Última modificación: 16 de septiembre de 2024
Este acuerdo de procesamiento de datos de Eco Toreda y sus anexos («DPA») reflejan el acuerdo de las partes con respecto al procesamiento de datos personales por nuestra parte en tu nombre en relación con los servicios de suscripción de Eco Toreda en virtud del Condiciones de servicio al cliente de Eco Toreda disponible en https://ecotoreda.com/legal/tos entre usted y nosotros (también denominado en esta DPA el «Acuerdo»).
Este DPA complementa y forma parte integral del Acuerdo y entrará en vigor a partir de su incorporación al Acuerdo, lo que puede especificarse en el Acuerdo, en un formulario de pedido o en una enmienda ejecutada del Acuerdo. En caso de conflicto o incompatibilidad con los términos del Acuerdo, este DPA prevalecerá sobre los términos del Acuerdo en la medida en que surja dicho conflicto o incoherencia.
Actualizamos estos términos de vez en cuando. Si tienes una suscripción activa a Eco Toreda, te avisaremos cuando la tengamos por correo electrónico (si te has suscrito para recibir notificaciones por correo electrónico a través del enlace que aparece en nuestro Condiciones generales) o mediante una notificación integrada en la aplicación. Puede encontrar las versiones archivadas de la DPA en nuestros archivos en https://ecotoreda.com/legal/archive.
La vigencia de este DPA seguirá a la vigencia del Acuerdo. Los términos que no estén definidos de otro modo en este DPA tendrán el significado establecido en el Acuerdo.
«Información personal de California» se refiere a los datos personales que están sujetos a la protección de la CCPA.
«CCPA» significa Código Civil de California, sección 1798.100 y siguientes. (también conocida como Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 o «CPRA»).
«Consumidor», «Empresa», «Vender», «Proveedor de servicios» y «Compartir» tendrán los significados que se les asignan en la CCPA.
«Controlador» significa la persona fÃsica o jurÃdica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del procesamiento de datos personales.
«Marco de privacidad de datos» se refiere a la UE-EE. UU. Marco de privacidad de datos, Suiza y EE. UU. El marco de privacidad de datos y la extensión del Reino Unido a la UE-EE. UU. Programas de autocertificación del Marco de privacidad de datos (según proceda) gestionados por el Departamento de Comercio de los EE. UU., con modificaciones, sustituciones o sustituciones.
Por «Principios del marco de privacidad de datos» se entiende los principios y principios complementarios contenidos en el marco de privacidad de datos correspondiente, tal como puedan modificarse, sustituirse o sustituirse.
«Leyes de protección de datos» hace referencia a toda la legislación internacional aplicable en materia de protección de datos y privacidad que se aplica a la parte respectiva que procesa los datos personales en cuestión en virtud del Acuerdo, incluidas, entre otras, las leyes europeas de protección de datos, la CCPA y otras leyes de privacidad federales y estatales de EE. UU., y las leyes de protección de datos y privacidad de Australia, Singapur y Japón, en cada caso con sus modificaciones, derogaciones, consolidadas o sustituidas de vez en cuando.
«Sujeto de los datos» se refiere a la persona a la que se refieren los datos personales.
«Europa» significa la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido.
«Datos europeos» se refiere a los datos personales que están sujetos a la protección de las leyes europeas de protección de datos.
Por «leyes europeas de protección de datos» se entiende las leyes de protección de datos aplicables en Europa, que incluyen: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas fÃsicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos (Reglamento general de protección de datos) («GDPR»); (ii) la Directiva 2002/58/CE relativa al procesamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas; y (iii) la Directiva 2002/58/CE relativa al procesamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas; y (iii) la aplicación nacional aplicable disposiciones de (i) y (ii); o (iii) el GDPR tal como forma parte de la legislación nacional del Reino Unido en virtud del artÃculo 3 de la Ley de la Unión Europea (Retirada) de 2018 («RGPD del Reino Unido»); y (iv) la Ley Federal de Protección de Datos de Suiza y su Ordenanza («DPA suiza»); en cada caso, con sus modificaciones, sustituciones o sustituciones.
«Instrucciones» se refiere a las instrucciones escritas y documentadas emitidas por un Controlador a un Procesador y en las que se le indica que lleve a cabo una acción especÃfica o general con respecto a los Datos personales (incluidas, entre otras, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).
«Afiliados permitidos» se refiere a cualquiera de sus Filiales que (i) tenga permiso para usar los Servicios de suscripción de conformidad con el Acuerdo, pero que no haya firmado su propio acuerdo independiente con nosotros y no sea un «Cliente» tal como se define en el Acuerdo, (ii) califique como controlador de los datos personales procesados por nosotros y (iii) esté sujeto a las leyes europeas de protección de datos.
«Datos personales» se refiere a cualquier información relacionada con una persona identificada o identificable cuando (i) dicha información esté incluida en los Datos del cliente; y (ii) esté protegida de manera similar a los datos personales, la información personal o la información de identificación personal en virtud de las leyes de protección de datos aplicables.
Por «violación de datos personales» se entiende una violación de la seguridad que provoque la destrucción, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado a los datos personales transmitidos, almacenados o procesados de otro modo por nosotros o nuestros subprocesadores en relación con la prestación de los Servicios de suscripción. La «violación de datos personales» no incluirá los intentos fallidos o las actividades que no comprometan la seguridad de los datos personales, incluidos los intentos fallidos de inicio de sesión, los pings, los escaneos de puertos, los ataques de denegación de servicio y otros ataques de red a firewalls o sistemas de red.
Por «procesamiento» se entiende cualquier operación o conjunto de operaciones que se realice con datos personales, que abarca la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o puesta a disposición de otro modo, la alineación o combinación, la restricción o el borrado de los datos personales. Los términos «Proceso», «Procesos» y «Procesado» se interpretarán en consecuencia.
«Procesador» significa una persona fÃsica o jurÃdica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del Controlador.
