Acuerdo de procesamiento de datos

1. Adenda de procesamiento de datos

ULTEH se compromete a garantizar la privacidad, seguridad y cumplimiento de los datos de los clientes. Este Adenda de Procesamiento de Datos (DPA) describe los términos que rigen cómo procesamos, almacenamos y protegemos los datos personales de conformidad con las leyes y regulaciones de protección de datos aplicables. Este DPA es una extensión de nuestro acuerdo principal con los Clientes y se aplica cuando ULTEH procesa datos personales en nombre del Cliente como procesador de datos. Establece responsabilidades claras para ambas partes en relación con el manejo de datos, garantizando el cumplimiento de las leyes de privacidad pertinentes. Al utilizar ULTEH, los Clientes reconocen y aceptan los términos establecidos en este DPA. Si necesita una copia firmada de este acuerdo con fines de cumplimiento, contáctenos.

2. Definiciones

Afiliada se refiere a cualquier entidad que controla directa o indirectamente, es controlada por, o está bajo control común con una parte. “Control” significa la propiedad directa o indirecta de al menos el 50% de las acciones con derecho a voto, intereses de capital o derechos similares en la entidad, lo que otorga la capacidad de influir en su gestión y políticas. Las afiliadas se consideran sujetas a las obligaciones y responsabilidades establecidas en este DPA en la medida en que participen en el tratamiento de Datos Personales.

Subencargado autorizado significa cualquier proveedor, prestador de servicios o contratista externo contratado por el Proveedor de Servicios para procesar los Datos Personales del Cliente exclusivamente en nombre y bajo las instrucciones del Proveedor de Servicios. Los Subencargados autorizados ayudan a cumplir las obligaciones bajo este DPA y el Acuerdo principal. Todos los Subencargados deben cumplir con las mismas obligaciones de protección de datos, manteniendo la seguridad, confidencialidad y cumplimiento normativo.

Datos de la cuenta se refiere a toda la información relacionada con el negocio que el Proveedor de Servicios recopila, almacena y procesa en relación con su relación contractual con el Cliente. Esto incluye, entre otros, los nombres, direcciones de correo electrónico, números de teléfono, detalles de pago y credenciales de acceso de las personas autorizadas por el Cliente para gestionar y operar su cuenta en la plataforma del Proveedor de Servicios. Los Datos de la cuenta se utilizan exclusivamente para fines administrativos, de facturación y soporte.

Leyes de protección de datos abarca todas las leyes, regulaciones y marcos aplicables que rigen la recopilación, el procesamiento, el almacenamiento, la transferencia y la protección de los Datos Personales. Esto incluye, entre otros, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, el UK GDPR aplicable en el Reino Unido, la Ley de Privacidad del Consumidor de California (CCPA) y cualquier otra ley nacional o internacional de privacidad relevante para las actividades de procesamiento de datos bajo este Acuerdo. Cumplir con estas leyes garantiza que los Datos Personales se gestionen de manera legal, transparente y segura.

Datos personales se refiere a cualquier información relacionada con una persona física identificada o identificable ("Sujeto de datos"). Una persona identificable es aquella que puede ser identificada directa o indirectamente, en particular mediante identificadores como nombre, dirección de correo electrónico, número de teléfono, datos de ubicación, un identificador en línea (como dirección IP o cookies) u otros factores únicos que definan su identidad. Los datos personales excluyen los datos anonimizados o agregados que no pueden utilizarse para identificar a una persona.

Tratamiento significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o manualmente. Esto incluye, entre otros, la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la modificación, la recuperación, la consulta, el uso, la divulgación, la transmisión, la restricción, la eliminación o la destrucción de Datos Personales. El tratamiento se realiza de acuerdo con las instrucciones del Cliente y las Leyes de Protección de Datos aplicables.

Medidas de seguridad se refiere a las salvaguardas técnicas y organizativas implementadas para garantizar la confidencialidad, integridad y disponibilidad de los Datos Personales. Estas medidas incluyen cifrado, controles de acceso, cortafuegos, enmascaramiento de datos, seudonimización, auditorías de seguridad periódicas y mecanismos de notificación de brechas. Las Medidas de seguridad están diseñadas para prevenir el acceso no autorizado, la pérdida accidental o el tratamiento ilícito de los Datos Personales.

