1. Object
- Las Partes celebran este Acuerdo de Procesamiento de Datos (DPA) para garantizar que el procesamiento por parte de SMARTFENSE de los Datos personales dentro del Servicio, por parte del PARTNER y/o en su nombre, se realice de conformidad con la normativa de protección de datos aplicable.
- El presente acuerdo de procesamiento de datos forma parte integral del Contrato de Comercialización de SMARTFENSE (en adelante “CCS”), incorporado como “ANEXO III” a través de la cláusula CUARTA inc. 13 y la cláusula OCTAVA inc. 3 del CCS .
- Que, tanto SMARTFENSE, el PARTNER, como el CLIENTE se comprometen a respetar en todo momento las siguientes disposiciones y la normativa de protección de datos a las que se encuentren sujetos.
2. Definiciones
A menos que se defina lo contrario en el CCS, todos los términos utilizados en este DPA tendrán los significados que se les otorgan a continuación. “Datos Personales”, “Violación de Datos Personales”, “procesamiento”, “tramitar”, “procesador”, “responsable” y “sujeto de datos” tendrán el mismo significado que en la Ley de Protección de Datos Aplicable y podrán escribirse en minúsculas o mayúsculas.
- Ley de Protección de Datos aplicable: significa, además de la normativa aplicable a determinadas jurisdicciones a que se refiere el Términos específicos de la región establecidos en la CCS, las siguientes leyes de protección de datos, según corresponda, incluidas las enmiendas posteriores, modificaciones y revisiones al mismo: (i) el Reglamento UE 2016/679 titulado “Sobre la protección de las personas físicas en lo que respecta a la procesamiento de datos personales y sobre la libre circulación de dichos datos (“GDPR”) y cualquier ley nacional aplicable implementada por los países miembros del Espacio Económico Europeo (“EEE”) ; (ii) la Ley de Protección de Datos Personales de Argentina, Ley Número 25.326 (según sea modificado o reemplazado).
- Suscriptor: Se considera a aquella parte que contrata el servicio y se le otorga una licencia para acceder y utilizar el Servicio durante el Plazo de suscripción. También será considerado Suscriptor los Partners autorizados para la comercialización del servicio, quienes serán Encargados de Datos del Cliente final, dejando a SMARTFENSE el rol de subencargado de datos. Al proporcionar el Servicio, SMARTFENSE participará, en nombre del Suscriptor, en el procesamiento de los Datos personales enviados y almacenados en el Servicio por parte del Suscriptor o terceros con los que el Suscriptor realiza transacciones utilizando el Servicio. Cualquier referencia al Suscriptor dentro este DPA, a menos que se especifique lo contrario, incluirá al Suscriptor y sus Afiliados.
- Grupo de procesadores: significa SMARTFENSE y cualquier entidad que controle, sea controlada o esté bajo el control común de SMARTFENSE.
- Datos de servicio: significa un subconjunto de Información confidencial compuesto por datos electrónicos, texto, mensajes, comunicaciones u otros materiales enviados y almacenados dentro del Servicio por parte del Suscriptor, sus Agentes y Usuarios finales en relación con el uso del Suscriptor de dicho Servicio, incluidos, entre otros, los Datos personales.
- Subprocesador: significa cualquier procesador de datos de terceros contratado por SMARTFENSE, incluidas las entidades del Grupo de procesadores, que recibe Datos personales de SMARTFENSE para procesarlos en nombre del Suscriptor y de acuerdo con las instrucciones del Suscriptor (como comunicado por SMARTFENSE) y los términos de su subcontrato por escrito.
- Supervisor: Significa cualquier autoridad supervisora de protección de datos tal como se la define en el Reglamento Europeo de Protección de Datos.
- Sitio web: Se refiere a la página web disponible en: https://www.smartfense.com/
3. Tratamiento y datos del servicio
- Entre las Partes, todos los Datos de servicio procesados bajo los términos de este DPA y el CCS seguirán siendo propiedad del Suscriptor. Bajo ninguna circunstancia, SMARTFENSE actuará, o se considerará que actúa, como un “controlador” o “responsable” (o un concepto equivalente) de los Datos de servicio en virtud de cualquier normativa de protección de datos aplicable.
