Anexo sobre procesamiento de datos

1. Introducción

ULTEH se compromete a garantizar la privacidad, la seguridad y el cumplimiento normativo de los datos de sus clientes. Este Anexo sobre Procesamiento de Datos (APD) describe los términos que rigen el procesamiento, el almacenamiento y la protección de los datos personales, de acuerdo con las leyes y normativas de protección de datos aplicables. Este DPA es una extensión de nuestro acuerdo principal con los Clientes y se aplica cuando ULTEH procesa datos personales en nombre del Cliente como encargado del tratamiento. Establece responsabilidades claras para ambas partes en relación con el tratamiento de datos, garantizando el cumplimiento de la legislación en materia de privacidad. Mediante el uso ULTEH, Los clientes reconocen y aceptan los términos establecidos en este DPA. Si necesita una copia firmada de este acuerdo para fines de cumplimiento, contáctenos.

2. Definiciones

Filial Se refiere a cualquier entidad que, directa o indirectamente, controle, sea controlada por o esté bajo control conjunto con una parte. "Control" significa la propiedad directa o indirecta de al menos el 50 % de las acciones con derecho a voto, participaciones en el capital o derechos similares de la entidad, lo que otorga la capacidad de influir en su gestión y políticas. Las filiales se consideran sujetas a las obligaciones y responsabilidades descritas en este DPA en la medida en que participen en el tratamiento de Datos Personales.

Subprocesador autorizado Se refiere a cualquier proveedor, prestador de servicios o contratista externo contratado por el Proveedor de Servicios para procesar los Datos Personales del Cliente estrictamente en nombre y bajo sus instrucciones. Los Subencargados del Tratamiento Autorizados colaboran en el cumplimiento de las obligaciones derivadas del presente DPA y del Acuerdo principal. Todos los Subencargados del Tratamiento deben cumplir con las mismas obligaciones de protección de datos, garantizando la seguridad, la confidencialidad y el cumplimiento normativo.

Datos de la cuenta Se refiere a toda la información comercial recopilada, almacenada y procesada por el Proveedor de Servicios en relación con su relación contractual con el Cliente. Esto incluye, entre otros, los nombres, direcciones de correo electrónico, números de teléfono, detalles de pago y credenciales de acceso de las personas autorizadas por el Cliente para administrar y operar su cuenta en la plataforma del Proveedor de Servicios. Los Datos de la Cuenta se utilizan estrictamente con fines administrativos, de facturación y de soporte.

Leyes de protección de datos Abarca todas las leyes, normativas y marcos aplicables que rigen la recopilación, el procesamiento, el almacenamiento, la transferencia y la protección de Datos Personales. Esto incluye, entre otros, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el RGPD del Reino Unido aplicable al Reino Unido, la Ley de Privacidad del Consumidor de California (CCPA) y cualquier otra legislación nacional o internacional sobre privacidad relevante para las actividades de procesamiento de datos en virtud de este Acuerdo. El cumplimiento de estas leyes garantiza que los Datos Personales se gestionen de forma legal, transparente y segura.

Datos personales Se refiere a cualquier información relativa a una persona física identificada o identificable («Interesado»). Una persona identificable es aquella que puede ser identificada directa o indirectamente, en particular mediante identificadores como nombre, dirección de correo electrónico, número de teléfono, datos de ubicación, un identificador en línea (como la dirección IP o las cookies) u otros factores únicos que definen su identidad. Los Datos Personales excluyen los datos anonimizados o agregados que no pueden utilizarse para identificar a una persona.

Tratamiento Se refiere a cualquier operación o conjunto de operaciones realizadas con Datos Personales, ya sea de forma automatizada o manual. Esto incluye, entre otras, la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la modificación, la recuperación, la consulta, el uso, la divulgación, la transmisión, la restricción, la supresión o la destrucción de Datos Personales. El tratamiento se realiza de acuerdo con las instrucciones del Cliente y la legislación aplicable en materia de protección de datos.

Medidas de seguridad Se refieren a las medidas de seguridad técnicas y organizativas implementadas para garantizar la confidencialidad, integridad y disponibilidad de los Datos Personales. Estas medidas incluyen cifrado, controles de acceso, cortafuegos, enmascaramiento de datos, seudonimización, auditorías de seguridad periódicas y mecanismos de notificación de infracciones. Las Medidas de Seguridad están diseñadas para prevenir el acceso no autorizado, la pérdida accidental o el procesamiento ilícito de los Datos Personales.

