Acuerdo de Procesamiento de Datos Fortra ("DPA")

1. Alcance de esta DPA

  1. Esta DPA se incorpora por referencia al Acuerdo de Soluciones Maestras Fortra y a los Términos y Condiciones de Servicios Profesionales en https://www.fortra.com/legal u otro Acuerdo de Servicios firmado aplicable (cada uno denominado "Acuerdo de Servicios"). Al proporcionar los servicios, Fortra puede procesar datos personales en nombre del cliente y las partes acuerdan cumplir con los términos de esta DPA.
  2. En caso de cualquier conflicto entre esta DPA y el Acuerdo de Servicios subyacente, prevalecerá esta DPA. En caso de cualquier conflicto entre las Cláusulas Contractuales Estándar y esta DPA, prevalecerán las Cláusulas Contractuales Estándar. 

2. Definiciones

En esta DPA, los siguientes términos tendrán los siguientes significados:

  1. "Decisión de Adecuación" significa, en caso aplicable, una decisión de la Comisión Europea, el Gobierno del Reino Unido y/o el Consejo Federal Suizo que establezca que un tercer país proporciona un nivel adecuado de protección de datos.
  2. "CCPA" significa la Ley de Privacidad del Consumidor de California de 2018, enmendada por la Ley de Derechos de Privacidad de California vigente a partir del 1 de enero de 2023, y cualquier enmienda o regulación de implementación posterior.
  3. "Datos personales del cliente" significa cualquier dato personal tratado por Fortra en nombre del cliente conforme al Acuerdo de Servicios.
  4. "Responsable" significa una entidad que, sola o conjuntamente con otros, determina los fines y medios del Tratamiento de Datos Personales, incluyendo cualquier término equivalente bajo la Ley de Protección de Datos.
  5. "Ley de Protección de Datos" significa, según corresponda, cualquier ley y regulación de privacidad y protección de datos, incluyendo: (i) el RGPD y las leyes de los Estados Miembros que implementan el RGPD; (ii) la Ley de Protección de Datos y RGPD del Reino Unido de 2018; (iii) la Ley Federal Suiza de Protección de Datos ("FADP"); (iv) y la CCPA, cada una enmendada, actualizada o reemplazada de vez en cuando.
  6. "Sujeto de datos" significa una persona identificada o identificable.
  7. "RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo relativo al tratamiento de datos personales y la libre circulación de dichos datos.
  8. "Datos personales" significa cualquier información relacionada con un Sujeto de Datos, incluyendo cualquier término equivalente según la Ley de Protección de Datos.
  9. "Violación de Datos Personales" significa una brecha de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales accidental o ilegal.
  10. "Procesamiento" significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales, ya sea por medios automáticos o no, como recogida, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de cualquier otra manera, alineación o combinación, bloqueo, borrado o destrucción.
  11. "Procesador" significa una entidad que procesa datos personales en nombre de un Responsable, incluyendo cualquier término equivalente bajo la Ley de Protección de Datos.
  12. "Cláusulas Contractuales Estándar" significa, según corresponda, (i) la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021 sobre las cláusulas contractuales estándar para la transferencia de Datos Personales a terceros conforme al RGPD ("CSE de la UE"); y (ii) el Adenda de Transferencia Internacional de Datos a los SCC de la UE emitido por la Oficina del Comisionado de Información conforme al artículo 119A(1) de la Ley de Protección de Datos de 2018 ("Anexo del Reino Unido").
  13. "Subprocesador" significa cualquier tercero designado por Fortra para procesar los datos personales del cliente en nombre del cliente.
  14. "Autoridad Supervisora" tiene el significado o significado equivalente otorgado en la Ley de Protección de Datos.
  15. "RGPD del Reino Unido" significa el RGPD tal como se incorpora a la legislación del Reino Unido mediante la Ley de Protección de Datos de 2018 y modificado por la Ley de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) Reglamentos de 2019.
  16. Los términos en mayúscula no definidos en esta DPA tendrán el significado que se les da en el Acuerdo de Servicios. 