Autoridad de control se refiere a una autoridad pública independiente responsable de supervisar y hacer cumplir el cumplimiento de las Leyes de Protección de Datos. Ejemplos incluyen el Comité Europeo de Protección de Datos (EDPB) para asuntos relacionados con el RGPD, la Oficina del Comisionado de Información del Reino Unido (ICO) para el RGPD del Reino Unido y la Agencia de Protección de la Privacidad de California (CPPA) para la aplicación de la CCPA. La Autoridad de control tiene la facultad legal de investigar quejas, emitir directrices e imponer sanciones por incumplimiento.

Derechos del interesado se refiere a los derechos otorgados a las personas en virtud de las Leyes de Protección de Datos aplicables. Estos derechos pueden incluir el acceso, la rectificación, la eliminación, la restricción o la transferencia de sus Datos Personales, así como el derecho a oponerse al tratamiento y a presentar reclamaciones ante una Autoridad de control. El Proveedor de servicios ayuda a los Clientes a facilitar el ejercicio de estos derechos cuando corresponda.

3. Procesamiento de datos

El Cliente puede actuar como Responsable del Tratamiento o como Encargado del Tratamiento, según su relación con el interesado y los fines para los que se procesan los datos personales. En todos los casos, ULTEH actúa como Encargado del Tratamiento, procesando los datos personales en nombre y bajo las instrucciones del Cliente.

El Cliente es responsable de garantizar que todas las actividades de tratamiento de datos realizadas mediante nuestros Servicios cumplan con las Leyes de Protección de Datos Aplicables, incluyendo, entre otras, el Reglamento General de Protección de Datos (GDPR), el GDPR del Reino Unido, la Ley de Privacidad del Consumidor de California (CCPA) y otras normativas de privacidad aplicables. El Cliente reconoce que cuenta con la base legal para tratar los Datos Personales y nos indemniza frente a cualquier reclamación, responsabilidad o daño derivado del incumplimiento de estos requisitos legales.

Procesaremos los Datos Personales únicamente de acuerdo con las instrucciones escritas del Cliente y solo en la medida necesaria para prestar los Servicios, salvo que la ley disponga lo contrario. No utilizaremos, divulgaremos ni compartiremos los Datos Personales para ningún otro fin que no haya sido autorizado por el Cliente o expresamente indicado en este Acuerdo.

Tras la resolución del Acuerdo o a solicitud del Cliente, procederemos, según la elección del Cliente, a: (a) Eliminar de forma segura todos los Datos Personales tratados en virtud de este Acuerdo, asegurando que no queden copias salvo que la ley lo exija, o (b) Devolver los Datos Personales al Cliente en un formato estructurado, de uso común y legible por máquina antes de su eliminación. El Cliente debe realizar dichas solicitudes con un plazo razonable antes de la terminación.

Si estamos legalmente obligados a conservar Datos Personales después de la terminación, notificaremos al Cliente (a menos que la ley lo prohíba) y garantizaremos que dichos datos permanezcan protegidos conforme a las Leyes de Protección de Datos.

4. Seguridad y confidencialidad

ULTEH se compromete a proteger la seguridad y confidencialidad de los Datos Personales procesados en nombre del Cliente. Para garantizar la integridad y seguridad de los datos, implementamos y mantenemos medidas de seguridad líderes en la industria diseñadas para prevenir el acceso, divulgación, alteración o destrucción no autorizados de los Datos Personales.