Autoridad de supervisión Se refiere a una autoridad pública independiente responsable de supervisar y hacer cumplir las Leyes de Protección de Datos. Algunos ejemplos son el **Comité Europeo de Protección de Datos (CEPD)** para asuntos relacionados con el RGPD, la **Oficina del Comisionado de Información del Reino Unido (ICO)** para el RGPD del Reino Unido y la **Agencia de Protección de la Privacidad de California (CPPA)** para la aplicación de la CCPA. La Autoridad de Supervisión tiene la facultad legal de investigar quejas, emitir directrices e imponer sanciones por incumplimiento.

Derechos del titular de los datos Consulte los derechos que las Leyes de Protección de Datos aplicables otorgan a las personas. Estos derechos pueden incluir el derecho a acceder, rectificar, eliminar, restringir o transferir sus Datos Personales, así como el derecho a oponerse al tratamiento y a presentar reclamaciones ante una Autoridad de Control. El Proveedor de Servicios ayuda a los Clientes a ejercer estos derechos cuando corresponda.

3. Tratamiento de datos

El cliente puede actuar como un Responsable del tratamiento de datos o una Encargado del tratamiento de datos, dependiendo de su relación con el Titular de los Datos y de las finalidades para las que se traten los Datos Personales. En todos los casos, ULTEH actúa como un Encargado del tratamiento de datos, procesar Datos Personales en nombre y bajo las instrucciones del Cliente.

El Cliente es responsable de garantizar que todas las actividades de procesamiento de datos realizadas utilizando nuestros Servicios cumplan con Leyes de protección de datos aplicables, incluyendo pero no limitado a lo siguiente: Reglamento General de Protección de Datos (RGPD), RGPD del Reino Unido, Ley de Privacidad del Consumidor de California (CCPA) y otras normativas de privacidad aplicables. El Cliente reconoce que tiene la base legal para procesar Datos Personales y nos indemniza contra cualquier reclamo, responsabilidad o daño resultante del incumplimiento de estos requisitos legales.

Procesaremos datos personales únicamente de acuerdo con las instrucciones escritas del Cliente y únicamente según sea necesario para la prestación de los Servicios, salvo que la ley disponga lo contrario. No utilizaremos, divulgaremos ni compartiremos Datos Personales para ningún fin distinto al autorizado por el Cliente o descrito explícitamente en este Acuerdo.

Al rescisión del Contrato o solicitud del Cliente, Nosotros, a discreción del Cliente, haremos lo siguiente:: (a) Eliminar de forma segura todos los Datos Personales procesados bajo este Acuerdo, asegurando que no queden copias a menos que lo exija la ley, o (b) Devolver los datos personales Al Cliente en un formato estructurado, de uso común y legible por máquina antes de su eliminación. El Cliente deberá presentar dichas solicitudes dentro de un plazo razonable antes de la rescisión.

Si estamos legalmente obligados a conservar Datos Personales más allá de la terminación, notificaremos al Cliente (a menos que la ley nos prohíba hacerlo) y nos aseguraremos de que dichos datos permanezcan protegidos de conformidad con las Leyes de Protección de Datos.

4. Seguridad y confidencialidad

ULTEH se compromete a proteger la seguridad y confidencialidad de Datos personales procesados en nombre de la Cliente. Para garantizar la integridad y seguridad de los datos, implementamos y mantenemos medidas de seguridad líderes en la industria diseñado para evitar el acceso no autorizado, la divulgación, la alteración o la destrucción de Datos Personales.

Estos medidas de seguridad incluyen, pero no se limitan a:

• Cifrado de datos: Los datos personales se cifran tanto en tránsito como en reposo mediante protocolos de cifrado estándar de la industria para protegerlos contra el acceso no autorizado.
• Controles de acceso: Las estrictas políticas de gestión de acceso garantizan que sólo el personal autorizado tenga acceso a los Datos Personales según el principio del mínimo privilegio.
• Seguridad de redes y sistemas: Los firewalls, los sistemas de detección de intrusiones y la monitorización continua ayudan a prevenir el acceso no autorizado y las amenazas cibernéticas.
• Anonimización y seudonimización de datos: Cuando corresponda, los Datos Personales podrán anonimizarse o seudonimizarse para reducir los riesgos asociados con la exposición de datos.
• Auditorías de seguridad periódicas: Realizamos evaluaciones de seguridad periódicas, pruebas de vulnerabilidad y controles de cumplimiento para identificar y mitigar riesgos.
• Plan de respuesta a incidentes: Un protocolo estructurado de respuesta a incidentes garantiza que cualquier violación de seguridad se identifique, mitigue y notifique rápidamente de conformidad con las leyes de protección de datos aplicables.