- <<NOMBRE_EMPRESA_SF>> será considerado “Encargado de Datos” (en adelante EL ENCARGADO), toda vez que, de acuerdo con su función de proveedor último de servicios, precisa recolectar, almacenar, procesar, tratar y/o usar los datos de carácter personal de los que el CLIENTE dispone para la propia utilización del servicio.
- <<NOMBRE_EMPRESA_SF>>, en su rol de Encargado de datos realice tratamientos de Datos Personales en nombre y por cuenta del CLIENTE, quien es jurídicamente considerado como “Responsable de datos”, toda vez que será quien ordene y genere las instrucciones de servicio que considere necesarias y pertinentes (por ejemplo, ordenar enviar a través de SMARTFENSE una campaña de concienciación a una base de datos de correos electrónicos de sus empleados).
- El tratamiento de datos personales será realizado solamente bajo instrucciones razonables y documentadas del Responsable de Datos, y en ningún momento <<NOMBRE_EMPRESA_SF>> realizará un tratamiento por cuenta propia, ni tratará dichos datos fuera de las finalidades declaradas.
- La existencia y participación de un PARTNER como intermediador en la comercialización del servicio, implica que dicho PARTNER será considerado como Encargado de Datos, y <<NOMBRE_EMPRESA_SF>> será considerado a su vez, como Sub-Encargado de Datos.
- EL CLIENTE seguirá siendo siempre el Responsable de Datos, y seguirá siendo de aplicación plena las disposiciones del presente Anexo.
4. Obligaciones de las partes
- Las Partes acuerdan que la duración del procesamiento realizado por SMARTFENSE en virtud de este DPA, incluida la naturaleza y el propósito del procesamiento, el tipo de Datos personales y las categorías de interesados, serán como se describe en la sección 7 del presente DPA.
- Las Partes que sean considerada Encargada o Sub-Encargada de Datos se comprometen a cumplir con las obligaciones que se le imponen en virtud de su rol de Encargado de Datos, dispuesto por el Reglamento (EU) 2016/67, entre las que se disponen:
- procesar Datos personales de acuerdo con las instrucciones del Suscriptor según lo establecido en el CCS y este DPA, también con respecto a las transferencias de Datos personales a un tercer país o una organización internacional de acuerdo con el Artículo 28 (3) (a) del RGPD, a menos que las leyes de la Unión o de los Estados miembros a las que esté sujeto SMARTFENSE exijan lo contrario. En tal caso, SMARTFENSE informará al Suscriptor de ese requisito legal al tomar conocimiento del mismo (excepto donde lo prohíban las leyes aplicables);
- garantizar que todo el personal y la gerencia de cualquier miembro del procesador sean plenamente conscientes de sus responsabilidades para proteger Datos personales de acuerdo con este DPA y se han comprometido a la confidencialidad o están bajo una obligación legal de confidencialidad de acuerdo con el Artículo 28 (3) (b) del RGPD;
- implementar y mantener medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados, accidentales o ilegales, siempre que dichas medidas tengan en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos involucrados en el procesamiento e incluirá las medidas descritas en el Anexo II;
- notificar al Suscriptor de conformidad con el Artículo 33 (2) del RGPD, sin demora indebida, pero en cualquier caso dentro de las cuarenta y ocho (48) horas, en caso de una Violación de datos personales confirmada que afecte los Datos personales del Suscriptor y para tomar las medidas adecuadas para mitigar sus posibles efectos adversos;