Estas medidas de seguridad incluyen, entre otras:

• Cifrado de datos: Los datos personales se cifran tanto en tránsito como en reposo utilizando protocolos de cifrado estándar de la industria para protegerlos contra accesos no autorizados.
• Controles de acceso: Políticas estrictas de gestión de accesos garantizan que solo el personal autorizado tenga acceso a los datos personales, siguiendo el principio de mínimo privilegio.
• Seguridad de red y sistemas: Los cortafuegos, los sistemas de detección de intrusiones y la monitorización continua ayudan a prevenir accesos no autorizados y amenazas cibernéticas.
• Anonimización y seudonimización de datos: Cuando corresponda, los datos personales pueden anonimizarse o seudonimizarse para reducir los riesgos asociados a la exposición de datos.
• Auditorías de seguridad periódicas: Realizamos evaluaciones de seguridad, pruebas de vulnerabilidad y revisiones de cumplimiento de manera periódica para identificar y mitigar riesgos.
• Plan de respuesta ante incidentes: Un protocolo estructurado de respuesta a incidentes garantiza que cualquier brecha de seguridad sea identificada, mitigada y reportada de manera oportuna conforme a las leyes de protección de datos aplicables.

Cualquier persona, incluidos empleados, contratistas y proveedores de servicios autorizados, que procese Datos Personales en nuestro nombre está sujeta a estrictas obligaciones de confidencialidad. Esto incluye la firma de acuerdos de confidencialidad (NDA) legalmente vinculantes y el cumplimiento de las políticas internas de manejo de datos para garantizar el cumplimiento de los estándares de privacidad y seguridad de los datos.

Notificaremos de inmediato al Cliente sobre cualquier brecha de seguridad confirmada que pueda resultar en la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales. Dichas notificaciones incluirán detalles del incidente, el posible impacto y las acciones correctivas tomadas para mitigar los riesgos.

Revisamos y actualizamos continuamente nuestras medidas de seguridad de acuerdo con los estándares de la industria y requisitos regulatorios en evolución para garantizar la protección continua de los datos de los clientes.

5. Subencargados

ULTEH puede contratar a Subencargados de terceros para ayudar en la prestación y el mantenimiento de los Servicios. Estos Subencargados realizan funciones específicas como almacenamiento de datos, alojamiento de infraestructura, análisis o soporte al cliente. Nos aseguramos de que todos los Subencargados cumplan con estrictas obligaciones de protección de datos equivalentes a las establecidas en este DPA.

Mantenemos una lista actualizada de Subencargados, incluyendo sus funciones y ubicaciones de procesamiento. Los clientes pueden solicitar información sobre los Subencargados actuales en cualquier momento poniéndose en contacto con nosotros.

Derechos y objeciones del cliente:

• Notificaremos a los clientes sobre cualquier nuevo subprocesador al menos con 10 días de antelación.
• Los clientes pueden presentar una objeción por escrito al uso de un nuevo subprocesador dentro de este período de 10 días si tienen preocupaciones legítimas sobre la protección de datos.
• Al recibir una objeción, entablaremos conversaciones de buena fe para abordar las inquietudes, lo que puede incluir buscar soluciones alternativas.
• Si no se alcanza una solución aceptable para ambas partes, el Cliente podrá rescindir los Servicios afectados de acuerdo con el Contrato.

Seguimos siendo totalmente responsables y asumimos la responsabilidad por las acciones de nuestros Subencargados y nos aseguramos de que cumplan con:

• Leyes de protección de datos, incluyendo el RGPD, la CCPA y otras regulaciones aplicables.
• Acuerdos de confidencialidad para proteger los datos personales.
• Medidas de seguridad estándar de la industria para prevenir el acceso no autorizado o el uso indebido de datos.

Nos reservamos el derecho de actualizar o reemplazar a nuestros subprocesadores según sea necesario, teniendo en cuenta las inquietudes de los clientes y las obligaciones de cumplimiento vigentes.

6. Transferencias de datos personales

ULTEH puede transferir Datos Personales fuera del Espacio Económico Europeo (EEE), Reino Unido (UK) o Suiza para facilitar la prestación de los Servicios. Cuando se realicen dichas transferencias, nos aseguramos de que existan las garantías legales adecuadas para proteger los datos transferidos conforme a las leyes de protección de datos aplicables.

