Anexo de tratamiento de datos

1. Introducción

ULTEH se compromete a garantizar la privacidad, la seguridad y el cumplimiento de los datos de los clientes. Este Anexo de Procesamiento de Datos (DPA) describe los términos que rigen cómo procesamos, almacenamos y protegemos los datos personales de conformidad con las leyes y normativas de protección de datos aplicables. Este DPA es una extensión de nuestro acuerdo principal con los clientes y se aplica cuando ULTEH Procesa datos personales en nombre del Cliente como encargado del tratamiento. Establece responsabilidades claras para ambas partes respecto al manejo de los datos, garantizando el cumplimiento de las leyes de privacidad aplicables. Al usar ULTEH, Los clientes reconocen y aceptan los términos establecidos en este DPA. Si necesita una copia firmada de este acuerdo para fines de cumplimiento, por favor contáctenos.

2. Definiciones

Afiliado Se refiere a cualquier entidad que directa o indirectamente controle, sea controlada por o esté bajo control común con una parte. 'Control' significa la propiedad directa o indirecta de al menos el 50% de las acciones con derecho a voto, participaciones o derechos similares en la entidad, confiriendo la capacidad de influir en su gestión y políticas. Las afiliadas se consideran vinculadas por las obligaciones y responsabilidades establecidas en este DPA en la medida en que participen en el tratamiento de Datos Personales.

Subprocesador autorizado se refiere a cualquier proveedor, prestador de servicios o contratista tercero contratado por el Proveedor del Servicio para procesar los Datos Personales del Cliente estrictamente en nombre y bajo las instrucciones del Proveedor del Servicio. Los subprocesadores autorizados ayudan a cumplir las obligaciones en virtud de este DPA y del Acuerdo principal. Todos los subprocesadores deben cumplir las mismas obligaciones de protección de datos, manteniendo la seguridad, la confidencialidad y el cumplimiento normativo.

Datos de la cuenta se refiere a toda la información relacionada con el negocio que el Proveedor del Servicio recopila, almacena y procesa en relación con su relación contractual con el Cliente. Esto incluye, entre otros, los nombres, direcciones de correo electrónico, números de teléfono, datos de pago y credenciales de acceso de las personas autorizadas por el Cliente para gestionar y operar su cuenta en la plataforma del Proveedor del Servicio. Los Datos de la Cuenta se utilizan únicamente para fines administrativos, de facturación y de soporte.

Leyes de protección de datos abarcan todas las leyes, reglamentos y marcos aplicables que rijan la recopilación, el tratamiento, el almacenamiento, la transferencia y la protección de los Datos Personales. Esto incluye, pero no se limita a, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el UK GDPR aplicable en el Reino Unido, la California Consumer Privacy Act (CCPA) y cualquier otra ley de privacidad nacional o internacional relevante para las actividades de tratamiento de datos en virtud del presente Acuerdo. El cumplimiento de estas leyes garantiza que los Datos Personales se traten de manera lícita, transparente y segura.

Datos personales se refiere a cualquier información relativa a una persona física identificada o identificable ('Interesado'). Una persona identificable es aquella que puede ser identificada, directa o indirectamente, especialmente por referencia a identificadores como nombre, dirección de correo electrónico, número de teléfono, datos de ubicación, un identificador en línea (como dirección IP o cookies) u otros factores únicos que definen su identidad. Los datos personales excluyen los datos anonimizados o agregados que no pueden utilizarse para identificar a una persona.

Procesando se refiere a cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o manuales. Esto incluye, entre otros, la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación, la alteración, la recuperación, la consulta, el uso, la divulgación, la transmisión, la restricción, la supresión o la destrucción de Datos Personales. El tratamiento se realiza de conformidad con las instrucciones del Cliente y la normativa de protección de datos aplicable.

Medidas de seguridad Se refieren a las salvaguardias técnicas y organizativas implementadas para garantizar la confidencialidad, integridad y disponibilidad de los Datos Personales. Estas medidas incluyen cifrado, controles de acceso, cortafuegos, enmascaramiento de datos, seudonimización, auditorías de seguridad periódicas y mecanismos de notificación de brechas. Las medidas de seguridad están diseñadas para prevenir el acceso no autorizado, la pérdida accidental o el tratamiento ilícito de los Datos Personales.