- ayudar al Suscriptor, teniendo en cuenta la naturaleza del procesamiento y en la medida en que sea comercialmente razonable, a cumplir con la obligación del Suscriptor de responder a las solicitudes de los interesados para ejercer sus derechos en virtud de la Ley de protección de datos aplicable (una “Solicitud del interesado” ). En el caso de que SMARTFENSE reciba una Solicitud del sujeto de datos directamente de un sujeto de datos, deberá, a menos que lo prohíba la ley, dirigir al sujeto de datos al Suscriptor. En caso de que el Suscriptor no pueda abordar la Solicitud del interesado, teniendo en cuenta la naturaleza del procesamiento y la información disponible para SMARTFENSE, SMARTFENSE deberá, a solicitud del Suscriptor y a cargo razonable del Suscriptor (alcance antes de la respuesta de SMARTFENSE a la Solicitud del interesado), atender la Solicitud del Titular de los Datos, según lo exige la Ley de Protección de Datos Aplicable;
- previa solicitud, proporcionar al Suscriptor información y asistencia comercialmente razonables, teniendo en cuenta la naturaleza del procesamiento y la información disponible para SMARTFENSE, para ayudar al Suscriptor a realizar cualquier evaluación de impacto de protección de datos, evaluación de impacto de transferencia de datos o consulta al Supervisor. al finalizar el acceso y uso del Servicio por parte del Suscriptor, para cumplir con los requisitos de la Sección 8 de este DPA (Devolución y Destrucción de Datos Personales);
- cumplir con los requisitos de la Sección 5 de este DPA (Auditoría) para poner a disposición del Suscriptor información que demuestre el cumplimiento de SMARTFENSE con este DPA; y
- designar un responsable de seguridad que actuará como punto de contacto del Suscriptor, y coordinará y controlará el cumplimiento de la seguridad del presente DPA, incluidas las medidas detalladas en el documento Seguridad, Garantía y Confianza en la Nube de SMARTFENSE.
- SMARTFENSE informará inmediatamente al Suscriptor si, en su opinión, las instrucciones de procesamiento del Suscriptor infrinjan alguna ley o reglamento. En tal caso, SMARTFENSE tiene derecho a rechazar el procesamiento de datos personales que considere que viole cualquier ley o regulación.
- EL PARTNER comprende y acepta que, en concordancia con las obligaciones dispuestas en este acuerdo de procesamiento de datos, deberá a su vez establecer su propio acuerdo de procesamiento de datos (DPA), a fin de regular y obtener el consentimiento expreso e informado para legitimar el tratamiento de los datos personales obtenidos del CLIENTE.
- EL PARTNER asume la responsabilidad de acreditar la aceptación de dicho acuerdo de procesamiento de datos ante el PRODUCTOR.
- En casos donde el PARTNER sea a su vez SUSCRIPTOR del servicio en los términos de la sección 2, administrando el servicio en nombre de terceros (los clientes finales), desde el punto de vista legal, el PARTNER será considerado como Encargado de Datos (de acuerdo a lo descripto en la cláusula 2.5), quedando obligado a cumplir con las obligaciones reguladas en la sección 3.2 del presente DPA.
5. Uso de subprocesadores
- Por el presente, el Suscriptor confirma su autorización general por escrito para el uso por parte de SMARTFENSE de los Subprocesadores enumerados en https://smartfense.com/privacy/gpdr/sp (“Política de subprocesadores” ) de conformidad con el artículo 28 del RGPD para ayudar a SMARTFENSE a proporcionar el Servicio y procesar los Datos personales, siempre que dichos Subprocesadores:
- acepten actuar solo según las instrucciones de SMARTFENSE cuando procese los Datos personales, instrucciones que serán consistentes con instrucciones de procesamiento del Suscriptor a SMARTFENSE, de acuerdo a lo dispuesto en las Políticas de Sub-Procesadores de SMARTFENSE.
- acepten proteger los Datos personales a un estándar consistente con los requisitos de este DPA, incluida la implementación y el mantenimiento de medidas técnicas y organizativas apropiadas para proteger los Datos personales que procesan de acuerdo con los Estándares de seguridad descritos en Políticas de Sub-Procesadores de SMARTFENSE.