Cualquier individuo, incluidos empleados, contratistas y proveedores de servicios autorizados, que procese Datos Personales en nuestro nombre está sujeto a obligaciones estrictas de confidencialidad. Esto incluye la firma de acuerdos legalmente exigibles. acuerdos de confidencialidad (NDA) y adherirse a las políticas internas de manejo de datos para garantizar el cumplimiento de los estándares de privacidad y seguridad de datos.

Notificaremos de inmediato al Cliente sobre cualquier **vulneración de seguridad confirmada** que pueda resultar en la destrucción, pérdida, alteración, divulgación o acceso no autorizado, ya sea accidental o ilícito, a Datos Personales. Dichas notificaciones incluirán detalles del incidente, su posible impacto y las medidas correctivas adoptadas para mitigar los riesgos.

Revisamos y actualizamos continuamente nuestras medidas de seguridad de acuerdo con estándares industriales en evolución y requisitos regulatorios para garantizar la protección continua de los datos del Cliente.

5. Subprocesadores

ULTEH puede participar subprocesadores de terceros Para ayudar a proporcionar y mantener los Servicios. Estos Subencargados del Tratamiento realizan funciones específicas como el almacenamiento de datos, el alojamiento de infraestructura, el análisis o la atención al cliente. Nos aseguramos de que todos los Subencargados del Tratamiento contratados cumplan con obligaciones estrictas de protección de datos equivalentes a los descritos en este DPA.

Mantenemos una lista actualizada de subencargados del tratamiento, incluyendo sus funciones y ubicaciones de procesamiento. Los clientes pueden solicitar información sobre los subencargados actuales en cualquier momento contactándonos.

Derechos y objeciones del cliente:

• Notificaremos a los Clientes sobre cualquier **nueva contratación de Subprocesador** al menos 10 días de antelación.
• Los clientes pueden presentar una **objeción** por escrito al uso de un nuevo Subprocesador dentro de este período de 10 días si tienen **preocupaciones legítimas de protección de datos**.
• Al recibir una objeción, entablaremos **conversaciones de buena fe** para abordar las inquietudes, lo que puede incluir encontrar soluciones alternativas.
• Si no se llega a una solución mutuamente aceptable, el Cliente podrá tener derecho a **terminar los Servicios afectados** de conformidad con el Acuerdo.

Nos quedamos totalmente responsable y obligado por las acciones de nuestros Subprocesadores y garantizar que cumplan con:

• Leyes de protección de datos, incluidos GDPR, CCPA y otras regulaciones aplicables.
• Acuerdos de confidencialidad para proteger los datos personales.
• Medidas de seguridad estándar de la industria para evitar el acceso no autorizado o el uso indebido de los datos.

Nos reservamos el derecho de **actualizar o reemplazar** a nuestros Subprocesadores según sea necesario, teniendo debidamente en cuenta las inquietudes del Cliente y las obligaciones de cumplimiento en curso.

6. Transferencias de Datos Personales

ULTEH puede transferir Datos personales fuera de la Espacio Económico Europeo (EEE), Reino Unido (RU) o Suiza Para facilitar la prestación de los Servicios. Cuando se producen dichas transferencias, nos aseguramos de que se cumplan los requisitos salvaguardias legales están establecidos para proteger los datos transferidos de conformidad con las leyes de protección de datos aplicables.

