Anexo de Procesamiento de Datos

1. Introducción

ULTEH está comprometido a garantizar la privacidad, seguridad y cumplimiento de los datos del cliente. Este Anexo de Procesamiento de Datos (DPA) describe los términos que rigen cómo procesamos, almacenamos y protegemos los datos personales de acuerdo con las leyes y regulaciones de protección de datos aplicables. Este DPA es una extensión de nuestro acuerdo principal con los Clientes y se aplica cuando ULTEH procesa datos personales en nombre del Cliente como procesador de datos. Establece responsabilidades claras para ambas partes con respecto al manejo de datos, asegurando el cumplimiento de las leyes de privacidad relevantes. Al usar ULTEH, , los Clientes reconocen y aceptan los términos establecidos en este DPA. Si necesitas una copia firmada de este acuerdo para fines de cumplimiento, contáctanos.

2. Definiciones

Afiliado se refiere a cualquier entidad que directa o indirectamente controla, es controlada por, o está bajo control común con una parte. "Control" significa la propiedad directa o indirecta de al menos el 50% de las acciones con derecho a voto, participaciones de capital, o derechos similares en la entidad, dando la capacidad de influir en su gestión y políticas. Se considera que los Afiliados están vinculados por las obligaciones y responsabilidades descritas en este DPA en la medida en que participen en el procesamiento de Datos Personales.

Subprocesador Autorizado significa cualquier proveedor externo, prestador de servicios o contratista contratado por el Proveedor de Servicios para procesar los Datos Personales del Cliente estrictamente en nombre y bajo las instrucciones del Proveedor de Servicios. Los Subprocesadores Autorizados ayudan a cumplir con las obligaciones bajo este DPA y el Acuerdo principal. Todos los Subprocesadores deben cumplir con las mismas obligaciones de protección de datos, manteniendo la seguridad, confidencialidad y cumplimiento normativo.

Datos de Cuenta se refiere a toda la información relacionada con el negocio recopilada, almacenada y procesada por el Proveedor de Servicios en relación con su relación contractual con el Cliente. Esto incluye, pero no se limita a, los nombres, direcciones de correo electrónico, números de teléfono, detalles de pago y credenciales de acceso de las personas autorizadas por el Cliente para gestionar y operar su cuenta en la plataforma del Proveedor de Servicios. Los Datos de Cuenta se utilizan estrictamente para fines administrativos, de facturación y de soporte.

Leyes de Protección de Datos abarcan todas las leyes, regulaciones y marcos aplicables que rigen la recopilación, procesamiento, almacenamiento, transferencia y protección de Datos Personales. Esto incluye, pero no se limita a, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, el GDPR del Reino Unido aplicable al Reino Unido, la Ley de Privacidad del Consumidor de California (CCPA), y cualquier otra ley de privacidad nacional o internacional relevante para las actividades de procesamiento de datos bajo este Acuerdo. El cumplimiento de estas leyes asegura que los Datos Personales sean manejados de manera legal, transparente y segura.

Datos Personales dirección IP o cookies), u otros factores únicos que definen su identidad. Los Datos Personales excluyen datos anonimizados o agregados que no pueden ser utilizados para identificar a un individuo.

Procesamiento significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o manualmente. Esto incluye, pero no se limita a, recopilar, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar, usar, divulgar, transmitir, restringir, borrar o destruir Datos Personales. El procesamiento se realiza de acuerdo con las instrucciones del Cliente y las Leyes de Protección de Datos aplicables.

Medidas de Seguridad se refieren a las salvaguardas técnicas y organizativas implementadas para garantizar la confidencialidad, integridad y disponibilidad de los Datos Personales. Estas medidas incluyen cifrado, controles de acceso, firewalls, enmascaramiento de datos, seudonimización, auditorías de seguridad regulares y mecanismos de notificación de violaciones. Las Medidas de Seguridad están diseñadas para prevenir el acceso no autorizado, la pérdida accidental o el procesamiento ilegal de Datos Personales.