- SMARTFENSE seguirá siendo responsable ante el Suscriptor por los servicios de procesamiento subcontratados de cualquiera de sus Subprocesadores en virtud de este DPA. SMARTFENSE se compromete a mantener actualizada la Política de Subprocesadores en su sitio web, incluyendo todo subprocesador al menos treinta (30) días antes de su incorporación al procesamiento de datos. El Suscriptor comprende y acepta que deberá revisar la Política de Subprocesadores a fin de comprobar el listado de los mismos.
- En caso de que el Suscriptor se oponga al procesamiento de sus Datos personales por parte de cualquier Subprocesador recientemente designado, como se describe en la Sección 4.2, deberá informar a SMARTFENSE dentro de los treinta (30) días posteriores a la actualización de su Política de subprocesador del sitio web anterior. En tal caso, SMARTFENSE (a) indicará al Subprocesador que deje de procesar los Datos personales del Suscriptor, en cuyo caso este DPA no se verá afectado, o (b) permitirá que el Suscriptor rescinda este DPA y cualquier acuerdo de servicios relacionado con SMARTFENSE inmediatamente.
- En algunos casos el Servicio proporciona enlaces a integraciones con servicios de terceros que no son de SMARTFENSE, que opcionalmente pueden integrarse directamente en la cuenta o instancia del Suscriptor en el Servicio. Si el Suscriptor elige habilitar, acceder o usar dichos servicios de terceros que no son de SMARTFENSE, su acceso y uso de dichos Servicios se rige únicamente por los términos y condiciones y las políticas de privacidad de dichos Servicios y SMARTFENSE no respalda ni no es responsable de ningún aspecto de dichos Servicios que no sean de SMARTFENSE, incluido, entre otros, su contenido o la forma en que manejan Datos de servicio (incluidos Datos personales) o cualquier interacción entre el Suscriptor y el proveedor de dichos Servicios que no son de SMARTFENSE. Los proveedores de Servicios que no sean de SMARTFENSE no se considerarán Subprocesadores para ningún propósito en virtud de este DPA.
6. Auditoría
- Las Partes reconocen que SMARTFENSE utiliza auditores externos para verificar la idoneidad de sus medidas de seguridad, incluida la seguridad de los centros de datos físicos desde los cuales SMARTFENSE brinda sus servicios de procesamiento de datos. Esta auditoría:
- se realizará al menos una vez al año;
- se realizará de acuerdo con los estándares ISO 27001 u otros estándares alternativos que sean equivalentes a ISO 27001;
- serán realizados por profesionales de seguridad externos independientes a elección de SMARTFENSE; y
- dará como resultado la generación de un informe de auditoría que afirme que los controles de seguridad de datos de SMARTFENSE cumplen con los estándares predominantes de la industria (“Informe”).
- SMARTFENSE cumple actualmente con los requisitos de seguridad exigidos por el Centro Criptológico Nacional (CCN) de España, estando habilitada para el manejo de información sensible en el Esquema Nacional de Seguridad (ENS). En consecuencia, SMARTFENSE está incluída dentro del Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) dentro de la categoría “Conformidad y Gobernanza de la Seguridad”.
- A pedido por escrito del Suscriptor y sin cargo, SMARTFENSE le proporcionará un resumen del Informe (“Informe resumido”) para que el Suscriptor pueda verificar razonablemente el cumplimiento de SMARTFENSE con las obligaciones de seguridad y auditoría en virtud de este DPA. El Informe resumido será considerado como información confidencial de SMARTFENSE según las disposiciones de confidencialidad del CCS de SMARTFENSE.
