Este Anexo de Procesamiento de Datos ("DPA") enmienda y forma parte del Acuerdo (como se define a continuación) entre el Proveedor y usted como usuario de los Servicios del Proveedor ("Cliente"). 

A los efectos de este DPA, los siguientes términos tendrán el siguiente significado:

• "Acuerdonto" significa cualquier acuerdo entre el Proveedor y el Cliente para los Servicios, independientemente del título, como "Formulario de Pedido", "Orden de Venta", "Términos de Uso", "Términos de Servicio", "Acuerdo SaaS" o "Acuerdo de Servicios".
• "Controlador" tiene el significado definido en el GDPR.
• "Datos de Cuenta del Cliente y de Uso" significa información sobre el Cliente que el Cliente proporciona al Proveedor en relación con la creación y administración de una cuenta, como los nombres y apellidos, nombre de usuario, dirección de correo electrónico e información de facturación y pago de las personas asociadas con una cuenta. Esto también incluye información estadística o analítica relacionada con el uso del Servicio por parte del Cliente y cualquier dato derivado. 
• "Datos del Cliente" significa los datos procesados por el Proveedor en relación con la prestación de los Servicios, según se describe en el Acuerdo, excluyendo los Datos de Cuenta del Cliente y de Uso.
• "Datos Personales del Cliente" significa Datos del Cliente, que consisten en Datos Personales.
• "Ley(es) de Protección de Datos" significa cualquier legislación o regulación aplicable relacionada con el procesamiento de datos personales, incluyendo (a) la Ley de Privacidad del Consumidor de California y sus regulaciones de implementación; (b) el GDPR (como se define a continuación) y las leyes de protección de datos y privacidad relacionadas de los estados miembros del Espacio Económico Europeo; (c) la Ley de Protección de Datos de 2018 del Reino Unido ("UK GDPR"); y (d) la Ley Federal Suiza de Protección de Datos ("Swiss DPA"), cada una según corresponda y según se enmiende, derogue, consolide o reemplace de vez en cuando.
• "Área Europea" significa la Unión Europea, el Espacio Económico Europeo, Suiza y el Reino Unido de Gran Bretaña e Irlanda del Norte ("Reino Unido"). 
• "GDPR" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de esos datos, y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
• "Datos Personales" significa cualquier información relacionada con una persona física identificada o identificable que el Proveedor procesa en nombre del Cliente bajo el Acuerdo. 
• "Violación de Datos Personales" significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso a, Datos Personales de manera accidental o ilegal. La Violación de Datos Personales no incluye intentos o actividades fallidas que no comprometan la confidencialidad, disponibilidad o integridad de los Datos del Cliente o información confidencial, incluyendo intentos de inicio de sesión fallidos, pings, escaneos de puertos, ataques de denegación de servicio y otros incidentes similares.
• "Proceso" o "Procesamiento" significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o sobre conjuntos de datos personales, ya sea por medios automatizados o no, como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o de otro modo poniendo a disposición, alineación o combinación, restricción, borrado o destrucción.
• "Transferencia Restringida" significa (a) donde se aplica el GDPR, una transferencia de Datos Personales del Cliente o Datos de Cuenta del Cliente y de Uso desde el EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea; (b) donde se aplica el Swiss DPA, una transferencia de Datos Personales del Cliente o Datos de Cuenta del Cliente y de Uso desde Suiza a un país que no está sujeto a una determinación de adecuación por parte del Comisionado Federal Suizo de Protección de Datos e Información; y (c) donde se aplica el UK GDPR, una transferencia de Datos Personales del Cliente o Datos de Cuenta del Cliente y de Uso desde el Reino Unido a un país que no está sujeto a regulaciones de adecuación bajo la sección 17A de la Ley de Protección de Datos del Reino Unido de 2018.
• "Cláusulas Contractuales Estándar" significa (a) donde se aplica el GDPR, las cláusulas contractuales estándar anexadas a la Decisión de Implementación 2021/914 de la Comisión Europea del 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a Terceros Países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo ("EU SCCs"); (b) donde se aplica el UK GDPR, el Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la Comisión de la UE emitido por el Comisionado de Información del Reino Unido, Versión B1.0, en vigor desde el 21 de marzo de 2022 ("UK SCCs"); y (c) donde se aplica el Swiss DPA, las cláusulas estándar de protección de datos aplicables emitidas, aprobadas o reconocidas por el Comisionado Federal Suizo de Protección de Datos e Información (las "Swiss SCCs"), cada una de las cuales puede actualizarse de vez en cuando.
• "Tercer País" significa países que, según lo requieran las Leyes de Protección de Datos aplicables, no han recibido una decisión de adecuación de una autoridad aplicable relacionada con las transferencias de datos personales transfronterizas, incluidos reguladores como la Comisión Europea, el ICO del Reino Unido o el FDPIC Suizo.