Autoridad Supervisora se refiere a una autoridad pública independiente responsable de supervisar y hacer cumplir las Leyes de Protección de Datos. Ejemplos incluyen el **Comité Europeo de Protección de Datos (EDPB)** para asuntos relacionados con el GDPR, la **Oficina del Comisionado de Información del Reino Unido (ICO)** para el GDPR del Reino Unido, y la **Agencia de Protección de la Privacidad de California (CPPA)** para la aplicación de la CCPA. La Autoridad Supervisora tiene el poder legal para investigar quejas, emitir orientación e imponer sanciones por incumplimiento.

Derechos del Sujeto de Datos se refieren a los derechos otorgados a las personas bajo las Leyes de Protección de Datos aplicables. Estos derechos pueden incluir el derecho a acceder, rectificar, eliminar, restringir o transferir sus Datos Personales, así como el derecho a oponerse al procesamiento y presentar quejas ante una Autoridad Supervisora. El Proveedor de Servicios ayuda a los Clientes a facilitar el ejercicio de estos derechos cuando corresponda.

3. Procesamiento de Datos

El Cliente puede actuar ya sea como Controlador de Datos o como un Procesador de Datos, , dependiendo de su relación con el Sujeto de Datos y los propósitos para los cuales se procesan los Datos Personales. En todos los casos, ULTEH actúa como un Procesador de Datos, , procesando Datos Personales en nombre y bajo las instrucciones del Cliente.

El Cliente es responsable de asegurar que todas las actividades de procesamiento de datos realizadas usando nuestros Servicios cumplan con Leyes de Protección de Datos Aplicables, , incluyendo pero no limitado al Reglamento General de Protección de Datos (GDPR), GDPR del Reino Unido, la Ley de Privacidad del Consumidor de California (CCPA), y otras regulaciones de privacidad aplicables. El Cliente reconoce que tiene la base legal para procesar Datos Personales y nos indemniza contra cualquier reclamación, responsabilidad o daños resultantes del incumplimiento de estos requisitos legales.

Procesaremos Datos Personales solo de acuerdo con las instrucciones escritas del Cliente y únicamente según sea necesario para proporcionar los Servicios, a menos que la ley indique lo contrario. No usaremos, divulgaremos ni compartiremos Datos Personales para ningún propósito que no sea autorizado por el Cliente o explícitamente indicado en este Acuerdo.

Tras la terminación del Acuerdo o la solicitud del Cliente, , nosotros, a discreción del Cliente, ya sea: (a) Eliminar de forma segura todos los Datos Personales procesados bajo este Acuerdo, asegurando que no queden copias a menos que sea requerido por ley, o (b) Devolver los Datos Personales al Cliente en un formato estructurado, de uso común y legible por máquina antes de la eliminación. El Cliente debe proporcionar tales solicitudes dentro de un plazo razonable antes de la terminación.

Si estamos legalmente obligados a retener Datos Personales más allá de la terminación, notificaremos al Cliente (a menos que esté legalmente prohibido hacerlo) y aseguraremos que dichos datos permanezcan protegidos en cumplimiento con las Leyes de Protección de Datos.

4. Seguridad y Confidencialidad

ULTEH está comprometido a proteger la seguridad y confidencialidad de Datos Personales procesados en nombre del Cliente. Para garantizar la integridad y seguridad de los datos, implementamos y mantenemos medidas de seguridad líderes en la industria diseñadas para prevenir el acceso no autorizado, divulgación, alteración o destrucción de Datos Personales.

Estas medidas de seguridad incluyen, pero no se limitan a:

• Cifrado de Datos: Los Datos Personales están cifrados tanto en tránsito como en reposo utilizando protocolos de cifrado estándar de la industria para proteger contra acceso no autorizado.
• Controles de Acceso: Políticas estrictas de gestión de acceso garantizan que solo el personal autorizado tenga acceso a Datos Personales basado en el principio de privilegio mínimo.
• Seguridad de Red y Sistema: Firewalls, sistemas de detección de intrusiones y monitoreo continuo ayudan a prevenir accesos no autorizados y amenazas cibernéticas.
• Anonimización y Seudonimización de Datos: Cuando sea aplicable, los Datos Personales pueden ser anonimizados o seudonimizados para reducir los riesgos asociados con la exposición de datos.
• Auditorías de Seguridad Regulares: Realizamos evaluaciones periódicas de seguridad, pruebas de vulnerabilidad y verificaciones de cumplimiento para identificar y mitigar riesgos.
• Plan de Respuesta a Incidentes: Un protocolo estructurado de respuesta a incidentes asegura que cualquier violación de seguridad sea identificada, mitigada y reportada rápidamente en cumplimiento con las Leyes de Protección de Datos aplicables.

