Última modificación: junio de 2023
Este Acuerdo de Procesamiento de Datos (“DPA”), incluidos sus Apéndices y Anexos, se celebra entre Avigilon Corporation, una subsidiaria de propiedad total de Motorola Solutions, Inc. (“Motorola Solutions”) en su nombre y en el de sus afiliados y subsidiarias (“Avigilon”) y el cliente identificado en el bloque de firma más abajo (“Cliente”), y refleja el acuerdo de las partes con respecto al Procesamiento de Datos del Cliente que puede incluir Datos Personales conforme al acuerdo del Cliente (el “Acuerdo”) con un revendedor autorizado de Avigilon. En caso de conflicto entre este DPA, el Acuerdo o cualquier Apéndice, Anexo u otras adiciones al Acuerdo, deberá prevalecer este DPA.
Cuando el Cliente renueve o compre nuevos Productos o Servicios, deberá aplicarse el DPA vigente en ese momento, el cual no deberá cambiar durante el Plazo aplicable. Cuando Avigilon ofrece nuevas funciones o suplementos a los Productos o Servicios, Avigilon puede establecer términos adicionales o hacer actualizaciones a este DPA que deben aplicarse al uso por parte del Cliente de esas nuevas funciones o suplementos.
1. Definiciones.
Todos los términos en mayúscula no definidos en este documento deben tener el significado establecido en el Acuerdo. Todos los términos en minúscula no definidos en este DPA deben tener el significado que se establece en el artículo 4 del Reglamento General de Protección de Datos (RGPD) si se definen en dicho reglamento, independientemente de si se aplica el RGPD.
“Datos de Avigilon” hace referencia a los datos propiedad de Avigilon y puestos a disposición del Cliente en relación con los Productos y Servicios.
“Datos de Contacto del Cliente” se refiere a los datos que Avigilon recopila del Cliente, sus Usuarios Autorizados y sus usuarios finales con fines de contacto comercial, incluidos, entre otros, fines de marketing, publicidad, licencias y ventas.
“Datos del Cliente” se refiere a los datos que incluyen imágenes, texto, videos y audio, que son proporcionados a Avigilon por, a través o en nombre del Cliente y sus Usuarios Autorizados o sus usuarios finales, a través del uso de los Productos y Servicios. Los Datos del Cliente no incluyen Datos de Contacto del Cliente o Datos de Uso del Servicio que no sean aquella parte compuesta por Información Personal o Datos de Terceros.
“Leyes de Protección de Datos” significa todas las leyes y reglamentos de protección de datos aplicables a una Parte con respecto al Procesamiento de Datos Personales en virtud del Acuerdo.
“Titular de los Datos” hace referencia a la persona identificada o identificable con la que se relacionan los Datos Personales.
“Metadatos” significa datos que describen otros datos.
“Datos Personales” o “Información Personal” significan cualquier información relativa a una persona física identificada o identificable transmitida a Avigilon por, a través o en nombre del Cliente y sus Usuarios Autorizados o sus usuarios finales como parte de los Datos del Cliente. Una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
“Procesador” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador. Los procesadores actúan en nombre del controlador correspondiente y bajo su autoridad. Al hacerlo, sirven a los intereses del controlador más que a los suyos propios.
“Procesar” o “Procesamiento” significan cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o en conjuntos de Datos Personales, ya sea o no por medios automatizados, tales como recopilación, grabación, copia, análisis, almacenamiento en caché, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otra manera, alineación o combinación, restricción, eliminación o destrucción.
“Incidente de Seguridad” significa un incidente que conduzca a la destrucción accidental o ilegal, pérdida, alteración o divulgación de los Datos del Cliente, o el acceso a ellos, los cuales pueden incluir Datos Personales, mientras estos son procesados por Avigilon.
“Datos de Uso del Servicio” se refiere a los datos generados sobre el uso de los Productos y Servicios a través del uso del Cliente o el soporte de Avigilon de los Productos y Servicios, que pueden incluir Metadatos, Datos Personales, información sobre rendimiento del producto y errores, registros de actividad y fecha y hora de uso.
Por “Cláusulas Contractuales Tipo” se entenderá las cláusulas adjuntas como Apéndice 1, tal como se establece en la Decisión de la Comisión Europea (C(2021) 3972 del 4 de junio de 2021) sobre Cláusulas Contractuales Tipo para la transferencia de datos personales al procesador establecidas en terceros países que no garanticen un nivel adecuado de protección de datos.