Los términos en mayúsculas utilizados pero no definidos anteriormente tendrán los significados descritos en el Acuerdo. Salvo que se disponga lo contrario en este DPA, los términos "Negocio", "propósito comercial", "propósito comercial", "Contratista", "Controlador", "Proceso", "Procesador", "Subprocesador", "Sujeto de Datos", "desidentificar", "Vender", "Proveedor de Servicios", "Compartir" y "Tercero" tienen el mismo significado que en las Leyes de Protección de Datos aplicables, y sus términos afines se interpretarán en consecuencia. Todos los demás términos en mayúsculas tienen el mismo significado que en el Acuerdo.

2.1. Datos Personales del Cliente. Las partes acuerdan que el Proveedor es un Procesador con respecto al Procesamiento de los Datos Personales del Cliente. 

2.2. Datos de Cuenta y Uso. Las partes acuerdan que el Cliente y el Proveedor son Controladores independientes con respecto al Procesamiento de los Datos de Cuenta y Uso del Cliente, y cada Parte cumplirá con sus obligaciones como Controlador y acuerda proporcionar asistencia razonable a la otra Parte cuando sea requerido por las 2.3. Leyes de Protección de Datos. Con respecto a los Datos de Cuenta y Uso del Cliente, este DPA no se aplica excepto por la Sección 7.

El propósito del Procesamiento bajo este DPA es proporcionar los Servicios bajo el(los) Acuerdo(s) aplicable(s). El Anexo A (Descripción del Procesamiento y Detalles de Transferencia) describe el objeto y los detalles del Procesamiento de Datos Personales.

3.1. El Cliente acepta que (a) debe cumplir con sus obligaciones como Controlador bajo el GDPR y otras Leyes de Protección de Datos donde dicho concepto sea reconocido en relación con su procesamiento de datos personales y cualquier instrucción de procesamiento que emita al Proveedor como se menciona en la Sección 4.1; (b) ha proporcionado aviso y obtenido todos los consentimientos y derechos requeridos por las Leyes de Protección de Datos para que el Proveedor procese los Datos Personales del Cliente de acuerdo con el Acuerdo y este DPA; y (c) el procesamiento de los Datos Personales del Cliente por parte del Proveedor, en cumplimiento con las instrucciones documentadas del Cliente bajo la Sección 4.1, tendrá una base legal de procesamiento de acuerdo con el Artículo 6 del GDPR y otras Leyes de Protección de Datos que requieren una base legal de procesamiento. 

3.2. Si el Cliente es un Procesador, el Cliente representa y garantiza al Proveedor que las instrucciones y acciones del Cliente con respecto a los Datos Personales del Cliente, incluyendo su nombramiento del Proveedor como otro procesador, han sido debidamente autorizadas por el Controlador relevante. El Cliente debe indemnizar, defender y mantener indemne al Proveedor contra cualquier reclamación, acción, procedimiento, gastos, daños y responsabilidades (incluyendo, sin limitación, cualquier investigación gubernamental, quejas y acciones) y honorarios razonables de abogados que surjan de la violación de esta Sección por parte del Cliente. No obstante cualquier disposición en contrario en el Acuerdo, las obligaciones de indemnización del Cliente bajo esta Sección no estarán sujetas a ninguna limitación de responsabilidad en el Acuerdo.