3. Alcance del procesamiento

  1. Las Partes acuerdan que, en relación con el tratamiento de los datos personales del cliente, el cliente es el responsable y Fortra el procesador. Si el cliente es un Procesador de los Datos Personales del Cliente, Fortra será un subprocesador de los Datos Personales del Cliente. Los términos de esta DPA regularán cada escenario. En caso de que Fortra sea considerado un subprocesador, el Cliente será designado como punto de contacto para el(los) Titular(es) correspondiente(s) y el aviso de Fortra al Cliente se considerará que cumple con sus requisitos de notificación según la Ley de Protección de Datos aplicable como notificación al(los) Titular(es) correspondiente(s). El cliente será responsable de notificar en nombre de Fortra al(los) Controller(es) correspondiente(s). En la medida en que Fortra haya notificado al Cliente, y este no informe suficientemente en nombre de Fortra al(los) Controlador(es) aplicable(s) y cualquier Autoridad Supervisora determine que Fortra no cumplió sus requisitos de notificación a el(los) Controlador(es), entonces (x) dicha insatisfacción no se considerará un incumplimiento material de esta DPA ni del Acuerdo de Servicios por parte de Fortra y (y) El Cliente deberá defender e indemnizar a Fortra por cualquier deficiencia relacionada con la prestación avisos bajo la Ley de Protección de Datos aplicable al Responsable o Responsables de Información por Fortra actuando como subprocesador.
  2. Cada Parte cumplirá con sus obligaciones respectivas conforme a la Ley de Protección de Datos.
  3. Fortra solo procesará los datos personales del cliente siguiendo las instrucciones escritas del cliente, salvo que Fortra esté legalmente obligada a hacer lo contrario. En este último caso, Fortra informará al Cliente de ese requisito legal antes de la Procesación, salvo que dicha ley prohíba dicha información por motivos importantes de interés público.
  4. Fortra no deberá: (a) recopilar, conservar, utilizar ni divulgar los Datos Personales del Cliente para ningún propósito distinto al necesario para el propósito específico de prestar los Servicios en nombre del Cliente; (b) recopilar, conservar, utilizar o divulgar los datos personales del cliente con fines comerciales distintos a la prestación de los servicios en nombre del cliente; (c) recopilar, conservar, utilizar o divulgar los Datos Personales del Cliente fuera de la relación comercial directa de Fortra con el Cliente; (d) combinar los datos personales del cliente con otros datos personales que reciba de forma distinta a lo que expresamente permita la Ley de Protección de Datos (excepto para contribuir a mejorar sus servicios); o (e) "vender" o "compartir" los datos personales del cliente, cada uno según lo definido en la CCPA. Sin embargo, Fortra también puede recopilar, conservar, usar, divulgar y combinar los datos personales del cliente, ya sea de forma anonimizada o, en el caso de información específica de amenazas, no anonimizada (siempre que el cliente no sea identificado como fuente de dichos datos).
  5. El tratamiento de los datos personales del cliente por Fortra comprende el asunto, la naturaleza, el propósito y la duración determinados en la sección correspondiente del Anexo 1 de esta DPA. El Tratamiento se refiere a los tipos de Datos Personales y a las categorías de Sujetos de los Datos identificados en ellos.
  6. Fortra informará inmediatamente al Cliente si, en su opinión, una instrucción infringe la Ley de Protección de Datos. 

4. Requisitos de personal

  1. Fortra garantizará que las personas autorizadas para procesar los datos personales del cliente se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad.

5. Seguridad del procesamiento

  1. Fortra implementará las medidas técnicas y organizativas adecuadas, teniendo en cuenta el estado del arte, los costes de implementación y la naturaleza, alcance, circunstancias y propósitos del tratamiento de los datos personales del cliente, así como la probabilidad y gravedad respectivas del riesgo para los derechos y libertades de los titulares, con el fin de garantizar un nivel de seguridad de los datos adecuado al riesgo de los datos personales del cliente.
  2. Fortra deberá cumplir con las medidas técnicas y organizativas especificadas en el Anexo 2 de esta DPA.  Fortra puede actualizar dichas medidas de vez en cuando siempre que dichas actualizaciones no disminuyan el nivel de seguridad previsto en el Anexo 2 de esta DPA. 