Por «cláusulas contractuales estándar» se entiende las cláusulas contractuales estándar anexas a la Decisión (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, que se encuentran actualmente en https://eur-lex.europa.eu/eli/dec_impl/2021/914, según se modifique, sustituya o sustituya.
«Subprocesador» se refiere a cualquier Procesador contratado por nosotros o nuestras Filiales para ayudar a cumplir nuestras obligaciones con respecto a la prestación de los Servicios de suscripción en virtud del Acuerdo. Los subprocesadores pueden incluir a terceros o a nuestras filiales, pero excluirán a cualquier empleado o consultor de Eco Toreda.
«Anexo del Reino Unido» significa el Anexo de transferencia internacional de datos emitido por el Comisionado de Información del Reino Unido en virtud de la sección 119A (1) de la Ley de Protección de Datos de 2018 que se encuentra actualmente en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, según se modifique, sustituya o sustituya.
a. Cumplimiento de las leyes. Dentro del ámbito del Acuerdo y de su uso de los servicios, usted será responsable de cumplir con todos los requisitos que le sean aplicables en virtud de las leyes de protección de datos aplicables con respecto al procesamiento de datos personales por parte de la empresa y a las instrucciones que nos imparta.
En particular, pero sin perjuicio de la generalidad de lo anterior, usted reconoce y acepta que será el único responsable de: (i) la precisión, la calidad y la legalidad de los datos del cliente y de los medios por los que adquirió los datos personales; (ii) cumplir con todos los requisitos de transparencia y legalidad necesarios en virtud de las leyes de protección de datos aplicables para la recopilación y el uso de los datos personales, incluida la obtención de los consentimientos y autorizaciones necesarios (especialmente para su uso por parte del cliente con fines de marketing); (iii) garantizar que tiene derecho a transferir o darnos acceso a los datos personales para su procesamiento de acuerdo con los términos del Acuerdo (incluido este DPA); (iv) garantizar que las instrucciones que nos dé en relación con el procesamiento de datos personales cumplan con las leyes aplicables, incluidas las leyes de protección de datos; y (v) cumplir con todas las leyes (incluidas las leyes de protección de datos) aplicables a cualquier correo electrónico u otro contenido creado, enviado o gestionado a través de los Servicios de suscripción, incluidas las relacionadas con la obtención de consentimientos (cuando sea necesario)) para enviar correos electrónicos, el contenido de los correos electrónicos y sus prácticas de despliegue de correo electrónico. Nos informará sin demora indebida si no puede cumplir con sus responsabilidades en virtud de esta sección sobre «Cumplimiento de la ley» o de las leyes de protección de datos aplicables.
b. Instrucciones del controlador. Las partes acuerdan que el Acuerdo (incluida esta DPA), junto con el uso que usted haga del Servicio de suscripción de conformidad con el Acuerdo, constituyen las instrucciones completas que nos ha dado en relación con el procesamiento de datos personales, siempre que pueda proporcionar instrucciones adicionales durante el perÃodo de suscripción que sean coherentes con el Acuerdo, la naturaleza y el uso legal del Servicio de suscripción.
c. Seguridad. Usted es responsable de determinar de forma independiente si la seguridad de los datos proporcionada en el Servicio de suscripción cumple adecuadamente con sus obligaciones en virtud de las leyes de protección de datos aplicables. También es responsable del uso seguro del Servicio de suscripción, incluida la protección de la seguridad de los datos personales en tránsito hacia y desde el Servicio de suscripción (lo que incluye hacer copias de seguridad o cifrar de forma segura dichos datos personales).
a. Cumplimiento de las instrucciones. Solo procesaremos los datos personales para los fines descritos en esta DPA o según lo acordado en el marco de sus instrucciones legales, excepto cuando y en la medida en que la ley aplicable exija lo contrario. No somos responsables del cumplimiento de ninguna ley de protección de datos aplicable a usted o a su sector que no nos sea de aplicación general.
b. Conflicto de leyes. Si nos enteramos de que no podemos procesar los datos personales de acuerdo con sus instrucciones debido a un requisito legal en virtud de cualquier ley aplicable, (i) le notificaremos de inmediato ese requisito legal en la medida en que lo permita la ley aplicable; y (ii) cuando sea necesario, dejaremos de procesar (excepto el mero almacenamiento y mantenimiento de la seguridad de los datos personales afectados) hasta que emita nuevas instrucciones que podamos cumplir. Si se invoca esta disposición, no seremos responsables ante usted en virtud del Acuerdo por la falta de prestación de los Servicios de suscripción aplicables hasta que usted emita nuevas instrucciones legales con respecto al procesamiento.
c. Seguridad. Implementaremos y mantendremos las medidas técnicas y organizativas adecuadas para proteger los datos personales de las violaciones de datos personales, tal como se describe en el anexo 2 de la presente DPA («Medidas de seguridad»). Sin perjuicio de cualquier disposición en contrario, podemos modificar o actualizar las Medidas de seguridad a nuestra entera discreción, siempre que dicha modificación o actualización no suponga una degradación sustancial de la protección que ofrecen las Medidas de seguridad.
d. Confidencialidad. Nos aseguraremos de que todo el personal al que autoricemos a procesar datos personales en nuestro nombre esté sujeto a las obligaciones de confidencialidad apropiadas (ya sea una obligación contractual o legal) con respecto a esos datos personales.
e. Violaciones de datos personales. Le notificaremos sin demora indebida cuando tengamos conocimiento de cualquier violación de datos personales y le proporcionaremos la información oportuna relacionada con la violación de datos personales a medida que usted la conozca o nos solicite razonablemente. Si lo solicita, le proporcionaremos sin demora la asistencia razonable que sea necesaria para que pueda notificar las violaciones de datos personales pertinentes a las autoridades competentes o a los interesados afectados, si asà lo exige la legislación de protección de datos.
f. Eliminación o devolución de datos personales. Eliminaremos o devolveremos todos los datos del cliente, incluidos los datos personales (incluidas las copias de los mismos) procesados de conformidad con esta DPA, al finalizar o caducar su Servicio de suscripción, de conformidad con los procedimientos establecidos en nuestro Términos especÃficos del producto. Este término se aplicará excepto cuando la ley aplicable nos exija conservar algunos o todos los datos del cliente, o cuando hayamos archivado los datos del cliente en sistemas de respaldo, datos que aislaremos de forma segura y protegeremos de cualquier procesamiento posterior y eliminaremos de acuerdo con nuestras prácticas de eliminación. Puede solicitar la eliminación de su cuenta de Eco Toreda tras el vencimiento o la finalización de su suscripción enviando una solicitud a través de nuestro formulario de solicitud de privacidad a https://ecotoreda.com/legal/privacy.