“Subprocesador” significa otros procesadores contratados por Avigilon para Procesar Datos de Clientes que pueden incluir Datos Personales.
“Datos de Terceros” se refiere a la información obtenida por Avigilon de fuentes disponibles públicamente o de sus proveedores de contenido Terceros y puesta a disposición del Cliente a través de los Productos o Servicios.
2. Procesamiento de Datos de Clientes
Para evitar dudas, siempre y cuando no se identifique específicamente al Cliente, los “Datos del Cliente”, tal como se definen en el Acuerdo, no incluirán, y Avigilon será libre de usar, compartir y aprovechar la inteligencia de amenazas de seguridad y los datos de mitigación en general, incluidos, sin carácter exhaustivo, vectores de amenazas de Terceros y direcciones IP, información de hash de archivos, nombres de dominio, firmas e información de malware, información obtenida de fuentes de Terceros, indicadores de compromiso y tácticas, técnicas y procedimientos utilizados, aprendidos o desarrollados en el transcurso de la prestación de Servicios.
3. Datos de Uso del Servicio. Salvo en la medida en que se trate de Información Personal, el Cliente entiende y acepta que Avigilon puede recopilar y utilizar los Datos de Uso del Servicio para sus propios fines, siempre que dichos fines cumplan con las Leyes de Protección de Datos aplicables. Los Datos de Uso del Servicio pueden ser procesados por Avigilon en cualquiera de sus ubicaciones globales o divulgados a los Subprocesadores.
4. Datos de Terceros y Datos de Avigilon. Los Datos de Avigilon y los Datos de Terceros pueden estar disponibles para el Cliente a través de los Productos y Servicios. El Cliente y sus Usuarios Autorizados podrán utilizar los Datos de Avigilon y los Datos de Terceros según lo permitan Avigilon y el Proveedor de Datos Tercero aplicable, como se describe en el Acuerdo. A menos que se permita expresamente en el Acuerdo, el Cliente no debe, y debe asegurarse de que sus Usuarios Autorizados no deban: (a) usar los Datos de Avigilon o Datos de Terceros para ningún propósito que no sean los fines comerciales internos del Cliente ni revelar los datos a terceros; (b) colocarle una “etiqueta blanca” a dichos datos o tergiversar su fuente o propiedad, o revender, distribuir, sublicenciar o explotar comercialmente los datos de cualquier manera; (c) usar dichos datos infringiendo las leyes aplicables, (d) utilizar dichos datos para actividades o fines en los que la confianza en los datos pueda dar lugar a la muerte, lesión o daño a la propiedad; (e) eliminar, ocultar, alterar o falsificar cualquier marca o aviso de derechos de propiedad que indique la fuente, origen o propiedad de los datos; o (f) modificar dichos datos o combinarlos con Datos del Cliente u otros datos o utilizar los datos para construir bases de datos. Se podrán establecer restricciones adicionales en el Acuerdo. Cualquier derecho otorgado al Cliente o a los Usuarios Autorizados con respecto a los Datos de Avigilon o a los Datos de Terceros deberá terminar inmediatamente después de la terminación o expiración del Acuerdo. Además, Avigilon o el Proveedor de Datos Tercero aplicable pueden suspender, cambiar o cancelar el acceso del Cliente o de cualquier Usuario Autorizado a los Datos de Avigilon o a los Datos de Terceros si Avigilon o dicho Proveedor de Datos Tercero considera que el uso de los datos por parte del Cliente o del Usuario Autorizado infringe el Acuerdo, la ley aplicable o el acuerdo de Avigilon con el Proveedor de Datos Tercero aplicable. Tras la terminación de los derechos del Cliente de usar cualquier Dato de Avigilon o Datos de Terceros, el Cliente y todos los Usuarios Autorizados deben interrumpir inmediatamente el uso de dichos datos, eliminar todas las copias de dichos datos y certificar dicha eliminación ante Avigilon. No obstante cualquier disposición del Acuerdo en sentido contrario, Avigilon no tiene ninguna responsabilidad por los Datos de Terceros o los Datos de Avigilon disponibles a través de los Productos y Servicios. Avigilon y sus Proveedores de Datos Terceros se reservan todos los derechos sobre y para los Datos de Avigilon y Datos de Terceros no otorgados expresamente en el Acuerdo.