Confiamos en mecanismos reconocidos de transferencia de datos, incluyendo pero no limitándose a:

• Cláusulas contractuales estándar (SCC): Incorporamos las SCC aprobadas por la Comisión Europea u otras autoridades competentes para garantizar transferencias de datos legales.
• Medidas suplementarias: Cuando es necesario, aplicamos salvaguardas técnicas, organizativas y contractuales adicionales para reforzar la protección de datos.
• Normas corporativas vinculantes (BCR): Cuando corresponde, nuestras entidades afiliadas cumplen con las BCR para garantizar un alto nivel de protección de datos en operaciones internacionales.
• Otros mecanismos de transferencia aprobados: Cumplimos con cualquier marco, certificación o instrumento legal adicional reconocido para transferencias internacionales de datos.

Derechos y asistencia al cliente: Nos comprometemos a ayudar al Cliente a garantizar el cumplimiento de los derechos de los interesados según las leyes de protección de datos aplicables. Esto incluye, entre otros:

• Solicitudes de acceso: Permitir que los interesados accedan a sus datos personales.
• Solicitudes de rectificación: Permiten corregir datos inexactos o incompletos.
• Solicitudes de supresión (“Derecho al olvido”): Asistencia para eliminar datos personales cuando sea legalmente posible.
• Oposición y restricción del tratamiento: Apoyo a los interesados en ejercer su derecho a oponerse o restringir el tratamiento de datos.
• Portabilidad de datos: Facilitamos la transferencia de datos personales a otro responsable del tratamiento, cuando corresponda.

Supervisamos continuamente las regulaciones de privacidad a nivel mundial para garantizar el cumplimiento de los requisitos de transferencia internacional de datos y notificaremos al Cliente si los cambios en el marco legal afectan nuestras obligaciones de procesamiento de datos.

7. Derechos del interesado

ULTEH reconoce y respeta los derechos de los Interesados en virtud de las Leyes de Protección de Datos aplicables. Asistiremos al Cliente, como Responsable del Tratamiento, en la respuesta a las solicitudes de las personas con respecto a sus Datos Personales.

Los Interesados pueden ejercer los siguientes derechos:

• Derecho de Acceso: La capacidad de solicitar y obtener confirmación de si sus datos están siendo tratados, junto con el acceso a los datos.
• Derecho de Rectificación: El derecho a corregir o actualizar Datos Personales inexactos o incompletos.
• Derecho de Supresión ("Derecho al Olvido"): El derecho a solicitar la eliminación de los Datos Personales, sujeto a obligaciones legales y contractuales.
• Derecho a la Limitación del Tratamiento: La capacidad de limitar el tratamiento de los Datos Personales bajo ciertas condiciones.
• Derecho a la Portabilidad de los Datos: La capacidad de obtener y transferir los Datos Personales a otro proveedor de servicios cuando sea técnicamente viable.
• Derecho de Oposición: El derecho a oponerse al tratamiento basado en intereses legítimos, marketing directo o toma de decisiones automatizada.
• Derecho a Retirar el Consentimiento: Si el tratamiento se basa en el consentimiento, el Interesado puede retirar su consentimiento en cualquier momento.

Responsabilidades del Cliente: El Cliente, actuando como Responsable del Tratamiento, es responsable de gestionar las solicitudes de los Interesados. Proporcionaremos asistencia razonable a petición, asegurando que las respuestas se manejen con prontitud y en cumplimiento de las leyes aplicables.

No responderemos directamente a una solicitud de un Interesado a menos que la ley lo requiera o el Cliente lo autorice expresamente.

8. Notificación de violación de datos

ULTEH se toma la seguridad en serio e implementa medidas preventivas para salvaguardar los Datos Personales. Sin embargo, en caso de una Violación de Datos Personales, actuaremos de forma rápida y transparente.

Plan de Respuesta ante Violaciones de Datos: Si tenemos conocimiento de una Violación de Datos Personales confirmada que pueda resultar en el acceso no autorizado, pérdida, alteración o divulgación de Datos Personales, haremos lo siguiente:

• Evaluar el impacto de la violación y tomar medidas inmediatas para mitigar los riesgos.
• Notificar al Cliente sin demora indebida (normalmente dentro de las 48 horas posteriores a la confirmación).
• Proporcionar detalles que incluyan:
  • La naturaleza y el alcance de la violación.
  • El tipo de datos afectados.
  • Las posibles consecuencias.
  • Las medidas tomadas o propuestas para abordar la violación.
• Asistir al Cliente en el cumplimiento de cualquier obligación regulatoria, incluidas las notificaciones a las autoridades y a los Interesados afectados, cuando sea necesario.
• Implementar acciones correctivas para prevenir futuras violaciones.