4.1. El Cliente instruye al Proveedor para Procesar los Datos Personales del Cliente para proporcionar los Servicios según lo documentado en el Acuerdo, a menos que la ley aplicable exija lo contrario. Para evitar dudas, este DPA constituirá las instrucciones documentadas del Cliente al Proveedor para procesar los Datos Personales del Cliente en relación con la provisión del Servicio por parte del Proveedor al Cliente. El Proveedor debe informar al Cliente de inmediato si, en la opinión exclusiva del Proveedor, una instrucción viola la ley aplicable.

4.2. Cuando el Proveedor Procese los Datos Personales del Cliente en su calidad de Procesador, el Proveedor utilizará, retendrá, divulgará o Procesará de otro modo los Datos Personales solo en la medida necesaria para actuar en nombre del Cliente y para el propósito comercial específico de proporcionar los Servicios. El Proveedor no "venderá" los Datos Personales del Cliente dentro y de acuerdo con las instrucciones del Cliente, incluyendo lo descrito en el Acuerdo. El Proveedor no venderá ni compartirá Datos Personales, ni usará, retendrá, divulgará o Procesará de otro modo los Datos Personales fuera de su relación comercial con el Cliente o para cualquier otro propósito (incluido el propósito comercial del Proveedor) excepto según lo requerido o permitido por la ley. El Proveedor informará al Cliente si determina que ya no puede cumplir con sus obligaciones bajo las Leyes de Protección de Datos. El Proveedor o donde, en la opinión razonable del Proveedor, cualquiera de las instrucciones del Cliente infrinja alguna Ley de Protección de Datos. El Cliente se reserva el derecho de tomar medidas razonables y apropiadas para (i) asegurar que el Procesamiento de Datos Personales por parte del Proveedor sea consistente con las obligaciones del Cliente bajo la Ley de Protección de Datos y (ii) interrumpir y remediar el uso no autorizado de Datos Personales. El Proveedor certifica que entiende las restricciones de esta Sección 4.2.

4.3. El Proveedor tiene derecho a usar los Datos Personales únicamente (i) en la medida necesaria para (a) cumplir con sus obligaciones bajo el Acuerdo y este DPA; (b) operar, gestionar, probar, mantener y mejorar los Servicios, incluyendo como parte de sus operaciones comerciales; (c) divulgar estadísticas agregadas sobre los Servicios de manera que impida la identificación o reidentificación individual del Cliente, Datos del Cliente, Datos Personales, incluyendo sin limitación cualquier dispositivo individual o persona individual; y/o (d) proteger los Servicios de una amenaza a los Servicios o Datos Personales; o (ii) si es requerido por orden judicial de un tribunal o agencia gubernamental autorizada, siempre que se notifique previamente al Cliente; (iii) según lo expresamente autorizado por el Acuerdo, este DPA, o el Cliente.

4.4. El Proveedor no combinará los Datos Personales que Procesa en nombre del Cliente, con los Datos Personales que recibe de o en nombre de otra persona o personas, o que recoge de su propia interacción con individuos, siempre que el Proveedor pueda combinar Datos Personales para realizar cualquier propósito comercial permitido o requerido bajo el Acuerdo para llevar a cabo los Servicios.

4.5. El Proveedor hará esfuerzos comercialmente razonables para asegurar que las personas autorizadas por el Proveedor para Procesar cualquier Dato Personal del Cliente estén sujetas a obligaciones de confidencialidad apropiadas. 

4.6. El Proveedor, teniendo en cuenta la naturaleza del procesamiento, hará esfuerzos comercialmente razonables para ayudar al Cliente, a expensas del Cliente, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en el cumplimiento de la obligación del Cliente de responder a solicitudes para ejercer los derechos de los sujetos de datos con respecto a sus Datos Personales bajo las Leyes de Protección de Datos.

4.7. El Proveedor proporcionará al Cliente la evidencia sobre el cumplimiento del Proveedor con sus obligaciones bajo este DPA y las Leyes de Protección de Datos aplicables, tales como informes resumidos relacionados con auditorías de seguridad SOC II Tipo 2 o ISO27001, o equivalentes, a solicitud del Cliente y no más de una vez al año a menos que la solicitud esté relacionada con una Violación de Datos Personales o una consulta regulatoria relacionada con el uso de los Servicios por parte del Cliente.

