencias no se realizan a través de un mecanismo de cumplimiento reconocido alternativo que pueda ser adoptado por el Procesador para la transferencia legal de datos personales (según se define en el RGPD) fuera del EEE, Suiza o el Reino Unido, según corresponda, se aplicarán las Cláusulas Contractuales Estándar.

Cuando la transferencia de Datos Personales esté sujeta a las Cláusulas Contractuales Estándar, el “Importador de Datos” en virtud del presente será el Procesador o su Subprocesador, según sea el caso y según lo determine el Procesador, y el “Exportador de Datos” será el Controlador de dichos Datos Personales. Si es necesario, el Procesador se asegurará de que su Subprocesador suscriba las Cláusulas Contractuales Estándar con el Cliente directamente, y en tal caso, por el presente, el Cliente instruye y obliga al Procesador a que firme las Cláusulas Contractuales Estándar con dicho Subprocesador en nombre y representación del Cliente. Las Cláusulas Contractuales Estándar no se aplicarán a los Datos Personales que se relacionen con personas ubicadas fuera del EEE, o que no se transfieran, ya sea directamente o mediante transferencia posterior, fuera del EEE.

AFILIADOS AUTORIZADOS

Relación contractual.

Las Partes reconocen y aceptan que, al suscribir el DPA, el Cliente celebra el DPA en nombre propio y, según corresponda, en nombre y en representación de sus Afiliados Autorizados, en cuyo caso cada Afiliado Autorizado acepta estar obligado por las obligaciones del Cliente en virtud de este DPA, si y en la medida que el Cliente procese Datos Personales en nombre de dichos Afiliados Autorizados, habilitándolos así como “Controladores”. Todo acceso y uso del Servicio por Afiliados Autorizados debe cumplir los términos y condiciones del Acuerdo y este DPA y toda violación de sus términos y condiciones por un Afiliado Autorizado se considerará una violación por el Cliente.

Comunicación.

El Cliente seguirá siendo responsable de coordinar todas las comunicaciones con el Procesador en virtud del Acuerdo y este DPA y tendrá derecho a realizar y recibir toda comunicación en relación con este DPA en nombre de sus Afiliados Autorizados.

OTRAS DISPOSICIONES

Evaluación del impacto de la protección de datos.

Previa solicitud razonable por el Cliente, el Procesador deberá proporcionar al Cliente, a costo del Cliente, la cooperación y asistencia razonables necesarias para cumplir la obligación del Cliente en virtud del RGPD (según corresponda) para llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso del Servicio por el Cliente, en la medida que el Cliente no tenga acceso a la información relevante y que dicha información esté disponible para el Procesador. El Procesador deberá proporcionar, a costo del Cliente, asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Control en el cumplimiento de sus tareas relacionadas con esta cláusula 11.1, en la medida que lo exija el RGPD.

Modificaciones por parte del Cliente.

El Cliente puede, con al menos cuarenta y cinco (45) días calendario de notificación previa por escrito al Procesador, solicitar por escrito cualquier modificación a este DPA que se requiera como resultado de cualquier cambio o decisión de una autoridad competente en virtud de cualquier Ley de Protección de Datos, para permitir que el Tratamiento de los Datos Personales del Cliente se realice, o continúe realizándose, sin infringir esa Ley de Protección de Datos. En virtud de dicha notificación: (a) el Procesador deberá realizar los esfuerzos comercialmente razonables para adaptarse a dicha modificación solicitada por el Cliente o que el Procesador considere necesaria; y (b) el Cliente no deberá retener o retrasar injustificadamente el acuerdo sobre las consiguiente modificaciones de este DPA propuestas por el Procesador para proteger al Procesador contra riesgos adicionales, o para indemnizar y compensar al Procesador por cualquier otro paso y costo asociado con las modificaciones realizadas en el presente a pedido del Cliente. Las Partes deberán discutir sin demora las modificaciones propuestas y negociar de buena fe con el fin de acordar e implementar dichas modificaciones o alternativas diseñadas para abordar los requisitos identificados en la notificación del Cliente tan pronto como sea razonablemente posible. En caso de que las Partes no puedan llegar a dicho acuerdo dentro de los 30 días posteriores a dicha notificación, el Cliente o el Procesador podrán, mediante notificación por escrito a la otra Parte, con efecto inmediato, rescindir el Acuerdo en la medida que se relacione con el Servicio que se ve afectado por las modificaciones propuestas (o la falta de ellas). El Cliente no tendrá más reclamos contra el Procesador (incluidos, entre otros, solicitar reembolsos por el Servicio) de conformidad con la rescisión del Acuerdo y el DPA como se describe en esta sección.