Nos basamos en mecanismos de transferencia de datos reconocidos, incluidos, entre otros::

• Cláusulas contractuales estándar (CCE): Incorporamos SCC aprobadas por la Comisión Europea u otras autoridades competentes para garantizar transferencias de datos legales.
• Medidas complementarias: Cuando es necesario, aplicamos medidas de protección técnicas, organizativas y contractuales adicionales para mejorar la protección de datos.
• Normas corporativas vinculantes (NCV): Cuando corresponde, nuestras entidades afiliadas se adhieren a las BCR garantizando un alto nivel de protección de datos en todas las operaciones internacionales.
• Otros mecanismos de transferencia aprobados: Cumplimos con todos los marcos, certificaciones o instrumentos legales adicionales reconocidos para las transferencias transfronterizas de datos legales.

Derechos y asistencia del cliente: Nos comprometemos a ayudar al Cliente a garantizar el cumplimiento de las derechos de los interesados bajo las Leyes de Protección de Datos aplicables. Esto incluye, pero no se limita a::

• Solicitudes de acceso: Permitir a los interesados acceder a sus datos personales.
• Solicitudes de rectificación: Permitir correcciones a datos inexactos o incompletos.
• Solicitudes de borrado ("Derecho al olvido"): Ayudar con la eliminación de Datos Personales cuando se lo solicite, cuando esté legalmente permitido.
• Objeción y restricción del procesamiento: Apoyar a los interesados en el ejercicio de sus derechos a oponerse o restringir las actividades de tratamiento de datos.
• Portabilidad de datos: Facilitar la transferencia de Datos Personales a otro responsable del tratamiento, cuando corresponda.

Monitoreamos continuamente las regulaciones globales de privacidad para garantizar el cumplimiento de los **requisitos de transferencia de datos transfronteriza** y notificaremos al Cliente si los cambios en el marco legal afectan nuestras obligaciones de procesamiento de datos.

7. Derechos del titular de los datos

ULTEH Reconocemos y respetamos los derechos de los **Interesados** según la **Ley de Protección de Datos** aplicable. Ayudaremos al **Cliente**, como Responsable del Tratamiento, a responder a las solicitudes de las personas respecto a sus **Datos Personales**.

Los interesados podrán ejercer los siguientes derechos:

• Derecho de acceso: La capacidad de solicitar y obtener confirmación de si sus datos están siendo tratados, así como el acceso a los datos.
• Derecho de rectificación: El derecho a corregir o actualizar Datos Personales inexactos o incompletos.
• Derecho de supresión ("Derecho al olvido"): El derecho a solicitar la eliminación de Datos Personales, sujeto a obligaciones legales y contractuales.
• Derecho a restringir el procesamiento: La capacidad de limitar el procesamiento de Datos Personales bajo ciertas condiciones.
• Derecho a la portabilidad de datos: La capacidad de obtener y transferir Datos Personales a otro proveedor de servicios cuando sea técnicamente posible.
• Derecho a objetar: El derecho a oponerse al tratamiento basado en intereses legítimos, marketing directo o toma de decisiones automatizada.
• Derecho a retirar el consentimiento: Si el tratamiento se basa en el consentimiento, el interesado podrá retirarlo en cualquier momento.

Responsabilidades del cliente: El Cliente, en su calidad de Responsable del Tratamiento, es responsable de gestionar las solicitudes del Interesado. Le proporcionaremos **asistencia razonable** si la solicita, garantizando que las respuestas se gestionen **con prontitud y de conformidad** con la legislación aplicable.

No responderemos directamente a una solicitud del Titular de los Datos a menos que estemos legalmente obligados a hacerlo o lo autorice explícitamente el Cliente.

8. Notificación de violación de datos

ULTEH Nos tomamos muy en serio la seguridad e implementamos **medidas preventivas** para proteger los Datos Personales. Sin embargo, en caso de una **Violación de Datos Personales**, actuaremos con **celeridad y transparencia**.

Plan de respuesta ante violaciones de datos: Si tomamos conocimiento de una **violación de datos personales confirmada** que pueda resultar en el **acceso no autorizado, pérdida, alteración o divulgación** de datos personales,:

• **Evalúe el impacto** de la infracción y tome medidas inmediatas para mitigar los riesgos.
• **Notificar al Cliente sin demoras indebidas** (normalmente dentro de las 48 horas siguientes a la confirmación).
• Proporcione detalles que incluyan:
  • La naturaleza y el alcance de la infracción.
  • El tipo de datos afectados.
  • Las posibles consecuencias.
  • Medidas adoptadas o propuestas para abordar la infracción.
• **Ayudar al Cliente** a cumplir con cualquier obligación regulatoria, incluidas las notificaciones a las autoridades y a los Sujetos de Datos afectados, cuando sea necesario.
• **Implementar acciones correctivas** para prevenir futuras infracciones.