Cualquier individuo, incluyendo empleados, contratistas y proveedores de servicios autorizados, que procese Datos Personales en nuestro nombre está sujeto a estrictas obligaciones de confidencialidad. Esto incluye firmar acuerdos de confidencialidad (NDAs) legalmente exigibles y adherirse a políticas internas de manejo de datos para asegurar el cumplimiento con los estándares de privacidad y seguridad de datos.

Notificaremos rápidamente al Cliente de cualquier **violación de seguridad confirmada** que pueda resultar en la destrucción, pérdida, alteración, divulgación o acceso accidental o ilegal a Datos Personales. Tales notificaciones incluirán detalles del incidente, impacto potencial y esfuerzos de remediación tomados para mitigar riesgos.

Revisamos y actualizamos continuamente nuestras medidas de seguridad de acuerdo con estándares evolutivos de la industria y requisitos regulatorios para asegurar la protección continua de los datos del Cliente.

5. Subprocesadores

ULTEH puede contratar Subprocesadores terceros para ayudar en la provisión y mantenimiento de los Servicios. Estos Subprocesadores realizan funciones específicas como almacenamiento de datos, alojamiento de infraestructura, análisis o soporte al cliente. Nos aseguramos de que todos los Subprocesadores contratados se adhieran a estrictas obligaciones de protección de datos equivalentes a las descritas en este DPA.

Mantenemos una lista actualizada de Subprocesadores, incluyendo sus roles y ubicaciones de procesamiento. Los Clientes pueden solicitar información sobre los Subprocesadores actuales en cualquier momento contactándonos.

Derechos y Objeciones del Cliente:

• Notificaremos a los Clientes de cualquier **nueva contratación de Subprocesador** con al menos 10 días de anticipación.
• Los Clientes pueden presentar una **objeción** por escrito al uso de un nuevo Subprocesador dentro de este período de 10 días si tienen **preocupaciones legítimas sobre protección de datos**.
• Al recibir una objeción, participaremos en **discusiones de buena fe** para abordar preocupaciones, lo que puede incluir encontrar soluciones alternativas.
• Si no se alcanza una resolución mutuamente aceptable, el Cliente puede tener el derecho de **terminar los Servicios afectados** de acuerdo con el Acuerdo.

Seguimos siendo completamente responsables por las acciones de nuestros Subprocesadores y aseguramos que cumplan con::

• Leyes de Protección de Datos, , incluyendo GDPR, CCPA y otras regulaciones aplicables.
• Acuerdos de confidencialidad para proteger Datos Personales.
• Medidas de seguridad estándar de la industria para prevenir acceso no autorizado o mal uso de datos.

Nos reservamos el derecho de **actualizar o reemplazar** nuestros Subprocesadores según sea necesario, con la debida consideración a las preocupaciones del Cliente y obligaciones de cumplimiento continuas.

6. Transferencias de Datos Personales

ULTEH puede transferir Datos Personales fuera del Espacio Económico Europeo (EEE), el Reino Unido (UK), o Suiza para facilitar la provisión de Servicios. Cuando ocurren tales transferencias, nos aseguramos de que las salvaguardas legales apropiadas estén en vigor para proteger los datos transferidos en cumplimiento con las Leyes de Protección de Datos aplicables.

Nos basamos en mecanismos reconocidos de transferencia de datos, incluyendo pero no limitados a::

• Cláusulas Contractuales Estándar (CCE): Incorporamos CCE aprobadas por la Comisión Europea u otras autoridades competentes para asegurar transferencias de datos legales.
• Medidas Complementarias: Donde sea necesario, aplicamos salvaguardas técnicas, organizativas y contractuales adicionales para mejorar la protección de datos.
• Normas Corporativas Vinculantes (BCR): Cuando sea aplicable, nuestras entidades afiliadas se adhieren a BCR asegurando un alto nivel de protección de datos a través de operaciones internacionales.
• Otros Mecanismos de Transferencia Aprobados: Cumplimos con cualquier marco, certificación o instrumento legal adicional reconocido para transferencias de datos transfronterizas legales.