4.8. A elección del Cliente, el Proveedor, a solicitud, eliminará o devolverá al Cliente todos los Datos Personales del Cliente dentro de los treinta (30) días después del final de la provisión de los Servicios al Cliente y eliminará las copias existentes a menos que la ley aplicable exija la retención de Datos Personales.

4.9. El Proveedor notificará al Cliente de inmediato si el Proveedor se entera efectivamente de una Violación de Datos Personales, siempre que la provisión de tal aviso o cualquier respuesta por parte del Proveedor no se interpretará como un reconocimiento de culpa o responsabilidad con respecto a dicha Violación de Datos Personales.

4.10. El Proveedor utilizará medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente que cumplirán o superarán los requisitos contenidos (a) bajo la Ley de Protección de Datos, y (b) el Anexo B de este DPA. El Cliente reconoce que las medidas de seguridad descritas en el Anexo B están sujetas a avances y desarrollos técnicos y que el Proveedor puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que tales actualizaciones y modificaciones no degraden ni disminuyan la seguridad general de los Servicios.

5.1. Sin limitarse a la Sección 4, al procesar Datos Personales relacionados con sujetos de datos ubicados en el Espacio Económico Europeo ("Datos Personales de la UE"), se aplicarán los siguientes términos adicionales:

a) El Proveedor debe, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Proveedor, hacer esfuerzos comercialmente razonables para ayudar al Cliente, a expensas del Cliente, a garantizar el cumplimiento de las obligaciones del Cliente descritas en los Artículos 32 a 36 del GDPR; y

b) El Proveedor debe poner a disposición, a solicitud razonable del Cliente, información razonablemente necesaria para demostrar el cumplimiento material con las obligaciones en este DPA y permitir y contribuir a auditorías (cada una, una "Auditoría"), a expensas del Cliente, incluyendo inspecciones de las instalaciones de procesamiento bajo el control del Proveedor, realizadas por el Cliente u otro auditor elegido por el Cliente (un "Auditor"), durante el horario comercial normal y después de un aviso previo razonable, siempre que ningún Auditor sea un competidor del Proveedor, y siempre que en ningún caso el Cliente tendrá acceso a la información de cualquier otro cliente del Proveedor y las divulgaciones realizadas de conformidad con esta Sección 5.1(b) ("Información de Auditoría") se mantendrán en confidencialidad como información confidencial del Proveedor y estarán sujetas a cualquier obligación de confidencialidad en el Acuerdo, y siempre que ninguna Auditoría se llevará a cabo a menos que o hasta que el Cliente haya solicitado, y el Proveedor haya proporcionado, documentación de conformidad con esta Sección y el Cliente determine razonablemente que una Auditoría sigue siendo necesaria para demostrar el cumplimiento material con las obligaciones en este DPA. Sin limitar la generalidad de ninguna disposición en el Acuerdo, el Cliente debe emplear el mismo grado de cuidado para salvaguardar la Información de Auditoría que utiliza para proteger su propia información confidencial y propietaria y en cualquier caso, no menos que un grado razonable de cuidado bajo las circunstancias, y el Cliente será responsable de cualquier divulgación o uso indebido de la Información de Auditoría por parte del Cliente o sus agentes.

6.1. Los subprocesadores asisten al Proveedor en el procesamiento de Datos Personales según lo establecido en este DPA. El Proveedor celebrará acuerdos contractuales con subprocesadores que requieran el mismo nivel de cumplimiento de protección de datos y seguridad de la información que se prevé en este DPA. Al celebrar el Acuerdo y este DPA, el Cliente consiente el procesamiento de Datos Personales mediante la divulgación y transferencia de Datos Personales a los subprocesadores enumerados en https://dochub.com/site/sub-processors ("Lista de Subprocesadores"). El Proveedor informará al Cliente sobre cualquier cambio previsto para agregar o reemplazar subprocesadores en su Lista de Subprocesadores publicando una lista actualizada de subprocesadores al menos diez (10) días calendario antes de que el nuevo subprocesador procese Datos Personales de la UE. 