Responsabilidades del cliente: El Cliente es responsable de determinar si debe notificar a las autoridades reguladoras y a los Sujetos de Datos de conformidad con las Leyes de Protección de Datos aplicables.

Documentaremos todas las infracciones y mantendremos registros de nuestras **investigaciones, esfuerzos de mitigación y acciones de remediación**.

9. Retención y eliminación de datos

ULTEH retiene **Datos personales solo durante el tiempo que sea necesario** para cumplir con sus obligaciones en virtud de este Acuerdo o según lo requieran las leyes aplicables.

Política de retención de datos:

• Seguimos **principios de minimización de datos**, garantizando que los datos se conserven solo para **necesidades comerciales y de cumplimiento legítimas**.
• Los datos se eliminarán o anonimizarán una vez que **ya no sean necesarios** para los fines de su procesamiento.
• Los períodos de retención pueden variar según los **requisitos legales, contractuales o reglamentarios**.

Eliminación de datos controlada por el cliente:

• Los clientes pueden solicitar la **eliminación de datos personales** en cualquier momento.
• Al finalizar los servicios, **eliminaremos o devolveremos los Datos Personales** de acuerdo con las instrucciones del Cliente.
• Si no se realiza ninguna solicitud de eliminación, **eliminaremos automáticamente** los Datos Personales dentro de un plazo razonable, a menos que estemos legalmente obligados a conservarlos.

Excepciones a la eliminación de datos: En ciertos casos, podemos **retener Datos Personales** más allá del período de retención acordado, incluyendo:

• Para cumplir con **obligaciones legales** (por ejemplo, requisitos fiscales, de auditoría o reglamentarios).
• Por **intereses legítimos**, como la prevención de fraude o investigaciones de seguridad.
• Cuando lo requiera una **solicitud legal vinculante** (por ejemplo, una orden judicial).

Nos aseguramos de que se sigan los **procedimientos de eliminación segura**, evitando cualquier recuperación no autorizada o uso indebido de Datos Personales.

10. Ley aplicable y resolución de disputas

Este Anexo de Procesamiento de Datos (APD) se regirá e interpretará de conformidad con las **mismas leyes y jurisdicciones** definidas en el acuerdo principal entre ULTEH y el Cliente.

Proceso de resolución de disputas: Si surge alguna disputa con respecto a este DPA, ambas partes acuerdan seguir un proceso de resolución estructurado, que incluye:

• Negociación de buena fe: Las partes intentarán primero resolver las disputas mediante discusiones y negociaciones directas.
• Mediación o arbitraje: Si la negociación fracasa, la disputa puede remitirse a mediación o arbitraje, según lo establecido en el acuerdo principal.
• Procedimientos legales: Si no se llega a una solución, las disputas pueden resolverse mediante procedimientos legales formales en la jurisdicción aplicable.

En caso de conflicto entre este DPA y el acuerdo principal, **los términos de este DPA prevalecerán** únicamente en lo que respecta a los asuntos de protección de datos, garantizando el cumplimiento de las normas aplicables. Leyes de protección de datos.

11. Disposiciones finales

Este Anexo sobre Procesamiento de Datos forma parte integral del acuerdo general entre ULTEH y el Cliente. Al continuar utilizando los Servicios, el Cliente reconoce y **acepta los términos de este DPA**.

Si alguna disposición de este DPA se considera **inválida o inaplicable**, las disposiciones restantes seguirán vigentes. Las partes acuerdan sustituir cualquier disposición inaplicable por otra que refleje la intención original lo más fielmente posible, respetando al mismo tiempo la legislación aplicable.

Enmiendas y actualizaciones: Nos reservamos el derecho a **modificar o actualizar este DPA** para reflejar cambios en las **Leyes de Protección de Datos** aplicables, las prácticas del sector o las necesidades operativas. Se notificará a los clientes sobre cualquier cambio sustancial, y el uso continuado de los Servicios implica la aceptación de los términos actualizados.

Información del contacto: Para cualquier pregunta, inquietud o para solicitar una copia firmada de este DPA, los Clientes pueden comunicarse con nosotros en: [email protected].