Le recomendamos encarecidamente que recupere sus datos de cliente antes de que finalice el perÃodo de suscripción enviando una solicitud a: help@ecotoreda.com
Si necesita ayuda para recuperar sus datos de cliente durante el perÃodo de suscripción, le proporcionaremos una asistencia razonable, a su costo y de conformidad con la sección «Confidencialidad» del Condiciones generales.
El Servicio de suscripción le proporciona una serie de controles que puede utilizar para recuperar, corregir, eliminar o restringir los datos personales, que puede utilizar para ayudarlo en relación con sus obligaciones en virtud de las leyes de protección de datos, incluidas las obligaciones relacionadas con la respuesta a las solicitudes de los interesados para ejercer sus derechos en virtud de las leyes de protección de datos aplicables («Solicitudes de los interesados»).
En la medida en que no pueda atender de forma independiente una solicitud del interesado a través del Servicio de suscripción, tras su solicitud por escrito, le proporcionaremos la asistencia razonable para responder a cualquier solicitud del interesado o a las solicitudes de las autoridades de protección de datos relacionadas con el procesamiento de datos personales en virtud del Acuerdo. Nos reembolsará los costes razonables desde el punto de vista comercial derivados de esta asistencia.
Si nos envÃa directamente una solicitud del sujeto de datos u otra comunicación relacionada con el procesamiento de datos personales en virtud del Acuerdo, le informaremos de inmediato y le aconsejaremos al sujeto de datos que le presente su solicitud. Usted será el único responsable de responder de manera sustantiva a cualquier solicitud o comunicación de este tipo del interesado que involucre datos personales.
Usted acepta que podemos contratar subprocesadores para procesar datos personales en su nombre, y lo hacemos de tres maneras. En primer lugar, podemos contratar subprocesadores para que nos ayuden con el alojamiento y la infraestructura. En segundo lugar, podemos contratar subprocesadores para respaldar las funciones e integraciones de los productos. En tercer lugar, podemos contratar a filiales de Eco Toreda en calidad de subprocesadores para el servicio y el soporte. Algunos subprocesadores se aplicarán a usted de forma predeterminada y otros solo si usted se da de alta.
Actualmente hemos designado, como subprocesadores, a los terceros y filiales de Eco Toreda que figuran en el anexo 3 de esta DPA.
Le daremos la oportunidad de oponerse a la contratación de nuevos subprocesadores por motivos razonables relacionados con la protección de los datos personales en un plazo de 30 dÃas a partir de la notificación. Si nos notifica dicha objeción, las partes analizarán sus inquietudes de buena fe con el fin de lograr una resolución razonable desde el punto de vista comercial. Si no se puede llegar a tal resolución, a nuestra entera discreción, no designaremos al nuevo subprocesador o le permitiremos suspender o cancelar el Servicio de suscripción afectado de conformidad con las disposiciones de rescisión del Acuerdo sin responsabilidad para ninguna de las partes (pero sin perjuicio de las tarifas en las que haya incurrido antes de la suspensión o terminación).
Cuando contratemos a subprocesadores, impondremos condiciones de protección de datos a los subprocesadores que brinden al menos el mismo nivel de protección de los datos personales que los de esta DPA, en la medida en que sea aplicable a la naturaleza de los servicios proporcionados por dichos subprocesadores. Seguiremos siendo responsables del cumplimiento por parte de cada subprocesador de las obligaciones de esta DPA y de cualquier acto u omisión de dicho subprocesador que nos lleve a incumplir cualquiera de sus obligaciones en virtud de esta DPA.
Usted reconoce y acepta que podemos acceder y procesar los datos personales a nivel mundial según sea necesario para proporcionar el Servicio de suscripción de conformidad con el Acuerdo y, en particular, que los datos personales pueden ser transferidos y procesados por Eco Toreda International, Inc. en los Estados Unidos y en otras jurisdicciones en las que operan las filiales y subprocesadores de Eco Toreda. Siempre que se transfieran datos personales fuera de su paÃs de origen, cada parte se asegurará de que dichas transferencias se realicen de conformidad con los requisitos de las leyes de protección de datos.
Pondremos a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de esta DPA y permitir y contribuir a las auditorÃas, incluidas las inspecciones realizadas por usted o su auditor para evaluar el cumplimiento de esta DPA, cuando asà lo exija la ley aplicable. Usted reconoce y acepta que ejercerá sus derechos de auditorÃa en virtud de esta DPA indicándonos que cumplamos con las medidas de auditorÃa descritas en esta sección «Demostración del cumplimiento». Usted reconoce que el servicio de suscripción lo alojan nuestros subprocesadores de alojamiento, que mantienen programas de seguridad validados de forma independiente (incluidos el SOC 2 y la ISO 27001) y que nuestros sistemas se auditan anualmente para comprobar que cumplen con el SOC 2 y que son sometidos a pruebas periódicas por parte de empresas independientes que realizan pruebas de penetración externas. Si lo solicita, le proporcionaremos (de forma confidencial) nuestro informe SOC 2 y copias resumidas de nuestros informes de pruebas de penetración para que pueda verificar que cumplimos con esta DPA. Puede descargar copias de estos documentos del sitio web de seguridad de Eco Toreda en ecotoreda.com/es-compliance. Además, si lo solicita por escrito, responderemos por escrito (de forma confidencial) a todas las solicitudes de información razonables que nos haga y que sean necesarias para confirmar que cumplimos con esta DPA, siempre y cuando no ejerza este derecho más de una vez por año natural, a menos que tenga motivos razonables para sospechar que no estamos cumpliendo la DPA.