Derechos y Asistencia del Cliente: Estamos comprometidos a asistir al Cliente en asegurar el cumplimiento con los derechos de los Sujetos de Datos bajo las Leyes de Protección de Datos aplicables. Esto incluye, pero no se limita a::

• Solicitudes de Acceso: Permitir a los Sujetos de Datos acceder a sus Datos Personales.
• Solicitudes de Rectificación: Permitir correcciones a datos inexactos o incompletos.
• Solicitudes de Eliminación ("Derecho al Olvido"): Asistir con la eliminación de Datos Personales bajo solicitud, donde sea legalmente permitido.
• Objeción y Restricción de Procesamiento: Apoyar a los Sujetos de Datos en ejercer sus derechos para objetar o restringir actividades de procesamiento de datos.
• Portabilidad de Datos: Facilitar la transferencia de Datos Personales a otro controlador de datos, donde sea aplicable.

Monitoreamos continuamente las regulaciones globales de privacidad para asegurar el cumplimiento con los **requisitos de transferencia de datos transfronteriza** y notificaremos al Cliente si cambios en el marco legal impactan nuestras obligaciones de procesamiento de datos.

7. Derechos del Sujeto de Datos

ULTEH reconoce y respeta los derechos de los **Sujetos de Datos** bajo las **Leyes de Protección de Datos** aplicables. Asistiremos al **Cliente**, como Controlador de Datos, en responder a solicitudes de individuos con respecto a sus **Datos Personales**.

Los Sujetos de Datos pueden ejercer los siguientes derechos::

• Derecho de Acceso: La capacidad de solicitar y obtener confirmación de si sus datos están siendo procesados, junto con acceso a los datos.
• Derecho a Rectificación: El derecho a corregir o actualizar Datos Personales inexactos o incompletos.
• Derecho a Eliminación ("Derecho al Olvido"): El derecho a solicitar la eliminación de Datos Personales, sujeto a obligaciones legales y contractuales.
• Derecho a Restringir el Procesamiento: La capacidad de limitar el procesamiento de Datos Personales bajo ciertas condiciones.
• Derecho a la Portabilidad de Datos: La capacidad de obtener y transferir Datos Personales a otro proveedor de servicios donde sea técnicamente factible.
• Derecho a Oponerse: El derecho a oponerse al procesamiento basado en intereses legítimos, marketing directo, o toma de decisiones automatizada.
• Derecho a Retirar el Consentimiento: Si el procesamiento se basa en consentimiento, el Sujeto de Datos puede retirar el consentimiento en cualquier momento.

Responsabilidades del Cliente: El Cliente, actuando como el Controlador de Datos, es responsable de manejar las solicitudes del Sujeto de Datos. Proporcionaremos **asistencia razonable** bajo solicitud, asegurando que las respuestas sean manejadas **prontamente y en cumplimiento** con las leyes aplicables.

No responderemos directamente a una solicitud del Sujeto de Datos a menos que sea legalmente requerido hacerlo o explícitamente autorizado por el Cliente.

8. Notificación de Violación de Datos

ULTEH toma la seguridad seriamente e implementa **medidas preventivas** para salvaguardar los Datos Personales. Sin embargo, en caso de una **Violación de Datos Personales**, actuaremos de manera **rápida y transparente**.

Plan de Respuesta a Violación de Datos: Si nos enteramos de una **Violación de Datos Personales confirmada** que pueda resultar en **acceso no autorizado, pérdida, alteración o divulgación** de Datos Personales, nosotros::

• **Evaluaremos el impacto** de la violación y tomaremos pasos inmediatos para mitigar riesgos.
• **Notificaremos al Cliente sin demora indebida** (normalmente dentro de 48 horas de la confirmación).
• Proporcionaremos detalles incluyendo::
  • La naturaleza y alcance de la violación.
  • El tipo de datos afectados.
  • Las consecuencias potenciales.
  • Medidas tomadas o propuestas para abordar la violación.
• **Asistiremos al Cliente** en cumplir con cualquier obligación regulatoria, incluyendo notificaciones a autoridades y Sujetos de Datos afectados, donde sea requerido.
• **Implementaremos acciones correctivas** para prevenir futuras violaciones.