Responsabilidades del Cliente: El Cliente es responsable de determinar si debe notificar a las autoridades reguladoras y a los Interesados en cumplimiento de las Leyes de Protección de Datos aplicables.

Documentaremos todas las violaciones y mantendremos registros de nuestra investigación, esfuerzos de mitigación y acciones de remediación.

9. Retención y eliminación de datos

ULTEH conserva los Datos Personales solo durante el tiempo necesario para cumplir con sus obligaciones bajo este Acuerdo o según lo exijan las leyes aplicables.

Política de retención de datos:

• Seguimos principios de minimización de datos, asegurando que los datos se conserven solo por necesidades comerciales y de cumplimiento legítimas.
• Los datos serán eliminados o anonimizados una vez que ya no sean necesarios para los fines del procesamiento.
• Los períodos de retención pueden variar según los requisitos legales, contractuales o regulatorios.

Eliminación de datos controlada por el cliente:

• Los clientes pueden solicitar la eliminación de datos personales en cualquier momento.
• Al finalizar los servicios, eliminaremos o devolveremos los Datos Personales según las instrucciones del Cliente.
• Si no se solicita la eliminación, eliminaremos automáticamente los Datos Personales en un plazo razonable, salvo que la ley exija conservarlos.

Excepciones a la eliminación de datos: En ciertos casos, podemos conservar los Datos Personales más allá del período de retención acordado, incluyendo:

• Para cumplir con obligaciones legales (por ejemplo, requisitos fiscales, de auditoría o regulatorios).
• Por intereses legítimos, como la prevención de fraudes o investigaciones de seguridad.
• Cuando lo requiera una solicitud legal vinculante (por ejemplo, una orden judicial).

Nos aseguramos de que se sigan procedimientos seguros de eliminación, evitando cualquier recuperación o uso no autorizado de los Datos Personales.

10. Ley aplicable y resolución de disputas

Este Anexo de Procesamiento de Datos (DPA) se regirá e interpretará de acuerdo con las mismas leyes y jurisdicción definidas en el acuerdo principal entre ULTEH y el Cliente.

Proceso de resolución de disputas: Si surge alguna disputa relacionada con este DPA, ambas partes acuerdan seguir un proceso estructurado de resolución, que incluye:

• Negociación de buena fe: Las partes intentarán resolver las disputas primero mediante conversaciones y negociaciones directas.
• Mediación o arbitraje: Si la negociación falla, la disputa podrá remitirse a mediación o arbitraje, según lo establecido en el acuerdo principal.
• Procedimientos legales: Si no se llega a una resolución, las disputas podrán resolverse mediante procedimientos legales formales en la jurisdicción aplicable.

En caso de cualquier conflicto entre este DPA y el acuerdo principal, los términos de este DPA prevalecerán únicamente en lo relativo a la protección de datos, garantizando el cumplimiento de las Leyes de Protección de Datos aplicables.

11. Disposiciones finales

Este Anexo de Procesamiento de Datos forma parte integral del acuerdo general entre ULTEH y el Cliente. Al continuar utilizando los Servicios, el Cliente reconoce y acepta los términos de este DPA.

Si alguna disposición de este DPA se considera inválida o inaplicable, las disposiciones restantes seguirán en pleno vigor y efecto. Las partes acuerdan reemplazar cualquier disposición inaplicable por otra que refleje lo más fielmente posible la intención original y cumpla con la legislación aplicable.

Modificaciones y actualizaciones: Nos reservamos el derecho de modificar o actualizar este DPA para reflejar cambios en las leyes de protección de datos aplicables, prácticas del sector o necesidades operativas. Se notificará a los clientes sobre cualquier cambio importante, y el uso continuado de los Servicios implica la aceptación de los términos actualizados.

Información de contacto: Para cualquier pregunta, inquietud o para solicitar una copia firmada de este DPA, los clientes pueden contactarnos en: [email protected].