Autoridad de supervisión se refiere a una autoridad pública independiente encargada de supervisar y hacer cumplir el cumplimiento de las leyes de protección de datos. Ejemplos incluyen el **Consejo Europeo de Protección de Datos (EDPB)** para asuntos relacionados con el RGPD, la **Oficina del Comisionado de Información del Reino Unido (ICO)** para el RGPD del Reino Unido, y la **Agencia de Protección de la Privacidad de California (CPPA)** para la aplicación de la CCPA. La autoridad de control tiene la facultad legal para investigar reclamaciones, emitir orientaciones e imponer sanciones por incumplimiento.

Derechos del interesado se refieren a los derechos otorgados a las personas en virtud de las leyes aplicables de protección de datos. Estos derechos pueden incluir el derecho de acceso, rectificación, supresión, limitación o portabilidad de sus datos personales, así como el derecho a oponerse al tratamiento y a presentar reclamaciones ante una autoridad de control. El proveedor de servicios ayuda a los Clientes a facilitar el ejercicio de estos derechos cuando proceda.

3. Procesamiento de datos

El cliente puede actuar como cualquiera de los dos Responsable del tratamiento de datos o un Procesador de datos, según su relación con el interesado y las finalidades para las que se tratan los datos personales. En todos los casos, ULTEH actúa como Procesador de datos, tratamiento de datos personales por cuenta y bajo las instrucciones del Cliente.

El Cliente es responsable de garantizar que todas las actividades de tratamiento de datos realizadas mediante nuestros Servicios cumplan con Leyes de protección de datos aplicables, incluyendo, pero no limitado a Reglamento General de Protección de Datos (RGPD/GDPR), UK GDPR, la Ley de Privacidad del Consumidor de California (CCPA) y otras normativas de privacidad aplicables. El Cliente reconoce que dispone de la base legal para procesar Datos Personales y nos indemniza frente a cualquier reclamación, responsabilidad o daño derivado del incumplimiento de estos requisitos legales.

Procesaremos los datos personales. solo de acuerdo con las instrucciones escritas del Cliente y únicamente en la medida necesaria para prestar los Servicios, salvo que la ley exija lo contrario. No utilizaremos, divulgaremos ni compartiremos Datos Personales para ningún propósito que no esté autorizado por el Cliente o expresamente previsto en este Acuerdo.

al resolución del contrato o a petición del cliente, procederemos, a criterio del Cliente, o bien: (a) Eliminar de forma segura todos los Datos Personales tratados en virtud de este Acuerdo, asegurando que no queden copias salvo que la ley lo exija, o (b) Devolver los datos personales al Cliente en un formato estructurado, de uso común y legible por máquina antes de su eliminación. El Cliente debe presentar dichas solicitudes dentro de un plazo razonable antes de la finalización.

Si legalmente estamos obligados a conservar Datos Personales después de la terminación, notificaremos al Cliente (a menos que la ley nos prohíba hacerlo) y nos aseguraremos de que dichos datos permanezcan protegidos en cumplimiento de las Leyes de Protección de Datos.

4. Seguridad y confidencialidad

ULTEH se compromete a proteger la seguridad y la confidencialidad de Datos personales procesado en nombre de Cliente. Para garantizar la integridad y la seguridad de los datos, implementamos y mantenemos medidas de seguridad líderes en el sector Diseñado para impedir el acceso, la divulgación, la alteración o la destrucción no autorizados de los datos personales.

Estos Medidas de seguridad incluyen, pero no se limitan a:

• Cifrado de datos: Los datos personales se cifran tanto en tránsito como en reposo mediante protocolos de cifrado estándar del sector para protegerlos contra accesos no autorizados.
• Controles de acceso: Políticas estrictas de gestión de accesos garantizan que solo el personal autorizado tenga acceso a los datos personales, según el principio del privilegio mínimo.
• Seguridad de redes y sistemas: Los cortafuegos, los sistemas de detección de intrusos y la monitorización continua ayudan a prevenir accesos no autorizados y amenazas cibernéticas.
• Anonimización y seudonimización de datos: Cuando proceda, los datos personales pueden anonimizarse o seudonimizarse para reducir los riesgos asociados a la exposición de datos.
• Auditorías de seguridad periódicas: Realizamos evaluaciones de seguridad periódicas, pruebas de vulnerabilidad y verificaciones de cumplimiento para identificar y mitigar riesgos.
• Plan de respuesta a incidentes: Un protocolo estructurado de respuesta a incidentes garantiza que cualquier brecha de seguridad sea identificada, mitigada y notificada de forma inmediata, cumpliendo con las leyes de protección de datos aplicables.