6. Activación de subprocesadores

  1. El Cliente autoriza a Fortra a contratar a Subprocesadores de manera general para procesar los datos personales del cliente. A petición escrita del Client Fortra, se proporcionará una lista completa de los subprocesadores que utiliza.
  2. El cliente deberá notificar cualquier objeción de los subprocesadores en un plazo de 10 días desde la recepción de la lista. Si la objeción no se ha resuelto de manera satisfactoria mutua de las Partes en un plazo de 30 días tras la recepción de la objeción del Suscriptor, cualquiera de las Partes podrá rescindir el Acuerdo de Servicios (total o parcialmente en la medida necesaria para terminar el acceso a los Servicios afectados por la incorporación del Subprocesador propuesto), lo que será el único y exclusivo remedio del Suscriptor.
  3. Fortra impondrá contractualmente obligaciones para cumplir con la Ley de Protección de Datos aplicable.
  4. Fortra permanecerá plenamente responsable ante el Cliente por el cumplimiento de las obligaciones de cada Subprocesador respecto a los Servicios. 

7. Obligaciones de Apoyo

  1. Teniendo en cuenta la naturaleza del Tratamiento, Fortra asistirá al Cliente, en la medida de lo posible, con medidas técnicas y organizativas para cumplir con las obligaciones del Cliente de responder a solicitudes de ejercicio de los derechos de los Sujetos de Datos relativos a los Datos Personales del Cliente. Fortra solo puede responder a dichas solicitudes directamente al Sujeto de los Datos mediante autorización previa por escrito del Cliente. Si un Sujeto contacta directamente con Fortra para ejercer sus derechos, Fortra deberá remitir esta solicitud inmediatamente al Cliente.
  2. Fortra notificará al Cliente sin demora indebida sobre una verdadera Filtración de Datos Personales que involucre a los Datos Personales del Cliente. La notificación deberá contener una descripción de la:
    1. la naturaleza de la Filtración de Datos Personales, incluyendo, cuando sea posible, las categorías y el número aproximado de Sujetos de Datos implicados y las categorías y el número aproximado de registros de Datos Personales implicados;
    2. nombre y datos de contacto del punto de contacto de Fortra donde se pueda obtener más información;
    3. consecuencias probables de la brecha de datos personales; y
    4. medidas tomadas o propuestas por Fortra para abordar la Violación de Datos Personales, incluyendo, cuando corresponda, medidas para mitigar sus posibles efectos adversos.
  • Cuando no es posible proporcionar dicha información al mismo tiempo, Fortra puede proporcionarla por fases sin demoras indebidas adicionales.
  1. En la medida exigida por la Ley de Protección de Datos, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Fortra, Fortra asistirá razonablemente al Cliente para garantizar el cumplimiento de la seguridad del Procesamiento, notificaciones de brechas, evaluaciones de impacto en la protección de datos y consultas previas con las Autoridades Supervisoras a costa del Cliente.

8. Eliminación y devolución de datos personales de clientes

  1. Esta DPA permanecerá vigente mientras Fortra procese los datos personales del cliente en nombre del cliente. A solicitud por escrito, Fortra no podrá eliminar o devolver los datos personales del cliente a más tardar 90 días después de la fecha de finalización de cualquier servicio que implique el tratamiento de los datos personales del cliente. Si la ley obliga a Fortra a mantener los datos personales del cliente, Fortra informará al cliente de dicho requisito.

9. Auditoría

  1. A costa del Cliente, Fortra pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en esta Ley de Protección de Datos y, en la medida requerida por la Ley de Protección de Datos, permitirá y contribuirá a auditorías realizadas por el Cliente u otro auditor mandatado por el Cliente. El Cliente solo podrá ejercer su derecho a auditar una vez por año natural y no incluirá acceso a instalaciones o sistemas. Fortra y el Cliente discutirán y acordarán por escrito la fecha razonable de inicio, el alcance y la duración, así como los controles de seguridad y confidencialidad aplicables a cualquier auditoría, y el Cliente tomará todas las medidas necesarias para minimizar la interrupción en el negocio de Fortra. El cliente o auditor relevante no tendrá derecho a acceder a ningún otro de los datos personales de los clientes de Fortrani a ningún sistema que no esté involucrado en el tratamiento de los datos personales del cliente. Cualquier información obtenida en el marco de una auditoría se considerará información confidencial de Fortra.  