- En el caso que, el Suscriptor considere que la documentación e “Informes” de auditoría anuales no sean suficientes para demostrar el cumplimiento de las medidas adecuadas sobre las actividades de procesamiento realizadas en nombre del Suscriptor, este último siempre dispone de la posibilidad de ejercer el derecho a realizar una auditoría durante el horario comercial normal en las instalaciones de SMARTFENSE con el fin de demostrar el cumplimiento de las medidas organizativas y de seguridad sobre las actividades de procesamiento, y se limitará a los datos relevantes para el Suscriptor. Para ejercer dicho derecho, deberá notificarse a privacy@smartfense.com, y SMARTFENSE hará todos los esfuerzos comercialmente razonables para cumplir con dicha solicitud. Las Partes acordarán mutuamente de antemano y de buena fe los términos de dicha auditoría, siempre que:
- si la solicitud pudiera, según la opinión razonable de SMARTFENSE, crear un riesgo para el entorno de otro cliente, SMARTFENSE y el Suscriptor acordarán una forma alternativa de abordar la solicitud para brindarle al Suscriptor un nivel de seguridad similar. Para evitar dudas, el Suscriptor reconoce que la concesión de acceso potencial como se establece en este DPA de ninguna manera se considerará que constituye acceso o acceso potencial a los Datos de servicio de otros suscriptores, ya sea en almacenamiento agregado en reposo, o en flujos de datos multiusuario durante el procesamiento; y
- a menos que las Partes acuerden lo contrario por escrito, el Suscriptor reembolsará a SMARTFENSE el tiempo dedicado a dicho acceso en el sitio a las tarifas de servicios profesionales de SMARTFENSE vigentes en ese momento, que se pondrán a disposición del Suscriptor previa solicitud.
7. Exportaciones internacionales de datos
- El Suscriptor reconoce que SMARTFENSE y sus Subprocesadores pueden procesar Datos personales en países fuera del EEE, Reino Unido y Suiza (“Países europeos”). Si los datos personales se transfieren a un país o territorio fuera de los países europeos, dicha transferencia solo tendrá lugar si: (a) el país garantiza un nivel adecuado de protección de datos; (b) se cumple una de las condiciones enumeradas en el artículo 46 del RGPD (o su equivalente en cualquier legislación posterior); o (c) los Datos personales se transfieren sobre la base de las Normas corporativas vinculantes de SMARTFENSE, tal como se establece en la Sección 6.2 y que establecen medidas de seguridad adecuadas para dichos Datos personales y son legalmente vinculantes para SMARTFENSE.
- Reglas corporativas vinculantes: Cuando SMARTFENSE procese o permita que cualquier Subprocesador dentro del Grupo de procesadores procese Datos personales fuera del EEE o Suiza, SMARTFENSE deberá cumplir en su totalidad con los requisitos de las Reglas corporativas vinculantes de SMARTFENSE para brindar protecciones adecuadas para los Datos personales que procesa en nombre del Suscriptor, que están disponibles en www.smartfense.com/privacy/gpdr. En caso de que los Servicios estén cubiertos por más de un mecanismo de transferencia, la transferencia de Datos personales estará sujeta a un solo mecanismo de transferencia en el siguiente orden: (1) las Normas corporativas vinculantes de SMARTFENSE; (2) las Cláusulas Contractuales Tipo aplicables; y si ni (1) ni (2) son aplicables, entonces otros mecanismos de transferencia de datos aplicables permitidos bajo la Ley de Protección de Datos Aplicable.
- Cláusulas contractuales tipo: Cuando SMARTFENSE procese Datos personales en países fuera del EEE, SMARTFENSE deberá cumplir con las Cláusulas contractuales estándar de la Comisión de la UE (anexas a la Decisión de la Comisión de la UE 2021/914/EU del 4 de junio de 2021) (las “CEC de la UE”) que, si la Cláusula 6.2 ( Reglas corporativas vinculantes) no se aplica, se ingresará e incorporará a este DPA por esta referencia.
8. Detalle del procesamiento de datos
- Naturaleza y finalidad del procesamiento: SMARTFENSE procesará los Datos personales en el curso de la prestación de los Servicios en virtud de la CCSP, que puede incluir el funcionamiento de una plataforma de servicios al cliente basada en la nube. Para mayor información sobre las funcionalidades del servicio, consultar en www.smartfense.com. SMARTFENSE procesará los Datos personales como procesador de acuerdo con las instrucciones del SUSCRIPTOR.
- Actividades de procesamiento: los datos personales contenidos en los datos del servicio estarán sujetos a las actividades de alojamiento y procesamiento de la prestación de los servicios.
- Duración del Procesamiento: El procesamiento de Datos Personales perdurará durante el Plazo de Suscripción en el CCSP y este DPA de manera continua.
- Sujetos de datos: el Suscriptor puede, a su exclusivo criterio, enviar Datos personales a los Servicios, que pueden incluir, entre otros, las siguientes categorías de sujetos de datos: empleados (incluidos contratistas y trabajadores temporales), relacionada con empleados, familiares de empleados, clientes, posibles clientes, proveedores de servicios, socios comerciales, vendedores, Usuarios finales, asesores (todos ellos personas físicas) del Suscriptor y cualquier persona física autorizada por el Suscriptor para usar el Servicio.
- Categorías de Datos Personales: El Suscriptor puede, a su sola discreción, transferir Datos Personales a los Servicios de SMARTFENSE que pueden incluir, entre otros, las siguientes categorías de Datos Personales: nombre y apellido, dirección de correo electrónico, título, cargo, empleador, información de contacto (compañía, correo electrónico, números de teléfono, dirección física), fecha de nacimiento, género, comunicaciones (grabaciones telefónicas, correo de voz) e información de servicio al cliente.
- Categorías especiales de datos (si corresponde): los Datos confidenciales pueden, de vez en cuando, incluirse en el procesamiento a través de los Servicios cuando el Suscriptor o sus Usuarios finales elijan incluir Datos confidenciales dentro de los Servicios. El Suscriptor es responsable de garantizar que se implementen las medidas de seguridad adecuadas antes de la transmisión o el procesamiento, o antes de permitir que los Usuarios finales del Suscriptor transmitan o procesen Datos confidenciales a través de los Servicios.
- Retención: SMARTFENSE procesará y retendrá los Datos personales de acuerdo con la Sección 8 (Devolución y destrucción de datos personales) de este DPA.
9. Devolución y destrucción de datos personales
- Al finalizar el acceso y el uso del Servicio por parte del Suscriptor, SMARTFENSE, dentro de los treinta (30) días posteriores a dicha finalización, a elección del Suscriptor: (a) permitirá que el Suscriptor exporte sus Datos de servicio, a su cargo; o (b) eliminar todos los Datos del Servicio de acuerdo con las capacidades del Servicio y el Artículo 28 (3) (g) del RGPD. Luego de dicho período, SMARTFENSE eliminará todos los Datos de servicio almacenados o procesados por SMARTFENSE en nombre del Suscriptor de acuerdo con las políticas y procedimientos de eliminación de SMARTFENSE. El Suscriptor consiente expresamente en dicha eliminación.
10. Plazo y limitación de responsabilidad
- Este DPA permanecerá vigente mientras SMARTFENSE procese Datos personales en nombre del Suscriptor en virtud de la CCS. Concluído el CCS, se considera que el presente acuerdo se extingue con el contrato principal.
- Este DPA estará sujeto a las limitaciones de responsabilidad acordadas entre las Partes establecidas en el CCS y cualquier referencia a la responsabilidad de una Parte significa esa Parte y sus Afiliados en conjunto. Para evitar dudas, esta sección no se interpretará como una limitación de la responsabilidad de ninguna de las Partes con respecto a las reclamaciones presentadas por los interesados.
11. Generales
- Este DPA no puede ser enmendado o modificado excepto que exista consenso de ambas Partes. Este DPA podrá ser ejecutado en contrapartes. Los derechos y obligaciones de cada Parte con respecto a la cesión y delegación en virtud de este DPA serán los descritos en el CCS. Sujeto a las restricciones anteriores, este DPA será totalmente vinculante para las Partes y sus respectivos sucesores y cesionarios, redundará en beneficio de las mismas y será ejecutable por ellas. Este DPA, junto con el CCS, constituyen el acuerdo completo entre las Partes con respecto al objeto del presente y reemplazarán cualquier otro acuerdo, negociación o discusión entre las Partes en relación con ese objeto.
- En la medida en que los términos de la CCS entren en conflicto con los términos sustantivos de este DPA (en lo que respecta a la protección de Datos personales), los términos de este DPA prevalecerán.