Cualquier persona, incluidos empleados, contratistas y proveedores de servicios autorizados, que procese Datos Personales en nuestro nombre está sujeta a estrictas obligaciones de confidencialidad. Esto incluye la firma de documentos legalmente vinculantes acuerdos de confidencialidad (NDA) y adherirse a las políticas internas de manejo de datos para garantizar el cumplimiento de las normas de privacidad y seguridad de los datos.

Notificaremos de forma inmediata al Cliente de cualquier violación de seguridad confirmada que pueda ocasionar la destrucción, pérdida, alteración, divulgación no autorizada o el acceso a Datos Personales de manera accidental o ilícita. Tales notificaciones incluirán detalles del incidente, el posible impacto y las medidas de remediación adoptadas para mitigar los riesgos.

Revisamos y actualizamos continuamente nuestras medidas de seguridad de conformidad con normas del sector y requisitos regulatorios en evolución para garantizar la protección continua de los datos del cliente.

5. Subprocesadores

ULTEH puede interactuar subprocesadores de terceros para ayudar a prestar y mantener los Servicios. Estos subprocesadores realizan funciones específicas, como el almacenamiento de datos, el alojamiento de infraestructura, el análisis o el soporte al cliente. Nos aseguramos de que todos los subprocesadores contratados cumplan con estrictas obligaciones de protección de datos equivalentes a los descritos en este DPA.

Mantenemos una lista actualizada de subprocesadores, incluyendo sus funciones y las ubicaciones de procesamiento. Los clientes pueden solicitar información sobre los subprocesadores actuales en cualquier momento contactándonos.

Derechos y objeciones del cliente:

• Notificaremos a los clientes de cualquier **nuevo compromiso con subprocesadores** al menos 10 días de antelación.
• Los clientes pueden presentar una objeción por escrito al uso de un nuevo subprocesador dentro de este período de 10 días si tienen preocupaciones legítimas de protección de datos.
• Al recibir una objeción, entablaremos discusiones de buena fe para abordar las preocupaciones, lo que puede incluir la búsqueda de soluciones alternativas.
• Si no se alcanza una solución mutuamente aceptable, el Cliente podrá tener derecho a **terminar los Servicios afectados** de conformidad con el Acuerdo.

Seguimos plenamente responsable y sujeto a responsabilidad legal por las acciones de nuestros subprocesadores y garantizar que cumplan con:

• Leyes de protección de datos, incluyendo el GDPR, la CCPA y otras normativas aplicables.
• Acuerdos de confidencialidad para proteger los datos personales
• Medidas de seguridad conformes a los estándares del sector para evitar el acceso no autorizado o el uso indebido de los datos.

Nos reservamos el derecho de **actualizar o sustituir** nuestros subprocesadores cuando sea necesario, teniendo debidamente en cuenta las preocupaciones de los clientes y las obligaciones continuas de cumplimiento.

6. Transferencias de datos personales

ULTEH puede transferir Datos personales fuera del Espacio Económico Europeo (EEE), el Reino Unido (RU) o Suiza para facilitar la prestación de los Servicios. Cuando se produzcan dichas transferencias, nos aseguramos de que existan las salvaguardas adecuadas. garantías legales Están en vigor medidas para proteger los datos transferidos en cumplimiento de las leyes de protección de datos aplicables.