10. Transferencias internacionales

  1. Fortra garantizará que, según corresponda, que cualquier transferencia de los datos personales del cliente, sujeta al GDPR, el PIB del Reino Unido y/o el FADP, fuera del EEE, Reino Unido y/o Suiza, a un tercer país sin una Decisión de Suficiencia cumpla con la Ley de Protección de Datos.
  2. Si el cliente transfiere los datos personales del cliente sujetos al GDPR, el PIB del Reino Unido y/o el FADP fuera del EEE, Reino Unido y/o Suiza, según corresponda, a Fortra en un tercer país sin una Decisión de Suficiencia, las Partes acuerdan cumplir con los módulos 2 y/o 3 de las Cláusulas Contractuales Estándar, según corresponda, que se incorporan a esta DPA por referencia, como si hubieran sido expuestos en su totalidad, y están incluidos en esta cláusula 10. Las Partes acuerdan que, a efectos de las Cláusulas Contractuales Estándar, el Cliente será el exportador de datos y Fortra el importador de datos.
  3. Las Partes acuerdan que la ejecución o aceptación del Acuerdo de Servicios constituye la ejecución de las Cláusulas Contractuales Estándar en la medida requerida por la Ley de Protección de Datos.
  4. Las Partes acuerdan completar los SCC de la UE de la siguiente manera en relación con los datos personales del cliente sujetos al RGPD: (i) se excluyen las cláusulas opcionales; (ii) los detalles de las Partes deberán ser tal como se establece en el Acuerdo de Servicios y en esta DPA; (iii) la descripción de la transferencia deberá ser la que se establezca en la sección correspondiente del Anexo 1 de este DPA; (iv) la Autoridad de Supervisión competente se determinará conforme al artículo 13 de los CSC de la UE; (v) las medidas de seguridad técnicas y organizativas del importador de datos deberán estar de acuerdo con la cláusula 5 de esta DPA; y (vi) el importador de datos tiene una autorización general por escrito para nombrar subprocesadores de acuerdo con la cláusula 6 de esta DPA.
  5. Las Partes acuerdan completar el Anexo del Reino Unido en relación con los Datos Personales del Cliente sujetos al RGPD del Reino Unido: (i) la versión de los SCC de la UE a la que se adjunta el Anexo del Reino Unido será la versión establecida en este DPA y que se rellena en la cláusula 10.4; (ii) la fecha de inicio será la fecha del Acuerdo de Servicios; (iii) los detalles de las Partes y del Anexo deberán estar de acuerdo con la cláusula 10.4; (iv) la Autoridad Supervisora competente será el Comisionado de Información; y (v) el importador de datos tendrá derecho a terminar el Anexo del Reino Unido.
  6. Las Partes acuerdan cumplir con los SCC de la UE según lo establecido en la cláusula 10.4 de esta APD en relación con los Datos Personales del Cliente sujetos al FADP, y según se enmiende: (i) la Autoridad Supervisora competente será el Comisionado Federal de Protección de Datos e Información; (ii) el término 'Estado Miembro' no se interpretará para excluir a los Sujetos de Datos en Suiza de iniciar procedimientos legales en Suiza; y (iii) las referencias al 'RGPD' en se entenderán como referencias al FADP.
  7. Las siguientes salvaguardas adicionales están diseñadas para apoyar aún más el uso de las Cláusulas Contractuales Estándar por parte de las Partes: (a) Fortra indica que, a la fecha de entrada en vigor de esta DPA, no ha recibido ninguna solicitud bajo la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de EE. UU. para los Datos Personales de residentes del EEE, Reino Unido, Suiza o cualquier otro país similar; (b) Fortra notificará al Cliente si no puede cumplir con las Cláusulas Contractuales Estándar; y (c) si Fortra recibe una solicitud de cualquier Datos Personales de Cliente de cualquier tercero, incluyendo un gobierno o una autoridad policial o conforme a la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera, Fortra hará esfuerzos comercialmente razonables para invocar las defensas disponibles contra la divulgación y minimizará el alcance de cualquier divulgación legalmente requerida solo a lo estrictamente necesario para cumplir con la obligación de divulgación.

11. Limitación de responsabilidad

Esta DPA está sujeta a los términos y condiciones del Acuerdo de Servicios y las limitaciones de responsabilidad establecidas en dicho Acuerdo se aplicarán a esta DPA, incluyendo sin limitación cualquier incumplimiento de esta DPA por cualquiera de las partes. Para evitar dudas, dichas limitaciones de responsabilidad son un límite agregado y todas las reclamaciones bajo esta DPA se agregarán con todas las reclamaciones bajo el Acuerdo de Servicios. 