5. Avigilon como Controlador o Controlador Conjunto. En todos los casos en que Avigilon actúe como Controlador deberá cumplir con las disposiciones aplicables de la Declaración de Privacidad que se encuentra en https://www.avigilon.com/about…, contempladas las actualizaciones que se puedan realizar de vez en cuando. Avigilon conserva todos los Datos de Contacto del Cliente como Controlador y debe Procesar dichos Datos de Contacto del Cliente de acuerdo con la Declaración de Privacidad de Avigilon. En los casos en que Avigilon actúe como Controlador Conjunto con el Cliente, las Partes deberán celebrar una adición separada al Acuerdo para asignar las funciones respectivas como controladores conjuntos.
6. Subprocesadores.
7. Transferencias de Datos. Avigilon acepta que no debe realizar transferencias de Datos Personales en virtud del presente Acuerdo de una jurisdicción a otra, a menos que dichas transferencias se realicen en conformidad con este Acuerdo y las Leyes de Protección de Datos aplicables. Avigilon acepta celebrar acuerdos apropiados con sus afiliados y Subprocesadores, lo que permitirá a Avigilon transferir Datos Personales a sus afiliados y Subprocesadores. Avigilon acepta modificar, según sea necesario, su acuerdo con el Cliente para permitir la transferencia de Datos Personales de Avigilon al Cliente. Avigilon también acepta ayudar al Cliente a celebrar acuerdos con sus afiliados y Subprocesadores si así lo requieren las Leyes de Protección de Datos aplicables para las transferencias necesarias. En la medida en que Avigilon sea Procesador o Subprocesador de Datos Personales sujeto al Reglamento General de Protección de Datos (“RGPD”) (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de Datos Personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE, deberán aplicarse a las transferencias de datos las Cláusulas Contractuales Tipo establecidas en el Apéndice 1 del presente.
8. Seguridad. Avigilon debe implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado para el riesgo que representa el Procesamiento de Datos Personales, teniendo en cuenta los costos de implementación; la naturaleza, el alcance, el contexto y los propósitos del Procesamiento; y el riesgo de probabilidad y gravedad variables del daño a los titulares de los datos. En el Anexo II, se establecen las medidas técnicas y organizativas apropiadas implementadas por Avigilon. Al evaluar el nivel adecuado de seguridad, Avigilon debe sopesar los riesgos que presenta el Procesamiento, en particular de la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o Procesados de otra manera.
9. Notificación de Incidentes de Seguridad. Si Avigilon tiene conocimiento de un Incidente de Seguridad, Avigilon debe: (a) notificar al Cliente del Incidente de Seguridad sin demoras indebidas; (b) investigar el Incidente de Seguridad e informarle al Cliente de los detalles del Incidente de Seguridad; y (c) tomar medidas comercialmente razonables para detener cualquier pérdida continua de Datos Personales debido al Incidente de Seguridad si está bajo el control de Avigilon. La notificación de un Incidente de Seguridad no debe interpretarse como un reconocimiento o una admisión por parte de Avigilon de cualquier falla o responsabilidad en relación con el Incidente de Seguridad. Avigilon debe hacer esfuerzos razonables para ayudar al Cliente a cumplir con las obligaciones del Cliente en virtud de las Leyes de Protección de Datos para notificar a la autoridad supervisora relevante y a los Titulares de los Datos sobre dicho incidente.
10. Retención y Eliminación de Datos. A excepción de los Datos del Cliente anonimizados, como se describe anteriormente, o según lo dispuesto en el Acuerdo, Avigilon borra todos los Datos del Cliente noventa (90) días después de la terminación o el vencimiento del Acuerdo, a menos que se requiera lo contrario para cumplir con la ley aplicable. No obstante lo anterior, Avigilon conservará los Datos del Cliente durante al menos treinta (30) días siguientes a dicha terminación o vencimiento con el fin de darle tiempo al Cliente para que presente una solicitud de Datos del Cliente. Si en el transcurso de dicho plazo de treinta (30) días, el Cliente los solicita (por escrito), Avigilon pondrá los Datos del Cliente a disposición del Cliente para su exportación o descarga durante un período de treinta (30) días. Avigilon no tiene ninguna obligación de retener dichos Datos del Cliente más allá de dicho período de treinta (30) días. Sujeto a lo dispuesto en la Sección 12.4 con respecto a los Datos de los Servicios de Información de Justicia Penal (CJIS), Avigilon puede eliminar cualquier Dato de Uso del Servicio al finalizar o vencer el Acuerdo.