Responsabilidades del Cliente: El Cliente es responsable de determinar si notificar a las autoridades reguladoras y Sujetos de Datos en cumplimiento con las Leyes de Protección de Datos aplicables.

Documentaremos todas las violaciones y mantendremos registros de nuestra **investigación, esfuerzos de mitigación y acciones de remediación**.

9. Retención y Eliminación de Datos

ULTEH retiene **Datos Personales solo por el tiempo necesario** para cumplir con sus obligaciones bajo este Acuerdo o según lo requerido por las leyes aplicables.

Política de Retención de Datos:

• Seguimos **principios de minimización de datos**, asegurando que los datos se retengan solo para **necesidades legítimas de negocio y cumplimiento**.
• Los datos serán eliminados o anonimizados una vez que **ya no sean necesarios** para propósitos de procesamiento.
• Los períodos de retención pueden variar dependiendo de **requisitos legales, contractuales o regulatorios**.

Eliminación de Datos Controlada por el Cliente:

• Los Clientes pueden solicitar **eliminación de Datos Personales** en cualquier momento.
• Tras la terminación de servicios, **eliminaremos o devolveremos los Datos Personales** de acuerdo con las instrucciones del Cliente.
• Si no se realiza una solicitud de eliminación, **eliminaremos automáticamente** los Datos Personales dentro de un plazo razonable, a menos que sea legalmente requerido retenerlos.

Excepciones a la Eliminación de Datos: En ciertos casos, podemos **retener Datos Personales** más allá del período de retención acordado, incluyendo::

• Para cumplir con **obligaciones legales** (p. ej., impuestos, auditorías o requisitos regulatorios).
• Para **intereses legítimos**, como prevención de fraude o investigaciones de seguridad.
• Cuando sea requerido por una **solicitud legal vinculante** (p. ej., orden judicial).

Nos aseguramos de que se sigan **procedimientos de eliminación seguros**, previniendo cualquier recuperación o mal uso no autorizado de Datos Personales.

10. Ley Aplicable y Resolución de Disputas

Este Anexo de Procesamiento de Datos (DPA) se regirá e interpretará de acuerdo con las **mismas leyes y jurisdicción** definidas en el acuerdo principal entre ULTEH y el Cliente.

Proceso de Resolución de Disputas: Si surge alguna disputa con respecto a este DPA, ambas partes acuerdan seguir un proceso de resolución estructurado, incluyendo::

• Negociación de Buena Fe: Las partes primero intentarán resolver disputas a través de discusiones directas y negociaciones.
• Mediación o Arbitraje: Si la negociación falla, la disputa puede ser referida a mediación o arbitraje, como se indica en el acuerdo principal.
• Procedimientos Legales: Si no se alcanza resolución, las disputas pueden ser resueltas a través de procedimientos legales formales en la jurisdicción aplicable.

En caso de cualquier conflicto entre este DPA y el acuerdo principal, **los términos de este DPA prevalecerán** únicamente con respecto a asuntos de protección de datos, asegurando el cumplimiento con las Leyes de Protección de Datos.

11. Disposiciones Finales

Este Anexo de Procesamiento de Datos forma parte integral del acuerdo general entre ULTEH y el Cliente. Al continuar usando los Servicios, el Cliente reconoce y **acepta los términos de este DPA**.

Si alguna disposición de este DPA se encuentra **inválida o inejecutable**, las disposiciones restantes continuarán en pleno vigor y efecto. Las partes acuerdan reemplazar cualquier disposición inejecutable con una que refleje la intención original tan fielmente como sea posible mientras permanezca en cumplimiento con las leyes aplicables.

Enmiendas y Actualizaciones: Nos reservamos el derecho de **modificar o actualizar este DPA** para reflejar cambios en las **Leyes de Protección de Datos aplicables, prácticas de la industria o necesidades operativas**. Los Clientes serán notificados de cualquier cambio material, y el uso continuado de los Servicios constituye la aceptación de los términos actualizados.

Información de Contacto: Para cualquier pregunta, preocupación o para solicitar una copia firmada de este DPA, los Clientes pueden contactarnos en:: [email protected].