Anexo 1

Instrucción de Procesamiento de Datos

Naturaleza del procesamientoLa naturaleza del Procesamiento implica, pero no se limita a, recopilar, usar, almacenar y transferir Datos Personales del Cliente.
Propósitos del tratamientoPara los fines de prestar los servicios conforme al Acuerdo de Servicios.
Tipos de datos personales, incluyendo datos personales de categoría especial

El exportador de datos puede presentar Datos del cliente, cuyo alcance está determinado y controlado por el exportador de datos a su entera discreción, y que puede incluir, pero no se limita a, las siguientes categorías de datos del cliente: 

Según lo establecido en el Acuerdo de Servicios.

Categorías de sujetos de datos

El Exportador de Datos puede enviar Datos del Cliente a la(s) Solución(es), cuyo alcance esté determinado y controlado por el Exportador de Datos a su entera discreción, y que puede incluir, pero no se limita a, Datos del Cliente relacionados con las siguientes categorías de sujetos de datos: 

Según lo establecido en el Acuerdo de Servicios.

Frecuencia y duración del procesamientoDe forma continua durante la vigencia del Acuerdo de Servicios.

Anexo 2

Apéndice 2

Medidas técnicas y organizativas

Las siguientes medidas pueden aplicarse dependiendo del servicio prestado:

  1. Control de la organización
    • Políticas y procedimientos internos de procesamiento de datos, directrices, instrucciones de trabajo, descripciones de procesos y regulaciones para la programación, prueba y liberación de datos
    • Formación regular de empleados en materia de protección de datos
    • Nombramiento de un responsable de protección de datos
    • Principio de los cuatro ojos
  2. Control de acceso de personas
    • Establecer autorizaciones de acceso para empleados y terceros, incluyendo la documentación correspondiente
    • Tarjetas de identidad, pases de tarjeta de código o pases biométricos
    • Cerraduras de seguridad o cerraduras electrónicas
    • Restricciones sobre teclas / códigos de tecla
    • Sistema de alarma de seguridad
    • Medidas constructivas (vallado, puertas cerradas, ventanas cerradas)
    • Áreas de seguridad específicas con control de acceso propio ("talleres cerrados")
  3. Control de acceso a datos
    • Sistema de autorización de acceso con niveles específicos de autorización para empleados y terceros
    • Pseudonimización y cifrado de datos
    • Uso funcional y/o con restricción temporal de terminales y/o usuarios de terminales y características de identificación
    • Directrices para la creación de contraseñas seguras
    • Bloqueo automático de pantalla tras un cierto periodo de tiempo
    • Registro de eventos (seguimiento de intentos de robo)
    • Registro y análisis del uso de los archivos
    • Protección de redes internas contra accesos no autorizados (por ejemplo, por cortafuegos)
  4. Control de Transmisión
    • Autenticación del personal autorizado tanto para la liberación como para la recepción de datos
    • Registro de lanzamientos y análisis de registros
    • Cifrado de los datos en la transmisión o el transporte
    • Firma electrónica
    • Control de la completitud y la corrección
    • Implementación de un concepto de mantenimiento remoto
  5. Control de entrada
    • Registro y análisis de logacroníaco del procesamiento de datos
    • Firma electrónica
  6. Control de disponibilidad
    • Ejecución de un análisis de riesgo y puntos débiles
    • Separación de funciones entre el departamento de TI y otros departamentos
    • Mantener todo el software utilizado actualizado (por ejemplo, mediante actualizaciones, parches, correcciones, etc.)
    • Existencia de un plan de emergencia (plan de contingencia de respaldo)
    • Generación de copias de seguridad a intervalos regulares y almacenamiento separado y seguro
    • Configuración del servidor en una sala de servidores o centro de datos asegurado por separado
    • Medidas de protección contra incendios
    • Generador de energía de emergencia
    • Reflejo de datos
  7. Control de separación
    • Almacenamiento de los datos en colectores de datos separados (separación física)
    • Política de autorización (separación lógica)
    • Capacidad Multicliente
    • Separación de datos de prueba y datos productivos