6.2. El Cliente puede objetar tales cambios por escrito dentro de los cinco (5) días calendario siguientes a dicha notificación, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos (una "Objeción") mediante la presentación de Formulario de Acción de Subprocesador de DocHub. En caso de una Objeción, las partes discutirán tales preocupaciones de buena fe con la intención de lograr una resolución. Si las partes no pueden lograr una resolución como se describe en la oración anterior, el Cliente, como su único y exclusivo recurso, puede rescindir el Acuerdo por conveniencia, con la condición de que el Cliente proporcione un aviso por escrito al Proveedor dentro de los cinco (5) días calendario de haber sido informado del compromiso del subprocesador. El Cliente no tendrá derecho a ningún reembolso de tarifas pagadas antes de la fecha de cualquier rescisión de conformidad con esta Sección.

7.1. El Cliente consiente la transferencia y el procesamiento de Datos Personales de la UE en los Estados Unidos de América.

7.2. Transferencias desde el EEE. Cuando se realice una Transferencia Restringida desde el EEE, las SCC de la UE se incorporan a este DPA y se aplican a la transferencia de la siguiente manera:

         a) Con respecto a las Transferencias Restringidas del Cliente al Proveedor, se aplica el Módulo Uno donde tanto el Cliente como el Proveedor son Controladores, se aplica el Módulo Dos donde el Cliente es un Controlador y el Proveedor es un Procesador, y se aplica el Módulo Tres donde tanto el Cliente como el Proveedor son Procesadores.

         b) En la Cláusula 7, la cláusula de acoplamiento opcional no se aplica;

         c) En la Cláusula 9 de los Módulos Dos y Tres, se aplica la Opción 2, y el período de aviso previo de cambios de subprocesadores se especifica en la Sección 6 de este DPA.

         d) En la Cláusula 11, el lenguaje opcional no se aplica

         e) En la Cláusula 17, se aplica la Opción 1 con la ley aplicable que se designa en la sección de Elección de Ley; Jurisdicción del Acuerdo. Si el Acuerdo no está regido por la ley de un Estado Miembro de la UE, las Cláusulas Contractuales Estándar estarán regidas por (i) las leyes de Irlanda, o (ii) donde el Acuerdo esté regido por las leyes del Reino Unido, las leyes de Inglaterra y Gales.

         f) en la Cláusula 18(b), las disputas se resolverán ante los tribunales en la jurisdicción aplicable del Acuerdo. Si el Acuerdo no designa un tribunal de un Estado Miembro de la UE como teniendo jurisdicción exclusiva para resolver cualquier disputa o demanda que surja de o en conexión con este Acuerdo, las partes acuerdan que los tribunales de (i) Irlanda; o (ii) donde el Acuerdo designe al Reino Unido como teniendo jurisdicción exclusiva, los tribunales de Inglaterra y Gales tendrán jurisdicción exclusiva para resolver cualquier disputa que surja de las Cláusulas Contractuales Estándar. Para los Sujetos de Datos que residen habitualmente en Suiza, los tribunales de Suiza son un lugar alternativo de jurisdicción respecto a disputas.

         g) El Anexo I de las SCC se completa con la información en el Anexo A de este DPA; y

         h) El Anexo II de las SCC se completa con la información en el Anexo B de este DPA, y el Anexo III de las SCC se completa con la información en la Lista de Subprocesadores.

7.3. Transferencias desde Suiza. En caso de cualquier transferencia de Datos desde Suiza, (a) las referencias generales y específicas en las SCC de la UE al GDPR o a la ley de la UE o de un Estado Miembro tienen el mismo significado que la referencia equivalente en el DPA suizo, según corresponda; y (b) cualquier otra obligación en las SCC de la UE determinada por el Estado Miembro en el que el exportador de datos o el Sujeto de Datos esté establecido se refiere a una obligación bajo el DPA suizo, según corresponda.