11 Derechos de Auditoría
12. Términos Específicos del Reglamento
Reglamento General de Protección de Datos (RGPD). En la medida en que Avigilon sea un Procesador o Subprocesador de Datos Personales sujeto al RGPD (como se define en la Sección 7 del presente documento), deben aplicarse las Cláusulas Contractuales Tipo establecidas en el Apéndice 1 del presente documento.
13. Contacto de Avigilon. Si el Cliente considera que Avigilon no cumple con sus obligaciones de privacidad o seguridad en virtud del presente, el Cliente debe comunicarse con el Oficial de Protección de Datos de Motorola en Motorola Solutions, Inc., 500 W. Monroe St., Chicago, IL USA 60661 — 3618 o en privacy1@motorolasolutions.com.
Apéndice 1
CLÁUSULAS CONTRACTUALES TIPO
SECCIÓN I
Cláusula 1
Propósito y alcance
(a) Estas cláusulas contractuales tipo tienen por objeto garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos) para la transferencia de datos personales a un país tercero.
(b) Las Partes:
(c) Estas Cláusulas se aplican a la transferencia de datos personales, tal como se especifica en el Anexo I.B.
(d) El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia en ellas forma parte integrante de estas Cláusulas.
Cláusula 2
Efecto e invariabilidad de las Cláusulas
(a) Estas Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles del titular de los datos y los recursos legales efectivos, en conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de controladores a procesadores o procesadores a procesadores, cláusulas contractuales tipo en conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar los Módulos apropiados o para agregar o actualizar la información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales tipo establecidas en estas Cláusulas en un contrato más amplio ni que agreguen otras cláusulas o salvaguardas adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los derechos o las libertades fundamentales de los titulares de los datos.
(b) Estas Cláusulas se hacen sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3
Terceros beneficiarios
(a) Los titulares de los datos podrán invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador de datos o el importador de datos, con las siguientes excepciones:
(b) El párrafo (a) se incluye sin perjuicio de los derechos de los titulares de los datos conforme al Reglamento (UE) 2016/679.
Cláusula 4
Interpretación
(a) Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
(b) Estas Cláusulas serán leídas e interpretadas a la luz de lo dispuesto en el Reglamento (UE) 2016/679.
(c) Estas Cláusulas no se interpretarán de manera que contradiga los derechos y las obligaciones previstos en el Reglamento (UE) 2016/679.
Cláusula 5
Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos conexos entre las Partes, existentes en el momento en que estas Cláusulas se acuerden o se celebren posteriormente, prevalecerán estas Cláusulas.
Cláusula 6
Descripción de las transferencias
Los detalles de las transferencias, y en particular las categorías de datos personales que se transfieren y las finalidades para las que se transfieren, se especifican en el Anexo I.B.
Cláusula 7 (opcional)
Cláusula de acoplamiento
(a) Una entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de las Partes, acceder a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
(b) Una vez completado el Apéndice y firmado el Anexo I.A, la entidad que acceda pasará a ser Parte de estas Cláusulas y tendrá los derechos y las obligaciones de un exportador de datos o importador de datos de acuerdo con su designación en el Anexo I.A.
(c) La entidad que acceda no tendrá derechos ni obligaciones derivados de estas Cláusulas a partir del período anterior a convertirse en Parte.
SECCIÓN II. OBLIGACIONES DE LAS PARTES
Cláusula 8
Salvaguardias de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la implementación de medidas técnicas y organizativas adecuadas, de cumplir con sus obligaciones en virtud de estas Cláusulas.
8.1 Instrucciones
(a) El importador de datos procesará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar tales instrucciones durante todo el tiempo que dure el contrato.
(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.
8.2 Limitación de propósito
El importador de datos procesará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el Anexo I.B, a menos que el exportador dé datos de instrucciones adicionales.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del titular de los datos una copia de estas Cláusulas, incluido el Apéndice tal y como lo completen las Partes, de manera gratuita. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del Apéndice de las presentes Cláusulas antes de compartir una copia, pero proporcionará un resumen significativo cuando, de otro modo, el titular de los datos no pueda comprender su contenido o ejercer sus derechos.Previa solicitud, las Partes facilitarán al titular de los datos los motivos de las supresiones, en la medida de lo posible sin revelar la información redactada. Esta Cláusula se hace sin perjuicio de las obligaciones del exportador de datos en virtud de los Artículos 13 y 14 del Reglamento (UE) 2016/679.
8.4 Precisión
Si el importador de datos toma conocimiento de que los datos personales que ha recibido son inexactos, o han quedado desactualizados, informará al exportador de datos sin dilación indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar los datos o rectificarlos.
8.5 Duración del procesamiento y eliminación o devolución de datos
El procesamiento por parte del importador de datos solo se llevará a cabo durante el tiempo especificado en el Anexo I.B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos deberá, a elección del exportador de datos, eliminar todos los datos personales tratados en nombre del exportador de datos y certificar al exportador de datos que lo ha hecho, o devolver al exportador de datos todos los datos personales procesados en su nombre y eliminar las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará asegurando el cumplimiento de estas Cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo los procesará en la medida y durante el tiempo que lo requiera dicha ley local. Esto sin perjuicio de la Cláusula 14, en particular el requisito para que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está sujeto o ha quedado sujeto a leyes o prácticas no acordes con los requisitos de la Cláusula 14(a).
8.6 Seguridad del procesamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos, implementarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una vulneración de la seguridad que conduzca a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a dichos datos (en adelante “vulneración de datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes tomarán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y las finalidades del procesamiento, además de los riesgos que implica el procesamiento para los titulares de los datos. Las Partes considerarán en particular recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando la finalidad del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un titular de los datos específico permanecerá, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir con sus obligaciones en virtud del presente párrafo, el importador de datos deberá, al menos, implementar las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos realizará verificaciones periódicas para garantizar que estas medidas continúen brindando un nivel de seguridad adecuado.
(b) El importador de datos concederá el acceso a los datos personales a los miembros de su personal únicamente en la medida estrictamente necesaria para la implementación, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para procesar los datos personales se hayan comprometido con la confidencialidad o se encuentren bajo una obligación legal apropiada de confidencialidad.
(c) En caso de vulneración de datos personales relativos a los datos personales procesados por el importador de datos en virtud de estas Cláusulas, el importador de datos tomará las medidas adecuadas para hacer frente a la vulneración, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demoras indebidas después de haber tenido conocimiento de la vulneración. Dicha notificación contendrá los datos de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la vulneración (incluidos, cuando sea posible, categorías y número aproximado de titulares de los datos y registros de datos personales afectados), sus probables consecuencias y las medidas adoptadas o propuestas para hacer frente a la vulneración incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos. Cuando y en la medida en que no sea posible proporcionar al mismo tiempo toda la información, la notificación inicial contendrá la información entonces disponible y posteriormente se proporcionará información adicional, a medida que se disponga de ella, sin dilación indebida.
(d) El importador de datos cooperará con el exportador de datos y lo asistirá para que este pueda cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad supervisora competente y a los titulares de datos afectados, teniendo en cuenta la naturaleza del procesamiento y la información que tenga el importador de datos.
8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos, o datos biométricos con el propósito de identificar de manera única a una persona física, datos relativos a la salud o la vida sexual u orientación sexual de una persona, o datos relativos a condenas y delitos penales (en adelante “datos sensibles”), el importador de datos aplicará las restricciones específicas o salvaguardas adicionales descritas en el Anexo I.B.
8.8 Transferencias ulteriores
El importador de datos solo revelará los datos personales a un Tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán ser revelados a un Tercero ubicado fuera de la Unión Europea (4) (en el mismo país que el importador de datos o en otro tercer país, en adelante “transferencia ulterior”) si el Tercero está o acepta quedar vinculado por estas Cláusulas, bajo el Módulo correspondiente, o si:
(a) la transferencia ulterior es a un país que se beneficia de una decisión de adecuación conforme al Artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
(b) el Tercero garantiza de otra manera las salvaguardas adecuadas en conformidad con los Artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;
(c) la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de demandas legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
(d) la transferencia ulterior es necesaria para proteger los intereses vitales del titular de los datos o de otra persona física.
Cualquier transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardas en virtud de estas Cláusulas, en particular la limitación de propósito.
8.9 Documentación y cumplimiento
(a) El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos que se relacionen con el procesamiento en virtud de estas Cláusulas.
(b) Las Partes podrán demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento que se lleven a cabo en nombre del exportador de datos.
(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de procesamiento cubiertas por las presentes Cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tomar en cuenta las certificaciones pertinentes en poder del importador de datos.
(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o mandar a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o las instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con aviso razonable.
(e) Las Partes pondrán a disposición de la autoridad supervisora competente, previa solicitud, la información a la cual se hace referencia en los párrafos (b) y (c), incluidos los resultados de las auditorías.
Cláusula 9
Uso de subprocesadores
(a) OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA El importador de datos no subcontratará ninguna de sus actividades de procesamiento realizadas en nombre del exportador de datos en virtud de estas Cláusulas a un subprocesador sin la previa autorización específica por escrito del exportador de datos. El importador de datos presentará la solicitud de autorización específica al menos [Especificar período] antes de la contratación del subprocesador, junto con la información necesaria para que el exportador de datos pueda decidir sobre la autorización. La lista de subprocesadores ya autorizados por el exportador de datos se encuentra en el Anexo III. Las Partes mantendrán actualizado el Anexo III.
OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesadores de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en esa lista mediante la adición o sustitución de subprocesadores con al menos [Especificar período] de antelación, para otorgarle al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación de uno o más subprocesadores. El importador de datos deberá proporcionar al exportador de datos la información necesaria para que el exportador de datos pueda ejercer su derecho de objeción.
(b) Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades específicas de procesamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que prevea, en sustancia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas Cláusulas, incluso en términos de derechos de terceros beneficiarios para los titulares de los datos. (8) Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos garantizará que el subprocesador cumpla con las obligaciones a las que esté sujeto el importador de datos conforme a estas Cláusulas.
(c) El importador de datos deberá proporcionar al exportador de datos, a petición de este, una copia de dicho acuerdo de subprocesador y cualquier modificación posterior. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá suprimir texto del acuerdo antes de compartir una copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de sus obligaciones en virtud de dicho contrato.
(e) El importador de datos acordará con el subprocesador una cláusula de terceros beneficiarios mediante la cual, en caso de que el importador de datos desaparezca de hecho, deje de existir en la ley o se vuelva insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subprocesador y a instruirlo para que borre o devuelva los datos personales.
Cláusula 10
Derechos de los titulares de los datos
(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un titular de datos. No responderá a esa solicitud por sí mismo, a menos que haya sido autorizada para ello por el exportador de datos.
(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los titulares de datos para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. En ese sentido, las Partes señalarán en el Anexo II las medidas técnicas y organizativas apropiadas, tomando en cuenta la naturaleza del procesamiento, mediante las cuales se prestará la asistencia, así como el alcance y la amplitud de la asistencia requerida.
(c) En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos deberá cumplir con las instrucciones del exportador de datos.
Cláusula 11
Resarcimiento
(a) El importador de datos deberá informar a los titulares de los datos en un formato transparente y de fácil acceso, mediante aviso individual o en su página web, de un punto de contacto autorizado para atender quejas. Se ocupará con prontitud de cualquier queja que reciba de un titular de datos.
[OPCIÓN: El importador de datos acepta que los titulares de datos también puedan presentar una queja ante un órgano independiente de resolución de disputas sin costo alguno para el titular de los datos. Informará a los titulares de los datos, en la forma señalada en el párrafo (a), de dicho mecanismo de resarcimiento y que no están obligados a utilizarlo, ni seguir una secuencia particular en la búsqueda de resarcimiento].
(b) En caso de controversia entre un titular de datos y una de las Partes en relación con el cumplimiento de estas Cláusulas, dicha Parte hará todo lo posible para resolver el asunto de manera amistosa y oportuna. Las Partes se mantendrán informadas mutuamente de dichas controversias y, en su caso, cooperarán en su solución.
(c) Cuando el titular de los datos invoque un derecho de terceros beneficiarios en conformidad con la Cláusula 3, el importador de datos aceptará la decisión del titular de los datos de lo siguiente:
(d) Las Partes aceptan que el titular de los datos pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el Artículo 80(1) del Reglamento (UE) 2016/679.
(e) El importador de datos deberá acatar una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.
(f) El importador de datos acepta que la elección realizada por el titular de los datos no perjudicará sus derechos sustantivos y procesales para buscar recursos en conformidad con las leyes aplicables.
Cláusula 12
Responsabilidad
(a) Cada una de las Partes será responsable ante las demás de los daños y perjuicios que cause a las otras Partes por cualquier incumplimiento de las presentes Cláusulas.
(b) El importador de datos será responsable ante el titular de los datos, y este último tendrá derecho a recibir una compensación por cualquier daño material o no material que el importador de datos o su subprocesador causen al titular de los datos al incumplir los derechos del tercero beneficiario en virtud de estas Cláusulas.
(c) No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el titular de los datos, y el titular de los datos tendrá derecho a recibir una indemnización por cualquier daño material o no material que el exportador de datos o el importador de datos (o su subprocesador) causen al titular de los datos al incumplir los derechos de terceros beneficiarios en virtud de estas Cláusulas. