Acuerdo de procesamiento de datos de Fortra ("DPA")

1. Alcance de este DPA

  1. Este DPA se incorpora por referencia a los Términos y Condiciones de la Orden de Compra de Fortra u otro Acuerdo de Servicios ejecutado aplicable (cada uno denominado "Acuerdo de Servicios") para la provisión de productos o servicios ("Servicios") por parte del proveedor de servicios ("Proveedor") al cliente ("Cliente" o "Fortra"). Al proporcionar los Servicios, el Proveedor puede Procesar Datos Personales en nombre del Cliente y las Partes acuerdan cumplir con los términos de este DPA.
  2. En caso de conflicto entre este DPA y el Acuerdo de Servicios subyacente, prevalecerá este DPA. En caso de conflicto entre las Cláusulas Contractuales Tipo y este DPA, prevalecerán las Cláusulas Contractuales Tipo.

2. Definiciones

En este DPA, los siguientes términos tendrán los siguientes significados:

  1. "Decisión de adecuación" significa, según corresponda, una decisión de la Comisión Europea, el Gobierno del Reino Unido y/o el Consejo Federal Suizo de que un tercer país proporciona un nivel adecuado de protección de datos.
  2. "CCPA" se refiere a la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California en vigor a partir del 1 de enero de 2023, y cualquier modificación posterior o normativa de aplicación.
  3. "Datos del cliente" significa cualquier dato proporcionado, procesado o almacenado por el Proveedor del Cliente.
  4. "Datos personales del cliente" significa cualquier dato personal procesado por el Proveedor en nombre del Cliente de conformidad con el Acuerdo de servicios.
  5. "Controlador" significa una entidad que, sola o conjuntamente con otras, determina los propósitos y medios del Tratamiento de Datos Personales, incluido cualquier término equivalente según la Ley de Protección de Datos.
  6. "Ley de Protección de Datos" significa, según corresponda, cualquier ley y regulación de privacidad y protección de datos, incluidos: (i) el GDPR y las leyes de los Estados miembros que implementan el GDPR; (ii) el RGPD del Reino Unido y la Ley de Protección de Datos de 2018; (iii) la Ley Federal Suiza de Protección de Datos ("FADP"); (iv) y la CCPA, cada una de ellas modificada, actualizada o reemplazada de vez en cuando.
  7. "Sujeto de datos" significa una persona física identificada o identificable.
  8. "RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos.
  9. "NIS2" se refiere a la Directiva de Redes y Sistemas de Información de la Unión Europea, los reglamentos de implementación y cualquier legislación sucesora en la UE, y leyes similares aplicables en otros países.
  10. "Datos personales" significa cualquier información relacionada con un Sujeto de datos, incluido cualquier término equivalente según la Ley de Protección de Datos.
  11. "Violación de datos personales" significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los datos personales.
  12. "Procesamiento" significa cualquier operación o conjunto de operaciones que se realizan sobre los Datos Personales, ya sea por medios automáticos o no, como la recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, bloqueo, borrado o destrucción.
  13. "Procesador" significa una entidad que procesa datos personales en nombre de un controlador, incluido cualquier término equivalente según la Ley de protección de datos.
  14. "Cláusulas contractuales tipo" significa, según corresponda, (i) la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre las cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el RGPD ("SCC de la UE"); y (ii) el Anexo de transferencia internacional de datos a las SCC de la UE emitido por la Oficina del Comisionado de Información en virtud de S119A (1) de la Ley de Protección de Datos de 2018 ("Anexo del Reino Unido").
  15. "Subprocesador" significa cualquier tercero designado por el Proveedor para procesar los Datos personales del Cliente en nombre del Cliente.
  16. "Autoridad de control" tiene el significado o significado equivalente que se le da en la Ley de Protección de Datos.
  17. "RGPD del Reino Unido" significa el RGPD incorporado a la legislación del Reino Unido por la Ley de Protección de Datos de 2018 y modificado por la Ley de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) Reglamento 2019.
  18. Los términos en mayúscula no definidos en este DPA tendrán el significado que se les da en el Acuerdo de Servicios.

3. Alcance del tratamiento

  1. Las Partes acuerdan que, en relación con el Tratamiento de los Datos Personales del Cliente, el Cliente es el Responsable del Tratamiento y el Proveedor es el Encargado del Tratamiento. Si el Cliente es un Procesador de los Datos Personales del Cliente, el Proveedor será un subprocesador de los Datos Personales del Cliente. Los términos de este DPA regirán cada escenario. En el caso de que el Proveedor se considere un subprocesador, el Cliente será designado como el punto de contacto para los Controladores aplicables y se considerará que la notificación del Proveedor al Cliente satisface sus requisitos de notificación en virtud de la Ley de Protección de Datos aplicable como notificación a los Controladores aplicables. El Cliente será responsable de notificar en nombre del Vendedor a los Controladores correspondientes. En la medida en que el Proveedor haya notificado al Cliente, y el Cliente no notifique suficientemente en nombre del Proveedor al Controlador o Controladores correspondientes y cualquier Autoridad Supervisora determine que el Proveedor no cumplió con sus requisitos de notificación al Controlador(es), entonces (x) dicha insatisfacción no se considerará un incumplimiento material de este DPA o del Acuerdo de Servicios por parte del Proveedor y (y) el Cliente defenderá e indemnizará al Proveedor por cualquier deficiencia relacionada con la provisión avisos en virtud de la Ley de Protección de Datos aplicable al Controlador (s) por parte del Proveedor que actúa como subprocesador.
  2. Cada Parte cumplirá con sus respectivas obligaciones en virtud de la Ley de Protección de Datos.
  3. El Proveedor solo procesará los Datos personales del Cliente siguiendo las instrucciones escritas del Cliente, a menos que el Proveedor esté legalmente obligado a hacer lo contrario. En este último caso, el Vendedor informará al Cliente de ese requisito legal antes del Tratamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público.
  4. El Proveedor no deberá: (a) recopilar, retener, usar o divulgar los Datos personales del Cliente para ningún otro propósito que no sea el necesario para el propósito específico de realizar los Servicios en nombre del Cliente; (b) recopilar, retener, usar o divulgar los Datos Personales del Cliente para un propósito comercial que no sea proporcionar los Servicios en nombre del Cliente; (c) recopilar, retener, usar o divulgar los Datos Personales del Cliente fuera de la relación comercial directa del Proveedor con el Cliente; (d) combinar los Datos Personales del Cliente con otros Datos Personales que reciba que no sean los expresamente permitidos por la Ley de Protección de Datos (excepto para contribuir a mejorar sus Servicios); o (e) "vender" o "compartir" los Datos personales del cliente, cada uno según se define en la CCPA.
  5. El Tratamiento de los Datos Personales del Cliente por parte del Proveedor comprende el objeto, la naturaleza, la finalidad y la duración determinados en la sección correspondiente del Anexo 1 de este DPA. El Tratamiento se refiere a los tipos de Datos Personales y a las categorías de Interesados identificados en ellos.
  6. El Vendedor informará inmediatamente al Cliente si, en su opinión, una instrucción infringe la Ley de Protección de Datos.

4. Requisitos de personal

  1. El Vendedor se asegurará de que las personas autorizadas para tratar los Datos personales del cliente se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.

5. Seguridad del procesamiento

  1. El Proveedor implementará las medidas técnicas y organizativas adecuadas, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, las circunstancias y los fines del Tratamiento de los Datos Personales del Cliente, así como la probabilidad y gravedad respectivas del riesgo para los derechos y libertades de los interesados, con el fin de garantizar un nivel de seguridad de los datos adecuado al riesgo de los Datos Personales del Cliente y los Datos del Cliente.
  2. El Proveedor deberá cumplir con las medidas técnicas y organizativas especificadas en el Anexo 2 de este DPA.  El Proveedor puede actualizar dichas medidas de vez en cuando, siempre que dichas actualizaciones no disminuyan el nivel de seguridad previsto en el Anexo 2 de este DPA.
  3. El Proveedor deberá cumplir con todas las medidas técnicas y organizativas aplicables requeridas por NIS2, sus reglamentos de implementación y todas las leyes similares en todo el mundo. El Proveedor implementará medidas del programa de gestión de proveedores que proporcionen una evaluación de seguridad adecuada de sus proveedores externos, informarán de inmediato los eventos de seguridad (según se define en la ley local), transmitirán los requisitos de NIS2 a los subcontratistas aplicables de los proveedores externos, así como cualquier requisito del Acuerdo de Servicios.  El Vendedor informará al Cliente de cualquier evento de seguridad relacionado con los Datos del Cliente tan pronto como tenga conocimiento de un evento real o sospechado, pero en ningún caso más de 12 horas. El Proveedor cooperará plenamente con el Cliente en la investigación de un evento de seguridad y proporcionará toda la información requerida por NIS2.

6. Contratación de subprocesadores

  1. Por la presente, el Cliente autoriza al Proveedor a contratar Subprocesadores de manera general para procesar los Datos personales del Cliente. Previa solicitud por escrito del Cliente, el Proveedor proporcionará una lista completa de los Subprocesadores que contrata.
  2. El Cliente deberá notificar cualquier objeción de cualquier subprocesador dentro de los 10 días posteriores a la recepción de la lista. Si la objeción no se ha resuelto a satisfacción mutua de las Partes dentro de los 30 días posteriores a la recepción de la objeción del Suscriptor, cualquiera de las Partes puede rescindir el Acuerdo de Servicios (en su totalidad o en parte únicamente en la medida necesaria para cancelar el acceso a los Servicios afectados por la adición del Subprocesador propuesto), que será el único y exclusivo recurso del Suscriptor.
  3. El Vendedor impondrá contractualmente obligaciones para cumplir con la Ley de Protección de Datos aplicable.
  4. El Vendedor seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de las obligaciones de cada Subprocesador con respecto a los Servicios.

7. Obligaciones de soporte

  1. Teniendo en cuenta la naturaleza del Tratamiento, el Vendedor ayudará al Cliente, en la medida de lo posible, con medidas técnicas y organizativas para cumplir con las obligaciones del Cliente de responder a las solicitudes de ejercicio de los derechos de los Interesados en relación con los Datos Personales del Cliente. El Proveedor puede responder a dichas solicitudes directamente al Sujeto de datos solo con la autorización previa por escrito del Cliente. Si un Interesado se pone en contacto directamente con el Vendedor para ejercer sus derechos como Interesado, el Vendedor remitirá esta solicitud inmediatamente al Cliente.
  2. El Proveedor notificará al Cliente sin demora indebida una Violación de Datos Personales real que involucre a los Datos Personales del Cliente. La notificación contendrá una descripción de:
    1. naturaleza de la Violación de Datos Personales, incluidas, cuando sea posible, las categorías y el número aproximado de Sujetos de Datos afectados y las categorías y el número aproximado de registros de Datos Personales afectados;
    2. nombre y datos de contacto del punto de contacto del Vendedor donde se puede obtener más información;
    3. consecuencias probables de la violación de datos personales; y
    4. medidas adoptadas o propuestas por el Proveedor para abordar la Violación de Datos Personales, incluidas, cuando corresponda, medidas para mitigar sus posibles efectos adversos.
      Cuando no sea posible proporcionar dicha información al mismo tiempo, el Proveedor puede proporcionar la información en fases sin demoras adicionales indebidas.

En la medida en que lo exija la Ley de Protección de Datos, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Vendedor, el Vendedor ayudará razonablemente al Cliente a garantizar el cumplimiento de la seguridad del Tratamiento, las notificaciones de infracciones, las evaluaciones de impacto de la protección de datos y las consultas previas con las Autoridades de Control a cargo del Cliente, incluido el suministro de elementos como los datos de registro.

8. Eliminación y devolución de datos personales del cliente

  1. Este DPA permanecerá en vigor mientras el Proveedor procese los Datos personales del Cliente en nombre del Cliente. Previa solicitud por escrito, el Proveedor deberá, a más tardar 90 días después de la fecha de cese de cualquier Servicio que implique el Tratamiento de los Datos Personales del Cliente, eliminar o devolver los Datos Personales del Cliente. Si la ley exige al Vendedor que mantenga los Datos Personales del Cliente, el Vendedor informará al Cliente de dicho requisito.

9. Auditoría

  1. A cargo del Cliente, el Vendedor pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y, en la medida en que lo exija la Ley de Protección de Datos, permitirá y contribuirá a las auditorías realizadas por el Cliente u otro auditor encargado por el Cliente. El Cliente solo podrá ejercer su derecho de auditoría una vez por año natural y no incluirá el acceso a locales o sistemas. El Proveedor y el Cliente discutirán y acordarán por escrito la fecha de inicio razonable, el alcance y la duración y los controles de seguridad y confidencialidad aplicables a cualquier auditoría y el Cliente tomará todas las medidas necesarias para minimizar la interrupción del negocio del Proveedor. El Cliente o el auditor pertinente no tendrá derecho a acceder a ningún otro de los Datos Personales de los clientes del Proveedor ni a ningún sistema que no esté involucrado en el Tratamiento de los Datos Personales del Cliente. Cualquier información obtenida de conformidad con una auditoría se considerará información confidencial del Proveedor.  

10. Transferencias internacionales

  1. El Vendedor se asegurará, según corresponda, de que cualquier transferencia de los Datos Personales del Cliente, sujeta al RGPD, al RGPD del Reino Unido y/o a la FADP, fuera del EEE, el Reino Unido y/o Suiza a un tercer país sin una Decisión de Adecuación cumpla con la Ley de Protección de Datos.
  2. Si el Cliente transfiere Datos Personales del Cliente que están sujetos al RGPD, al RGPD del Reino Unido y/o a la FADP fuera del EEE, el Reino Unido y/o Suiza, según corresponda, al Vendedor en un tercer país sin una Decisión de adecuación, las Partes acuerdan cumplir con el módulo 2 y/o 3 de las Cláusulas Contractuales Tipo, según corresponda, que se incorporan a este DPA por referencia, como si se hubieran establecido en su totalidad, y se completan en esta cláusula 10. Las Partes acuerdan que, a los efectos de las Cláusulas Contractuales Tipo, el Cliente será el exportador de datos y el Vendedor será el importador de datos.
  3. Las Partes acuerdan que la ejecución o aceptación del Acuerdo de Servicios constituye la ejecución de las Cláusulas Contractuales Estándar en la medida requerida por la Ley de Protección de Datos.
  4. Las Partes acuerdan completar las SCC de la UE de la siguiente manera en relación con los Datos personales del cliente sujetos al RGPD: (i) se excluye cualquier cláusula opcional; (ii) los detalles de las Partes serán los establecidos en el Acuerdo de Servicios y este DPA; (iii) la descripción de la transferencia será la establecida en la sección correspondiente del Anexo 1 de este DPA; iv) la autoridad de control competente se determinará de conformidad con la cláusula 13 de las CCT de la UE; (v) las medidas de seguridad técnicas y organizativas del importador de datos se ajustarán a la cláusula 5 de este DPA; y (vi) el importador de datos tiene una autorización general por escrito para designar Subprocesadores de acuerdo con la cláusula 6 de este DPA.
  5. Las Partes acuerdan completar el Anexo del Reino Unido en relación con los Datos personales del cliente sujetos al RGPD del Reino Unido: (i) la versión de las CCT de la UE a la que se adjunta el Anexo del Reino Unido será la versión establecida en este DPA y completada en la cláusula 10.4; (ii) la fecha de inicio será la fecha del Acuerdo de Servicios; iii) los detalles de las Partes y los detalles del anexo se ajustarán a lo dispuesto en la cláusula 10.4; iv) la autoridad de supervisión competente será el Comisionado de Información; y (v) el importador de datos tendrá derecho a rescindir el Anexo del Reino Unido.
  6. Las Partes acuerdan cumplir con las SCC de la UE según lo establecido en la cláusula 10.4 de este DPA en relación con los Datos personales del cliente sujetos a la FADP, y según se modifique de la siguiente manera: (i) la Autoridad de Supervisión competente será el Comisionado Federal de Protección de Datos e Información; (ii) el término "Estado miembro" no se interpretará en el sentido de excluir a los interesados en Suiza de iniciar procedimientos legales en Suiza; y (iii) las referencias al 'RGPD' en se entenderán como referencias a la FADP.
  7. Las siguientes salvaguardas adicionales están diseñadas para respaldar aún más el uso de las Cláusulas Contractuales Estándar por parte de las Partes: (a) El Proveedor declara que, a partir de la fecha de vigencia de este DPA, no ha recibido ninguna solicitud en virtud de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de EE. UU. para los Datos Personales de residentes del EEE, Reino Unido, Suiza o cualquier otro país similar; (b) El Vendedor notificará al Cliente si no puede cumplir con las Cláusulas Contractuales Estándar; y (c) si el Proveedor recibe una solicitud de Datos Personales del Cliente de un tercero, incluido un gobierno o una autoridad policial o en virtud de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera, el Proveedor hará todos los esfuerzos comercialmente razonables para hacer valer las defensas disponibles contra la divulgación y minimizará el alcance de cualquier divulgación legalmente requerida a solo lo estrictamente necesario para cumplir con la obligación de divulgación.

Anexo 1

Instrucción de procesamiento de datos

Naturaleza del tratamientoLa naturaleza del Tratamiento implica, entre otros, la recopilación, el uso, el almacenamiento y la transferencia de Datos Personales del Cliente.
Fines del procesamientoCon el fin de proporcionar los Servicios de conformidad con el Acuerdo de Servicios.
Tipos de datos personales, incluidos los datos personales de categoría especial

El Exportador de Datos puede enviar Datos del Cliente, cuyo alcance es determinado y controlado por el Exportador de Datos a su entera discreción, y que puede incluir, entre otros, las siguientes categorías de Datos del Cliente: 

Como se describe en el Acuerdo de Servicios.

Categorías de interesados

El Exportador de Datos puede enviar Datos del Cliente a la(s) Solución(es), cuyo alcance es determinado y controlado por el Exportador de Datos a su entera discreción, y que puede incluir, entre otros, los Datos del Cliente relacionados con las siguientes categorías de interesados: 

Como se describe en el Acuerdo de Servicios.

Frecuencia y duración del procesamientoDe forma continua durante la vigencia del Acuerdo de servicios.

Anexo 2

Apéndice 2

Medidas técnicas y organizativas

Las medidas pertinentes se marcan a continuación con una marca en la casilla correspondiente:

  1. Control de la organización
    • Políticas y procedimientos internos de procesamiento de datos, directrices, instrucciones de trabajo, descripciones de procesos y reglamentos para la programación, prueba y divulgación de datos
    • Formación periódica de los empleados en materia de protección de datos
    • Nombramiento de un responsable de la protección de datos
    • Principio de cuatro ojos
    • [                                                                                                       ]
  2. Control de acceso de personas
    • Establecimiento de autorizaciones de acceso para empleados y terceros, incluida la documentación respectiva
    • Tarjetas de identidad, pases de tarjetas de código o pases biométricos
    • Cerraduras de seguridad o cerraduras electrónicas
    • Restricciones en las llaves / códigos de llave
    • Sistema de alarma de seguridad
    • Medidas constructivas (cercas, puertas cerradas, ventanas cerradas)
    • Áreas específicas de seguridad con control de acceso propio ("tiendas cerradas")
    • [                                                                                                       ]
  3. Control de acceso a los datos
    • Sistema de autorización de acceso con niveles de autorización específicos para empleados y terceros
    • Seudonimización y cifrado de datos
    • Uso funcional y/o restringido en el tiempo de los terminales y/o usuarios de terminales y características de identificación
    • Directrices para la creación de contraseñas seguras
    • Bloqueo automático de pantalla después de un cierto período de tiempo
    • Registro de eventos (seguimiento de intentos de intrusión)
    • Registro y análisis del uso de los archivos
    • Protección de las redes internas contra el acceso no autorizado (por ejemplo, mediante cortafuegos)
    • [                                                                                                       ]
  4. Control de transmisión
    • Autenticación del personal autorizado tanto para la liberación como para la recepción de datos
    • Registro de versiones y análisis de registros
    • Cifrado de los datos en transmisión o transporte
    • Firma electrónica
    • Control de integridad y corrección
    • Implementación de un concepto de mantenimiento remoto
    • [                                                                                                       ]
  5. Control de entrada
    • Registro y análisis de registros del procesamiento de datos
    • Firma electrónica
    • [                                                                                                       ]
  6. Control de disponibilidad
    • Ejecución de un análisis de riesgos y puntos débiles
    • Separación de funciones entre el departamento de TI y otros departamentos
    • Mantener actualizado todo el software utilizado (por ejemplo, mediante actualizaciones, parches, correcciones, etc.)
    • Existencia de un plan de emergencia (plan de contingencia de respaldo)
    • Generación de copias de seguridad a intervalos regulares y almacenamiento separado y seguro
    • Configuración del servidor en una sala de servidores o centro de datos seguro por separado
    • Medidas de protección contra incendios
    • Generador de energía de emergencia
    • Creación de reflejo de datos
    • [                                                                                                       ]
  7. Control de separación
    • Almacenamiento de los datos en colectores de datos separados (separación física)
    • Directiva de autorización (separación lógica)
    • Capacidad multicliente
    • Separación de datos de prueba y datos productivos
    • [                                                                                                       ]