Confiamos en mecanismos reconocidos de transferencia de datos, incluidos, entre otros:

• Cláusulas contractuales estándar (SCCs): Incorporamos las cláusulas contractuales tipo aprobadas por la Comisión Europea u otras autoridades competentes para garantizar transferencias de datos lícitas.
• Medidas complementarias: Cuando sea necesario, aplicamos salvaguardias técnicas, organizativas y contractuales adicionales para reforzar la protección de datos.
• Reglas Corporativas Vinculantes (BCRs): Cuando procede, nuestras entidades afiliadas se adhieren a las Reglas Corporativas Vinculantes (BCR), garantizando un alto nivel de protección de datos en sus operaciones internacionales.
• Otros mecanismos de transferencia aprobados: Cumplimos con cualquier marco adicional, certificación o instrumento legal reconocido para transferencias transfronterizas de datos lícitas.

Derechos y asistencia del cliente: Estamos comprometidos a ayudar al Cliente a garantizar el cumplimiento de derechos de los interesados según las leyes de protección de datos aplicables. Esto incluye, pero no se limita a:

• Solicitudes de acceso: Permitir a los interesados acceder a sus datos personales.
• Solicitudes de rectificación: Permitir correcciones de datos inexactos o incompletos.
• Solicitudes de supresión («derecho al olvido»): Asistencia para la eliminación de datos personales previa solicitud, cuando sea legalmente posible.
• Oposición y limitación del tratamiento: Apoyar a los interesados en el ejercicio de su derecho a oponerse o a restringir las actividades de tratamiento de datos.
• Portabilidad de datos: Facilitar la transferencia de Datos Personales a otro responsable del tratamiento, cuando proceda.

Supervisamos continuamente las normativas de privacidad a nivel mundial para garantizar el cumplimiento de los requisitos de transferencia internacional de datos y notificaremos al Cliente si cambios en el marco legal afectan nuestras obligaciones de tratamiento de datos.

7. Derechos del interesado

ULTEH Reconoce y respeta los derechos de los **interesados** en virtud de las **leyes de protección de datos** aplicables. Asistiremos al **Cliente**, como Responsable del Tratamiento, a responder las solicitudes de las personas relativas a sus **datos personales**.

Los interesados pueden ejercer los siguientes derechos:

• Derecho de acceso: La posibilidad de solicitar y obtener confirmación sobre si sus datos están siendo procesados, así como el acceso a dichos datos.
• Derecho de rectificación: El derecho a corregir o actualizar los datos personales inexactos o incompletos.
• Derecho de supresión ('derecho al olvido'): El derecho a solicitar la eliminación de los Datos Personales, sujeto a obligaciones legales y contractuales.
• Derecho a restringir el tratamiento: La capacidad de limitar el tratamiento de datos personales en determinadas condiciones.
• Derecho a la portabilidad de los datos: La posibilidad de obtener y transferir los Datos Personales a otro proveedor de servicios cuando sea técnicamente factible.
• Derecho de oposición: El derecho a oponerse al tratamiento basado en intereses legítimos, al marketing directo o a la toma de decisiones automatizada.
• Derecho a retirar el consentimiento: Si el tratamiento se basa en el consentimiento, el interesado puede retirar su consentimiento en cualquier momento.

Responsabilidades del cliente: El Cliente, en su calidad de Responsable del Tratamiento, es responsable de gestionar las solicitudes de los interesados. A petición suya, proporcionaremos asistencia razonable, asegurando que las respuestas se gestionen con prontitud y conforme a la normativa aplicable.

No responderemos directamente a una solicitud del interesado, salvo que estemos legalmente obligados a hacerlo o que el Cliente nos autorice expresamente.

8. Notificación de violación de datos

ULTEH toma la seguridad en serio e implementa medidas preventivas para salvaguardar los datos personales. Sin embargo, en caso de una violación de datos personales, actuaremos con rapidez y transparencia.

Plan de respuesta ante violaciones de datos: Si llegamos a conocer una violación confirmada de datos personales que pueda dar lugar al acceso no autorizado, la pérdida, la alteración o la divulgación de datos personales, tomaremos las medidas oportunas.:

• Evalúe el impacto de la brecha y tome medidas inmediatas para mitigar los riesgos.
• Notificar al cliente sin demora indebida (normalmente dentro de las 48 horas posteriores a la confirmación).
• Proporcione detalles que incluyan::
  • La naturaleza y el alcance de la brecha.
  • Tipo de datos afectados
  • Las posibles consecuencias.
  • Medidas adoptadas o propuestas para abordar la infracción.
• Asistir al Cliente en el cumplimiento de cualquier obligación regulatoria, incluidas, cuando proceda, las notificaciones a las autoridades y a los titulares de datos afectados.
• Implemente acciones correctivas para prevenir futuras brechas.

Responsabilidades del cliente: El Cliente es responsable de determinar si debe notificar a las autoridades reguladoras y a los titulares de los datos conforme a las leyes de protección de datos aplicables.

Documentaremos todas las brechas y mantendremos registros de nuestras investigaciones, medidas de mitigación y acciones de remediación.

9. Retención y eliminación de datos

ULTEH retiene **los Datos Personales solo durante el tiempo necesario** para cumplir con sus obligaciones en virtud de este Acuerdo o cuando lo exijan las leyes aplicables.

Política de retención de datos:

• Seguimos principios de minimización de datos, asegurando que los datos se conserven solo para necesidades comerciales legítimas y de cumplimiento.
• Los datos serán eliminados o anonimizados una vez que ya no sean necesarios para los fines del tratamiento.
• Los periodos de conservación pueden variar según los requisitos legales, contractuales o normativos.

Eliminación de datos controlada por el cliente:

• Los clientes pueden solicitar en cualquier momento la **eliminación de sus datos personales**.
• Al finalizar los servicios, procederemos a eliminar o devolver los datos personales de acuerdo con las instrucciones del cliente.
• Si no se realiza una solicitud de eliminación, eliminaremos **automáticamente** los datos personales en un plazo razonable, salvo que la ley exija su conservación.

Excepciones a la eliminación de datos: En ciertos casos, podemos **conservar datos personales** más allá del período de retención acordado, incluyendo:

• Para cumplir con las **obligaciones legales** (p. ej., requisitos fiscales, de auditoría o regulatorios).
• Para **intereses legítimos**, como la prevención del fraude o las investigaciones de seguridad.
• Cuando sea requerido por una solicitud legal vinculante (p. ej., una orden judicial).

Nos aseguramos de que se sigan los **procedimientos de eliminación segura**, evitando cualquier recuperación no autorizada o uso indebido de los Datos Personales.

10. Ley aplicable y resolución de disputas

Este Anexo de Procesamiento de Datos (DPA) se regirá e interpretará de conformidad con las **mismas leyes y jurisdicción** establecidas en el acuerdo principal entre ULTEH y el cliente.

Proceso de resolución de disputas: Si surge alguna disputa relacionada con este DPA, ambas partes acuerdan seguir un proceso estructurado de resolución, que incluye::

• Negociación de buena fe: Las partes intentarán en primer lugar resolver las controversias mediante conversaciones y negociaciones directas.
• Mediación o arbitraje: Si la negociación fracasa, la disputa podrá remitirse a mediación o arbitraje, según lo establecido en el acuerdo principal.
• Procedimientos legales: Si no se alcanza una solución, las disputas podrán resolverse mediante procedimientos legales formales en la jurisdicción aplicable.

En caso de conflicto entre este DPA y el acuerdo principal, las disposiciones de este DPA prevalecerán únicamente en lo que respecta a la protección de datos, garantizando el cumplimiento de las leyes aplicables. Leyes de protección de datos.

11. Disposiciones finales

Este Anexo de Tratamiento de Datos forma parte integrante del acuerdo global entre ULTEH y el Cliente. Al continuar usando los Servicios, el Cliente reconoce y acepta los términos de este DPA.

Si cualquier disposición de este DPA se considera inválida o inaplicable, las disposiciones restantes continuarán en pleno vigor y efecto. Las partes acuerdan sustituir toda disposición inaplicable por otra que refleje la intención original lo más fielmente posible y que cumpla con la normativa aplicable.

Enmiendas y actualizaciones: Nos reservamos el derecho de modificar o actualizar este DPA para reflejar cambios en las leyes de protección de datos aplicables, en las prácticas del sector o en las necesidades operativas. Se notificará a los clientes cualquier cambio material, y el uso continuado de los Servicios constituye la aceptación de los términos actualizados.

Información de contacto: Para cualquier pregunta, inquietud o para solicitar una copia firmada de este DPA, los clientes pueden contactarnos en:: [email protected].