Modificaciones por parte del Procesador.

 El Procesador podrá, con al menos treinta (30) días calendario de notificación por escrito al Cliente, modificar los términos de este DPA o cualquier Cláusula Contractual Estándar pertinente de conformidad con la cláusula 9 de este DPA, según sea necesario para permitir que se realice, o se continúe realizando, el Tratamiento de Datos Personales sin infringir las Leyes de Protección de Datos pertinentes, o para proteger de otro modo los intereses del Procesador o del Cliente, en cada caso según lo determine razonablemente el Procesador a su discreción. El uso continuado del Servicio por el Cliente cuando haya terminado el período de notificación significará la aceptación de dichos términos revisados. Si el Cliente se opone a dichas modificaciones dentro del período de notificación, las Partes deberán discutir sin demora las modificaciones propuestas y negociar de buena fe con el fin de acordar e implementar dichas modificaciones o alternativas diseñadas para abordar los requisitos identificados en la notificación del Procesador tan pronto como sea razonablemente posible. En caso de que las Partes no puedan llegar a dicho acuerdo dentro de los 30 días posteriores a dicha notificación, el Cliente o el Procesador podrán, mediante notificación por escrito a la otra Parte, con efecto inmediato, rescindir el Acuerdo en la medida que se relacione con el Servicio que se ve afectado por las modificaciones propuestas (o la falta de ellas). El Cliente no tendrá más reclamos contra el Procesador (incluidos, entre otros, solicitar reembolsos por el Servicio) de conformidad con la rescisión del Acuerdo y el DPA como se describe en esta sección.

ANEXO 1: DETALLES DEL TRATAMIENTO

Naturaleza y propósito del tratamiento

1. Brindar el Servicio al Cliente.
2. Ejecutar el Acuerdo, este DPA u otros contratos celebrados por las Partes.
3. Actuar según las instrucciones del Cliente, cuando dichas instrucciones sean coherentes con los términos del Acuerdo.
4. Brindar soporte y mantenimiento técnico, si se estipula en el Acuerdo.
5. Prevenir, mitigar e investigar los riesgos de incidentes relacionados con la seguridad de datos, fraude, error o cualquier actividad ilegal o prohibida.
6. Resolver controversias.
7. Hacer cumplir el Acuerdo o el DPA, o defender los derechos del Procesador.
8. Cumplir las leyes y normativas correspondientes.
9. Todas las tareas relacionadas con cualquiera de las anteriores.

Duración del tratamiento

Sujeto a toda cláusula del DPA o del Acuerdo que establezca la duración del Tratamiento y las consecuencias del vencimiento o la rescisión de este, el Procesador procesará los Datos Personales conforme al DPA y el Acuerdo mientras dure el Acuerdo, a menos que se acuerde lo contrario por escrito.

Tipo de Datos Personales

El Cliente puede enviar Datos Personales al Servicio, con el alcance determinado y controlado por el Cliente a su exclusivo criterio.

Categorías de Sujetos de Datos

El Cliente puede enviar Datos Personales al Servicio, que pueden incluir, entre otros, Datos Personales relacionados con las siguientes categorías de Sujetos de Datos:

• Empleados, agentes, asesores, trabajadores independientes del Cliente (que sean personas físicas).
• Clientes potenciales y actuales, socios comerciales y proveedores del Cliente (que sean personas físicas).
• Empleados o personas de contacto de clientes potenciales, clientes existentes, socios comerciales y proveedores del Cliente.
• Cualquier otra persona externa con la que el Cliente decida comunicarse a través del Servicio.

DESCARGO DE RESPONSABILIDAD: Esta versión es una traducción del original en inglés que se proporciona solo para fines de conveniencia. El original en inglés es la versión oficial y legalmente vinculante y prevalecerá en caso de discrepancia.