a. Alcance. Esta sección sobre «Disposiciones adicionales para los datos europeos» se aplicará únicamente con respecto a los datos europeos.
b. Funciones de las Partes. Al procesar datos europeos de acuerdo con sus instrucciones, las partes reconocen y acuerdan que usted actúa como controlador de los datos europeos (ya sea como controlador o como procesador en nombre de otro controlador) y que nosotros somos el procesador en virtud del acuerdo.
c. Instrucciones. Si creemos que su Instrucción infringe las leyes europeas de protección de datos (cuando proceda), le informaremos sin demora.
d. Evaluaciones de impacto de la protección de datos y consulta con las autoridades supervisoras. En la medida en que la información requerida esté razonablemente disponible para nosotros y usted no tenga acceso a la información requerida, le proporcionaremos una asistencia razonable en cualquier evaluación del impacto de la protección de datos y en las consultas previas con las autoridades de supervisión (por ejemplo, la Agencia Francesa de Protección de Datos (CNIL), la Autoridad de Protección de Datos de BerlÃn (BlnBDI) y la Oficina del Comisionado de Información (ICO) del Reino Unido) u otras autoridades de privacidad de datos competentes en la medida en que lo exija la protección de datos europea Leyes.
f. Mecanismos de transferencia de datos.
(A) Eco Toreda no transferirá datos europeos a ningún paÃs o destinatario que no esté reconocido como proveedor de un nivel adecuado de protección de los datos personales (en el sentido de las leyes europeas de protección de datos aplicables), a menos que primero tome todas las medidas necesarias para garantizar que la transferencia cumpla con las leyes europeas de protección de datos aplicables. Dichas medidas pueden incluir (sin limitación) (i) la transferencia de dichos datos a un destinatario que esté cubierto por un marco adecuado u otro mecanismo de transferencia legalmente adecuado reconocido por las autoridades o los tribunales pertinentes por proporcionar un nivel adecuado de protección de los datos personales, incluido el marco de privacidad de los datos; (ii) a un destinatario que haya obtenido la autorización de normas corporativas vinculantes de conformidad con las leyes europeas de protección de datos; o (iii) a un destinatario que haya ejecutado las cláusulas contractuales estándar en cada caso tal como se adoptaron o aprobado en de acuerdo con las leyes europeas de protección de datos aplicables.
(B) Usted reconoce que, en relación con la prestación de los Servicios de suscripción, Eco Toreda International, Inc. recibe datos europeos en los Estados Unidos. En la medida en que Eco Toreda International, Inc. reciba datos europeos en los Estados Unidos, Eco Toreda International, Inc. cumplirá con lo siguiente:
(1) Marco de privacidad de datos. Eco Toreda International, Inc. utilizará el Marco de privacidad de datos para recibir legalmente datos europeos en los Estados Unidos y se asegurará de proporcionar al menos el mismo nivel de protección a dichos datos europeos que el exigido por los Principios del Marco de Privacidad de Datos, y le informará si no puede cumplir con este requisito.
(2) Cláusulas contractuales estándar. Si las leyes europeas de protección de datos exigen que se establezcan las garantÃas adecuadas (por ejemplo, si el Marco de privacidad de los datos no cubre la transferencia a Eco Toreda International, Inc. o el Marco de privacidad de los datos queda invalidado), las cláusulas contractuales estándar se incorporarán por referencia y formarán parte del Acuerdo de la siguiente manera:
(a) En relación con los datos europeos sujetos al RGPD (i) el cliente es el «exportador de datos» y Eco Toreda International, Inc. es el «importador de datos»; (ii) los términos del módulo dos se aplican en la medida en que el cliente es un controlador de datos europeos y los términos del módulo tres se aplican en la medida en que el cliente es un procesador de datos europeos; (iii) en la cláusula 7, se aplica la cláusula de acoplamiento opcional; (iv) en Se aplica la cláusula 9, opción 2, y los cambios a los subprocesadores se notificarán de acuerdo con la sección «Subprocesadores» de esta DPA; (v) en la cláusula 11, la opción se elimina el idioma; (vi) en las cláusulas 17 y 18, las partes acuerdan que la ley aplicable y el foro para las disputas en relación con las cláusulas contractuales estándar se determinarán de conformidad con la sección «Entidad contratante; ley aplicable; aviso» de las condiciones especÃficas de la jurisdicción o, si dicha sección no especifica un Estado miembro de la UE, la República de Irlanda (sin referencia a los principios de conflicto de leyes); (vii) los anexos de las cláusulas contractuales estándar se considerarán completados con la información establecido en los anexos de esta DPA; (viii) el supervisor la autoridad que actuará como autoridad supervisora competente se determinará de conformidad con el GDPR; y (ix) si las cláusulas contractuales estándar entran en conflicto con alguna disposición de esta DPA, las cláusulas contractuales estándar prevalecerán en la medida de dicho conflicto.
(b) En relación con los datos europeos sujetos al RGPD del Reino Unido, las cláusulas contractuales estándar se aplicarán de conformidad con la subsección (a) y las siguientes modificaciones (i) las cláusulas contractuales estándar se modificarán e interpretarán de acuerdo con el anexo del Reino Unido, que se incorporará como referencia y formará parte integral del acuerdo; (ii) las tablas 1, 2 y 3 del anexo del Reino Unido se considerarán completadas con la información que figura en los anexos de este DPA y la Tabla 4 se considerarán completados al seleccionar «ninguna de las partes»; y (iii) cualquier el conflicto entre los términos de las cláusulas contractuales estándar y el anexo del Reino Unido se resolverá de conformidad con las secciones 10 y 11 del anexo del Reino Unido.
(c) En relación con los datos europeos sujetos a la DPA suiza, las cláusulas contractuales estándar se aplicarán de conformidad con la subsección (a) y las siguientes modificaciones (i) las referencias al «Reglamento (UE) 2016/679» se interpretarán como referencias a la DPA suiza; (ii) las referencias a la «UE», la «Unión» y la «legislación de los Estados miembros» se interpretarán como referencias a la legislación suiza; y (iii) las referencias a la «legislación competente» autoridad supervisora» y «tribunales competentes» se sustituirán por «el Comisionado Federal de Protección de Datos e Información de Suiza» y el» tribunales pertinentes en Suiza».
(d) Usted acepta que, al cumplir con nuestras obligaciones en virtud de la sección «Subprocesadores» de esta DPA, Eco Toreda International, Inc. cumple con sus obligaciones en virtud de la sección 9 de las Cláusulas contractuales estándar. A los efectos de la cláusula 9 (c) de las Cláusulas contractuales estándar, usted reconoce que es posible que no podamos divulgar los acuerdos de subprocesador, pero haremos todos los esfuerzos razonables para exigir a cualquier subprocesador que designemos que le permita divulgarle el acuerdo de subprocesador y proporcionará (de forma confidencial) toda la información que podamos razonablemente. También reconoce y acepta que ejercerá sus derechos de auditorÃa en virtud de la cláusula 8.9 de las Cláusulas contractuales estándar al indicarnos que cumplamos con las medidas descritas en la sección «Demostración de cumplimiento» de esta DPA.
(e) Cuando la entidad contratante de Eco Toreda en virtud del Acuerdo no sea Eco Toreda International, Inc., dicha entidad contratante (no Eco Toreda International, Inc.) seguirá siendo total y exclusivamente responsable ante usted por el cumplimiento de las cláusulas contractuales estándar por parte de Eco Toreda International, Inc., y usted dirigirá cualquier instrucción, reclamación o consulta en relación con las cláusulas contractuales estándar a dicha entidad contratante. Si Eco Toreda no puede cumplir con sus obligaciones en virtud de las cláusulas contractuales estándar o incumple alguna de las garantÃas en virtud de las cláusulas contractuales estándar o el anexo del Reino Unido (según corresponda) por cualquier motivo, y tiene la intención de suspender la transferencia de datos europeos a Eco Toreda o rescindir las cláusulas contractuales estándar o el anexo del Reino Unido, acepta avisarnos con una antelación razonable para que podamos subsanar dicho incumplimiento y cooperar razonablemente con nosotros para identificar qué medidas de seguridad adicionales, si cualquiera, puede implementarse para subsanar dicho incumplimiento. Si no hemos subsanado o no podemos subsanar el incumplimiento, puede suspender o cancelar la parte afectada del Servicio de suscripción de conformidad con el Acuerdo sin responsabilidad para ninguna de las partes (pero sin perjuicio de las tarifas en las que haya incurrido antes de dicha suspensión o terminación).
(C) Mecanismo de transferencia alternativo. En el caso de que Eco Toreda deba adoptar un mecanismo de transferencia alternativo para los datos europeos, además de los mecanismos descritos en la subsección (B) anterior, dicho mecanismo de transferencia alternativo se aplicará automáticamente en lugar de los mecanismos descritos en esta DPA (pero solo en la medida en que dicho mecanismo de transferencia alternativo cumpla con las leyes europeas de protección de datos), y usted acepta ejecutar otros documentos o tomar las medidas que sean razonablemente necesarias para dar efecto legal a dicha transferencia alternativa mecanismo.
a. Alcance. La sección «Disposiciones adicionales sobre la información personal de California» de la DPA se aplicará únicamente con respecto a la información personal de California.
b. Funciones de las Partes. Al procesar la información personal de California de acuerdo con sus instrucciones, las partes reconocen y aceptan que usted es una empresa y que nosotros somos un proveedor de servicios a los efectos de la CCPA.
c. Responsabilidades. Certificamos que procesaremos la información personal de California como proveedores de servicios estrictamente con el fin de prestar los servicios de suscripción y los servicios de consultorÃa en virtud del Acuerdo (el «propósito comercial») o según lo permita la CCPA, incluso según lo descrito en la sección «Datos de uso» de nuestra PolÃtica de privacidad. Además, certificamos que i) no venderemos ni compartiremos la información personal de California; (ii) no procesaremos la información personal de California fuera de la relación comercial directa entre las partes, a menos que lo exija la ley aplicable; y (iii) no combinaremos la información personal de California incluida en los datos del cliente con la información personal que recopilemos o recibamos de otra fuente (que no sea la información que recibimos de otra fuente en relación con nuestras obligaciones como proveedor de servicios en virtud del Acuerdo).
d. Cumplimiento. (i) cumpliremos con las obligaciones que nos incumben como proveedores de servicios en virtud de la CCPA y (ii) proporcionaremos a la información personal de California el mismo nivel de protección de la privacidad que exige la CCPA. Le notificaremos si determinamos que ya no podemos cumplir con nuestras obligaciones como proveedores de servicios en virtud de la CCPA.
e. AuditorÃas de la CCPA. Tendrá derecho a tomar las medidas razonables y apropiadas para garantizar que usemos la información personal de California de manera coherente con las obligaciones del cliente en virtud de la CCPA. Tras la notificación, tendrá derecho a tomar las medidas razonables y apropiadas, de conformidad con el Acuerdo, para detener y remediar el uso no autorizado de la información personal de California.
f. No es una venta. Las partes reconocen y aceptan que la divulgación de la información personal de California por parte del cliente a Eco Toreda no forma parte de ninguna contraprestación monetaria o valiosa intercambiada entre las partes.
a. Enmiendas. Sin perjuicio de cualquier otra disposición en contrario del Acuerdo y sin perjuicio de lo dispuesto en las secciones «Cumplimiento de las instrucciones» o «Seguridad» de esta DPA, nos reservamos el derecho de actualizar y modificar esta DPA y las condiciones que se aplican en la sección «Modificación, sin exención» del Condiciones generales se aplicará.
b. Divisibilidad. Si se determina que alguna disposición individual de esta DPA es inválida o inaplicable, la validez y aplicabilidad de las demás disposiciones de esta DPA no se verán afectadas.
c. Limitación de responsabilidad. La responsabilidad de cada una de las partes y de cada una de sus filiales, tomada en conjunto, derivada o relacionada con esta DPA (incluido cualquier otro DPA entre las partes) y las cláusulas contractuales estándar, cuando proceda, ya sea contractual, extracontractual o bajo cualquier otra teorÃa de responsabilidad, estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en la sección «Limitación de responsabilidad» del Condiciones generales y cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y de todas sus filiales en virtud del Acuerdo (incluido este DPA). Para evitar cualquier duda, si Eco Toreda International, Inc. no es parte del Acuerdo, la sección «Limitación de responsabilidad» del Condiciones generales se aplicará entre usted y Eco Toreda International, Inc., y en tal sentido, cualquier referencia a «Eco Toreda», «nosotros» o «nuestro» incluirá tanto a Eco Toreda International, Inc. como a la entidad de Eco Toreda que es parte del Acuerdo. En ningún caso se limitará la responsabilidad de ninguna de las partes con respecto a los derechos de protección de datos de cualquier persona en virtud de esta DPA (incluidos cualquier otro DPA entre las partes y las Cláusulas contractuales estándar, cuando corresponda) o de otro modo.
d. Ley aplicable. Esta DPA se regirá e interpretará de conformidad con las secciones «Entidad contratante», «Ley aplicable» y «Aviso» de las condiciones especÃficas de la jurisdicción, a menos que las leyes de protección de datos exijan lo contrario.
a. Afiliados permitidos. Al firmar el Acuerdo, suscribes este DPA (incluidas, cuando proceda, las cláusulas contractuales estándar) en tu propio nombre y en nombre y representación de tus filiales autorizadas. A los efectos de este DPA únicamente, y salvo que se indique lo contrario, los términos «Cliente», «usted» y «su» le incluirán a usted y a dichas Filiales autorizadas.
b. Autorización. La entidad jurÃdica que acepte este DPA en calidad de cliente declara que está autorizada a aceptar y celebrar este DPA en su nombre y, según corresponda, de cada una de sus filiales autorizadas.
c. Recursos. Las partes acuerdan que (i) únicamente la entidad cliente que sea la parte contratante del Acuerdo ejercerá cualquier derecho o interpondrá cualquier recurso que cualquier Filial autorizada pueda tener en virtud de esta DPA en nombre de sus Filiales, y (ii) la entidad Cliente que sea la parte contratante del Acuerdo ejercerá todos los derechos en virtud de la presente DPA no por separado para cada Filial permitida de forma individual, sino de forma combinada para sà misma y para todas sus Filiales permitidas. La entidad del Cliente que es la entidad contratante es responsable de coordinar todas las instrucciones, autorizaciones y comunicaciones con nosotros en virtud de la DPA y tendrá derecho a realizar y recibir cualquier comunicación relacionada con esta DPA en nombre de sus Filiales permitidas.
d. Otros derechos. Las partes acuerdan que, al revisar nuestro cumplimiento de esta DPA de conformidad con la sección «Demostración del cumplimiento», adoptará todas las medidas razonables para limitar cualquier impacto en nosotros y en nuestras filiales, combinando en una sola auditorÃa varias solicitudes de auditorÃa realizadas en nombre de la entidad cliente que sea la parte contratante del Acuerdo y de todas sus filiales autorizadas.
A. Lista de Partes
Exportador de datos:
Nombre: El cliente, tal como se define en los Términos de servicio al cliente de Eco Toreda (en su propio nombre y en el de las filiales permitidas)
Dirección: la dirección del cliente, tal como se indica en el formulario de pedido
Nombre, cargo y datos de contacto de la persona de contacto: los datos de contacto del cliente, tal como se establece en el formulario de pedido y/o según lo establecido en la cuenta Eco Toreda del cliente
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: procesamiento de datos personales en relación con el uso por parte del cliente de los servicios de Eco Toreda Marketplace según los Términos de servicio al cliente de HubSeco Toredapot
Función (controlador/procesador): Controlador (ya sea como controlador o actuando en calidad de controlador, como procesador, en nombre de otro controlador)
Importador de datos:
Nombre: Eco Toreda International, Inc.
Dirección: Two Canal Park, Cambridge, MA 02141, EE. UU.
Nombre, cargo y datos de contacto de la persona de contacto: Darwin Stephenson, director ejecutivo de Eco Toreda International, Inc., SJO-560727, #25331 Miami, Florida 33102 EE. UU.
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: procesamiento de datos personales en relación con el uso por parte del cliente de los servicios de Eco Toreda Marketlace en virtud de los Términos de servicio al cliente de Eco Toreda
Función (controlador/procesador): Procesador
B. Descripción de la transferencia
CategorÃas de sujetos de datos cuyos datos personales se transfieren
Puede enviar datos personales durante el uso del Servicio de suscripción, cuyo alcance determine y controle a su entera discreción, y que puede incluir, entre otros, datos personales relacionados con las siguientes categorÃas de sujetos de datos:
Sus contactos y otros usuarios finales, incluidos sus empleados, contratistas, colaboradores, clientes, posibles clientes, proveedores y subcontratistas. Los sujetos de datos también pueden incluir personas que intentan comunicarse con sus usuarios finales o transferirlos a sus usuarios finales.
CategorÃas de datos personales transferidos
Puede enviar datos personales a los Servicios de suscripción, cuyo alcance determine y controle a su entera discreción, y que puede incluir, entre otros, las siguientes categorÃas de datos personales:
1. Información de contacto (tal como se define en el Condiciones generales).
2. Cualquier otro dato personal que usted o sus usuarios finales envÃen, envÃen o reciban a través del Servicio de suscripción.
Datos confidenciales transferidos y aplicados restricciones o salvaguardas
El procesamiento de datos confidenciales está sujeto a las limitaciones de alcance, restricciones y salvaguardias mutuamente acordadas por las partes, tal como se refleja en el Acuerdo.
Frecuencia de la transferencia
Continuo
Naturaleza del procesamiento
Los datos personales se procesarán de conformidad con el Acuerdo (incluido este DPA) y pueden estar sujetos a las siguientes actividades de procesamiento:
1. Almacenamiento y otro procesamiento necesarios para proporcionar, mantener y mejorar los Servicios de suscripción que se le proporcionan; y/o
2. Divulgación de conformidad con el Acuerdo (incluida esta DPA) y/o según lo exijan las leyes aplicables.
Propósito de la transferencia y procesamiento posterior
Procesaremos los datos personales según sea necesario para proporcionar los Servicios de suscripción de conformidad con el Acuerdo, tal como se especifica con más detalle en el formulario de pedido y según las instrucciones que usted nos indique al utilizar los Servicios de suscripción.
PerÃodo durante el cual se conservarán los datos personales
Sujeto a la sección «Eliminación o devolución de datos personales» de esta DPA, procesaremos los datos personales durante la vigencia del Acuerdo, a menos que se acuerde lo contrario por escrito.
Actualmente respetamos las medidas de seguridad descritas en este anexo 2. Todos los términos en mayúscula que no se definan de otro modo en este documento tendrán los significados establecidos en el Condiciones generales. Para obtener más información sobre estas medidas de seguridad, consulte el informe SOC 2 tipo II, el informe SOC 3, la descripción general de la seguridad y los resúmenes de las pruebas de penetración de Eco Toreda, disponibles en ecotoreda.com/es-compliance.
a) PolÃtica de seguridad de la información
Mantenemos y nos adherimos a una PolÃtica de seguridad de la información interna y escrita. Puede visitar el Centro de confianza Eco Toreda, que ofrece una visión general de nuestros estándares de seguridad.
b) Control de acceso
i) Evitar el acceso no autorizado a los productos
Procesamiento subcontratado: alojamos nuestro servicio con proveedores de infraestructura de nube subcontratados. Además, mantenemos relaciones contractuales con los proveedores para prestar el Servicio de acuerdo con nuestro DPA. Nos basamos en los acuerdos contractuales, las polÃticas de privacidad y los programas de cumplimiento de los proveedores para proteger los datos procesados o almacenados por estos proveedores.
Seguridad fÃsica y ambiental: alojamos nuestra infraestructura de productos con proveedores de infraestructura subcontratados y con múltiples inquilinos. No poseemos ni mantenemos el hardware ubicado en los centros de datos de los proveedores de infraestructura subcontratados. Los servidores de producción y las aplicaciones orientadas al cliente están protegidos de forma lógica y fÃsica desde nuestros sistemas de información corporativos internos. Los controles de seguridad fÃsica y ambiental de los proveedores de infraestructura se auditan para comprobar que cumplen con las normas SOC 2 de tipo II e ISO 27001, entre otras certificaciones.
Autenticación: implementamos una polÃtica de contraseñas uniforme para los productos de nuestros clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos no públicos de los clientes.
Autorización: los datos del cliente se almacenan en sistemas de almacenamiento multiusuario a los que los clientes pueden acceder únicamente a través de las interfaces de usuario de aplicaciones y las interfaces de programación de aplicaciones. Los clientes no pueden acceder directamente a la infraestructura de aplicaciones subyacente. El modelo de autorización de cada uno de nuestros productos está diseñado para garantizar que solo las personas debidamente asignadas puedan acceder a las funciones, vistas y opciones de personalización pertinentes. La autorización de los conjuntos de datos se realiza mediante la validación de los permisos del usuario comparándolos con los atributos asociados a cada conjunto de datos.
Acceso a la interfaz de programación de aplicaciones (API): se puede acceder a las API de productos públicos mediante la autorización de Oauth o mediante tokens de aplicaciones privadas.
ii) Prevención del uso no autorizado de productos
Implementamos controles de acceso y capacidades de detección estándar de la industria para las redes internas que respaldan sus productos.
Controles de acceso: los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados llegue a la infraestructura del producto. Las medidas técnicas implementadas difieren entre los distintos proveedores de infraestructura e incluyen las implementaciones de nube privada virtual (VPC), la asignación de grupos de seguridad y las reglas de firewall tradicionales.
Detección y prevención de intrusiones: implementamos una solución de firewall de aplicaciones web (WAF) para proteger los sitios web de los clientes alojados y otras aplicaciones accesibles desde Internet. El WAF está diseñado para identificar y prevenir los ataques contra los servicios de red disponibles al público.
Análisis de código estático: el código almacenado en nuestros repositorios de código fuente se comprueba mediante herramientas automatizadas para detectar las mejores prácticas y los defectos de software identificables.
Refuerzo de los terminales: los puntos finales están reforzados de acuerdo con las prácticas estándar de la industria. Las estaciones de trabajo se protegen mediante herramientas antimalware y de detección y respuesta de terminales, y reciben actualizaciones periódicas de definiciones y firmas.
iii) Limitaciones de los requisitos de privilegio y autorización
Administración de acceso privilegiado: el acceso privilegiado en nuestro entorno de productos se controla, monitorea y elimina de manera oportuna mediante controles de «acceso justo a tiempo» (o «JITA»). Las cuentas no personales que se utilizan para acceder al sistema se almacenan en una bóveda segura con controles adicionales que rigen los procesos de transferencia de privilegios y de salida de cuentas.
Acceso a los productos: un subconjunto de nuestros empleados tiene acceso a los productos y a los datos de los clientes a través de interfaces controladas. La intención de proporcionar acceso a un subconjunto de empleados es proporcionar una atención al cliente, desarrollar e investigar productos de manera eficaz, solucionar posibles problemas, detectar y responder a los incidentes de seguridad e implementar la seguridad de los datos. El acceso se habilita a través de las solicitudes de acceso de JITA; todas estas solicitudes se registran. Los empleados tienen acceso por función y se revisan a diario las concesiones de privilegios para personas de alto riesgo. Los permisos de acceso administrativos o de alto riesgo se revisan al menos una vez cada seis meses.
c) Control de transmisión
En tránsito: exigimos el cifrado HTTPS (también denominado SSL o TLS) en todas las interfaces de inicio de sesión y de forma gratuita en todos los sitios de clientes alojados en los productos de Eco Toreda. Nuestra implementación de HTTPS utiliza algoritmos y certificados estándar del sector.
En reposo: almacenamos las contraseñas de los usuarios siguiendo polÃticas que siguen las prácticas de seguridad estándar del sector. Adoptamos un enfoque escalonado de tecnologÃas de encriptación inactivas para garantizar que los datos del cliente y los datos confidenciales permitidos identificados por el cliente estén debidamente cifrados.
d) Gestión, registro y monitoreo de incidentes
Plan de respuesta a incidentes: mantenemos un plan de respuesta a incidentes por escrito, guÃas y otros procesos y procedimientos necesarios para cumplir con las normas y obligaciones reflejadas en él.
Detección: diseñamos nuestra infraestructura para registrar información exhaustiva sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos recopilan los datos de registro y alertan a los empleados correspondientes sobre actividades malintencionadas, no intencionadas o anómalas. Nuestro personal, incluido el personal de seguridad, operaciones y soporte, responde a los incidentes conocidos.
Respuesta y seguimiento: Mantenemos un registro de los incidentes de seguridad conocidos que incluye la descripción, las fechas y horas de las actividades relevantes y la resolución de los incidentes. El personal de seguridad, operaciones o soporte investiga los incidentes de seguridad sospechosos y confirmados; además, identifica y documenta las medidas de resolución adecuadas. En caso de que se confirme cualquier incidente, tomaremos las medidas adecuadas para minimizar los daños a los productos y los clientes o la divulgación no autorizada. La notificación que se le envÃe se realizará de conformidad con los términos del Acuerdo.
e) Control de disponibilidad
Disponibilidad de la infraestructura: los proveedores de infraestructura hacen todos los esfuerzos razonables desde el punto de vista comercial para garantizar un tiempo de actividad mÃnimo del 99,95%. Los proveedores mantienen un mÃnimo de redundancia N+1 en los servicios de alimentación, red y calefacción, ventilación y aire acondicionado (HVAC).
Tolerancia a fallos: las estrategias de respaldo y replicación están diseñadas para garantizar la redundancia y las protecciones de conmutación por error durante una falla de procesamiento significativa. Los datos de los clientes se respaldan en varios almacenes de datos duraderos y se replican en varias zonas de disponibilidad.
Réplicas y copias de seguridad en lÃnea: cuando es posible, las bases de datos de producción están diseñadas para replicar datos entre no menos de una instancia principal y una secundaria. Todas las bases de datos se respaldan y mantienen utilizando al menos los métodos estándar del sector.
Planes de recuperación ante desastres: mantenemos y probamos con regularidad los planes de recuperación ante desastres para ayudar a garantizar la disponibilidad de la información tras la interrupción o el fracaso de los procesos empresariales crÃticos.
Nuestros productos están diseñados para garantizar la redundancia y la conmutación por error sin interrupciones. Las instancias de servidor que respaldan los productos también están diseñadas con el objetivo de evitar puntos únicos de falla. Este diseño ayuda a nuestras operaciones a mantener y actualizar las aplicaciones y el backend del producto, al tiempo que limita el tiempo de inactividad.
f) Programa de gestión de vulnerabilidades
Programa de remediación de vulnerabilidades: Mantenemos un cronograma de remediación de vulnerabilidades alineado con los estándares de la industria. Adoptamos un enfoque basado en el riesgo para determinar la aplicabilidad, la probabilidad y el impacto de una vulnerabilidad en nuestro entorno.
Análisis de vulnerabilidades: realizamos análisis de vulnerabilidades diarios en nuestros productos utilizando tecnologÃa y estándares de detección alineados con los estándares de la industria.
Pruebas de penetración: Mantenemos relaciones con proveedores de servicios de pruebas de penetración reconocidos en la industria para realizar pruebas de penetración tanto de la aplicación web de Eco Toreda como de la infraestructura de red corporativa interna al menos una vez al año. El objetivo de estas pruebas de penetración es identificar las vulnerabilidades de seguridad y mitigar el riesgo y el impacto empresarial que representan para los sistemas incluidos.
Recompensa por errores: un programa de recompensas por errores invita e incentiva a los investigadores de seguridad independientes a descubrir y revelar de forma ética las fallas de seguridad. Implementamos un programa de recompensas por errores con el objetivo de ampliar las oportunidades disponibles para interactuar con la comunidad de seguridad y mejorar las defensas de los productos contra ataques sofisticados.
g) Gestión del personal
Disponemos de personal calificado para desarrollar, mantener y mejorar nuestro programa de seguridad. Formamos a todos los empleados sobre las polÃticas, los procesos y los estándares de seguridad pertinentes a su función y de acuerdo con las prácticas del sector.
Verificaciones de antecedentes: cuando lo permita la ley aplicable, los empleados de Eco ToredaEco Toreda se someten a una verificación de antecedentes o referencias por parte de terceros. En los Estados Unidos, las ofertas de empleo están supeditadas a los resultados de una verificación de antecedentes realizada por terceros. Todos los empleados de Eco Toreda deben comportarse de manera coherente con las directrices de la empresa, los requisitos de confidencialidad y los estándares éticos.
Para ayudar a Eco Toreda a prestar el Servicio de suscripción, contratamos a subprocesadores para que nos ayuden en nuestras actividades de procesamiento de datos. En nuestra página de subprocesadores de Eco Toreda, disponible en https://ecotoreda.com/legal/sub-processors-page, que se incorpora a este DPA