7.4. Transferencias desde el Reino Unido. Cuando se realice una Transferencia Restringida desde el Reino Unido, el Anexo de Transferencia del Reino Unido se incorpora a este DPA y se aplica a la transferencia. El Anexo de Transferencia del Reino Unido se completa con la información en la Sección 7.2, la Lista de Subprocesadores, y los Anexos A y B de este DPA; y tanto "Importador" como "Exportador" están seleccionados en la Tabla 4.

7.5. Si el Proveedor adopta un mecanismo alternativo de exportación de datos (incluyendo cualquier nueva versión o sucesor de las Cláusulas Contractuales Estándar o del Escudo de Privacidad adoptado de acuerdo con la Ley de Protección de Datos) para la transferencia de datos personales no descritos en este DPA ("Mecanismo de Transferencia Alternativo"), el Mecanismo de Transferencia Alternativo se aplicará en lugar de cualquier mecanismo de transferencia aplicable descrito en este DPA (pero solo en la medida en que dicho Mecanismo de Transferencia Alternativo cumpla con la Ley de Protección de Datos y se extienda a los territorios a los que se transfieren los Datos Personales).

8.1. Los términos de este DPA controlarán en la medida en que haya algún conflicto entre los términos de este DPA y los términos del Acuerdo. Si hay algún conflicto entre este DPA y las Cláusulas Contractuales Estándar, las Cláusulas Contractuales Estándar prevalecerán con respecto a los Datos Personales de la UE, Suiza o del Reino Unido. Excepto en la medida en que se modifique y enmiende específicamente por este DPA, los términos y disposiciones del Acuerdo permanecen sin cambios y en pleno vigor y efecto. Excepto como se describe en la Sección 3 de este DPA, las obligaciones contenidas en este DPA son (a) sujetas a cualquier limitación de responsabilidad descrita en el Acuerdo, y (b) además de las otras obligaciones contenidas en el Acuerdo. Este DPA puede ser ejecutado electrónicamente, incluyendo el uso de los Servicios de firma electrónica del Proveedor.

Esta sección del documento contendrá la información de contacto de las Partes para las notificaciones bajo este DPA.

• Categorías de Sujetos de Datos cuyos datos personales son transferidos

Representantes del Cliente; representantes de socios; usuarios y visitantes de los Servicios, incluidos sin limitación los destinatarios de archivos subidos a los Servicios; y personas referenciadas en archivos subidos a los Servicios.

• Categorías de Datos Personales Transferidos

Datos Personales de la UE relacionados con la categoría de sujetos de datos descrita anteriormente. Los Datos Personales de la UE dependen de los Servicios particulares, pero podrían incluir: Nombre, dirección de correo electrónico, datos demográficos, dirección IP, empleador, dirección, geolocalización, número de teléfono, ocupación y puesto, y cualquier Dato Personal de la UE proporcionado por el Cliente y los usuarios de los Servicios y visitantes de los Servicios (incluidos sin limitación los destinatarios de archivos subidos a los Servicios) en relación con los Servicios, incluidos los Datos Personales del Cliente contenidos en archivos subidos a los Servicios.

• Datos Sensibles Transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tengan en cuenta plenamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo, limitación estricta de propósito, restricciones de acceso (incluido el acceso solo para el personal que haya seguido capacitación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

El contenido de los Datos Personales es variado y está bajo el control del exportador de datos, pero puede, de vez en cuando, dependiendo de los Servicios particulares, incluir datos sensibles bajo las Leyes de Protección de Datos relevantes. 

• Frecuencia de Transferencia

Las transferencias serán continuas durante el tiempo necesario para la ejecución de los Servicios, cualquier otro propósito estipulado en el Acuerdo y en cumplimiento con las leyes y regulaciones aplicables.

• Naturaleza del Procesamiento

Los Datos Personales de la UE estarán sujetos a un procesamiento básico, que incluye, entre otros, la recolección, grabación, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo poner a disposición, alineación o combinación, bloqueo, borrado o destrucción con el propósito de proporcionar Servicios por el Proveedor al Cliente de acuerdo con los términos del Acuerdo.

• Propósito(s) de la Transferencia

Los Datos Personales de la UE estarán sujetos a las operaciones de Procesamiento descritas en el Acuerdo. 

• Período de Retención o Sus Criterios

Mientras proporciona dichos Servicios al Cliente, el Proveedor procesará los Datos Personales de la UE según las instrucciones del Cliente durante la duración del Acuerdo.

• Transferencias a Subprocesadores

Todos los subprocesadores autorizados deben implementar y mantener las mismas o sustancialmente similares medidas técnicas y organizativas, responsabilidades y obligaciones que las requeridas del Proveedor bajo este DPA.

• Propósito(s) Comercial(es) para el Procesamiento de la Información Personal de los Consumidores de California

Para el procesamiento que involucra a consumidores de California, solo se aplican los siguientes y verificados propósitos comerciales para el procesamiento de datos personales:

     Ayudar a garantizar la seguridad e integridad en la medida en que el uso de la información personal del consumidor sea razonablemente necesario y proporcional para estos propósitos 

     Depuración para identificar y reparar errores que afectan la funcionalidad prevista existente. 

     Realización de servicios en nombre del negocio, incluidos el mantenimiento o servicio de cuentas, la prestación de servicio al cliente, el procesamiento o cumplimiento de pedidos y transacciones, la verificación de información del cliente, el procesamiento de pagos, la provisión de financiamiento, la provisión de servicios analíticos, la provisión de almacenamiento, o la provisión de servicios similares en nombre del negocio. 

     Realización de investigaciones internas para el desarrollo y demostración tecnológica. 

     Realización de actividades para verificar o mantener la calidad o seguridad de un servicio o dispositivo que es propiedad, fabricado, fabricado para, o controlado por el negocio, y para mejorar, actualizar o mejorar el servicio o dispositivo que es propiedad, fabricado, fabricado para, o controlado por el negocio. 

     Retener y emplear a otro proveedor de servicios o contratista como subcontratista donde el subcontratista cumpla con los requisitos para un proveedor de servicios o contratista bajo CCPA. 

     Construir o mejorar la calidad de los servicios que está proporcionando al negocio, incluso si este Propósito Comercial no está especificado en el contrato escrito requerido por CCPA, siempre que el Proveedor de Servicios no utilice los Datos Personales para realizar servicios en nombre de otra persona. 

Para prevenir, detectar o investigar incidentes de seguridad de datos o protegerse contra actividades maliciosas, engañosas, fraudulentas o ilegales, incluso si este Propósito Comercial no está especificado en el contrato escrito.

〇 Auditoría relacionada con el conteo de impresiones de anuncios a visitantes únicos, verificando la posición y calidad de las impresiones de anuncios, y auditoría de cumplimiento con esta especificación y otros estándares.

〇 Proporcionar servicios de publicidad y marketing, excepto para publicidad conductual de contexto cruzado, al consumidor siempre que, para el propósito de publicidad y marketing, un proveedor de servicios o contratista no combine la información personal de consumidores que optaron por no participar que el proveedor de servicios o contratista recibe de, o en nombre de, el negocio con información personal que el proveedor de servicios o contratista recibe de, o en nombre de, otra persona o personas o que recolecta de su propia interacción con los consumidores. 

〇 Uso a corto plazo y transitorio, incluyendo, pero no limitado a, publicidad no personalizada mostrada como parte de la interacción actual de un consumidor con el negocio, siempre que la información personal del consumidor no se divulgue a otro tercero y no se utilice para construir un perfil sobre el consumidor o alterar de otro modo la experiencia del consumidor fuera de la interacción actual con el negocio.

• Cuando el exportador de datos esté establecido en un Estado miembro de la UE, la autoridad de supervisión responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en relación con la transferencia de datos actuará como autoridad de supervisión competente.
• Cuando el exportador de datos no esté establecido en un Estado miembro de la UE pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de acuerdo con su Artículo 3(2) y haya designado un representante conforme al Artículo 27(1) del Reglamento (UE) 2016/679: La autoridad de supervisión del Estado miembro en el que se establezca el representante en el sentido del Artículo 27(1) del Reglamento (UE) 2016/679 actuará como la autoridad de supervisión competente.
• Cuando el exportador de datos no esté establecido en un Estado miembro de la UE pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de acuerdo con su Artículo 3(2) sin, no obstante, tener que designar un representante conforme al Artículo 27(2) del Reglamento (UE) 2016/679: La Comisión de Protección de Datos (DPC) – 21 Fitzwilliam Square, South Dublin 2, D02 RD28 Irlanda actuará como la autoridad de supervisión competente.
• Cuando el exportador de datos esté establecido en el Reino Unido o se encuentre dentro del ámbito territorial de aplicación de las Leyes y Regulaciones de Protección de Datos del Reino Unido, la Oficina del Comisionado de Información actuará como la autoridad de supervisión competente.
• Cuando el exportador de datos esté establecido en Suiza o se encuentre dentro del ámbito territorial de aplicación de las Leyes y Regulaciones de Protección de Datos Suizas, el Comisionado Federal Suizo de Protección de Datos e Información actuará como la autoridad de supervisión competente en la medida en que la transferencia de datos relevante esté regida por las Leyes y Regulaciones de Protección de Datos Suizas.

• Programa. El Proveedor implementará y mantendrá un programa de seguridad de la información por escrito ("Programa de Seguridad de la Información"), que contiene salvaguardias administrativas, técnicas y organizativas razonablemente apropiadas que cumplen con este Anexo. 
• Controles de Acceso. El Proveedor implementará medidas para: (a) cumplir con el "principio de menor privilegio", según el cual el acceso a los Datos Personales por parte del personal del Proveedor se limitará según la necesidad de conocer; y (b) terminar de inmediato el acceso de su personal a los Datos Personales cuando dicho acceso ya no sea necesario para el desempeño bajo el Acuerdo.
• Gestión de Cuentas. El Proveedor gestionará la creación, uso y eliminación de todas las credenciales de cuenta utilizadas para acceder a la infraestructura clave del Proveedor, incluyendo la exigencia de autenticación multifactor en todos los sistemas críticos. 
• Gestión de Vulnerabilidades. El Proveedor (a) utilizará periódicamente herramientas automatizadas de escaneo de vulnerabilidades para escanear el sistema de producción del Proveedor en busca de vulnerabilidades, incluyendo pero no limitado a pruebas de penetración, y (b) implementará herramientas de gestión de parches y actualizaciones de software según lo notificado por los proveedores de esas herramientas. 
• Segmentación de Seguridad. El Proveedor monitoreará, detectará y restringirá el flujo de información de manera multilayer utilizando herramientas como cortafuegos, proxies y sistemas de detección de intrusiones basados en red. 
• Prevención de Pérdida de Datos. El Proveedor utilizará medidas de prevención de pérdida para identificar, monitorear y proteger los Datos Personales en uso, en tránsito y en reposo. Tales procesos y herramientas de prevención de pérdida de datos incluirán: (a) herramientas automatizadas diseñadas para identificar intentos de exfiltración de datos; y (b) el uso de seguridad basada en certificados de cifrado.
• Cifrado. El Proveedor cifrará, utilizando herramientas de cifrado estándar de la industria, todos los Datos Personales que el Proveedor transmita a través de redes públicas. 
• Pseudonimización. El Proveedor utilizará técnicas de pseudonimización estándar de la industria para proteger los Datos Personales cuando sea posible y consistente con los Servicios. 
• Salvaguardias Físicas. El Proveedor mantendrá controles de acceso físico para asegurar las instalaciones físicas de propiedad del Proveedor donde se encuentra el entorno informático relevante utilizado para Procesar cualquier Dato Personal, incluyendo un sistema de control de acceso que permita al Proveedor controlar el acceso físico a cada instalación del Proveedor. 
• Salvaguardias Administrativas. Antes de proporcionar acceso a los Datos Personales del Cliente a cualquiera de su personal, el Proveedor utilizará medidas comercialmente razonables: (a) verificar la fiabilidad de dicho personal; y (b) proporcionar capacitación de seguridad adecuada a dicho personal.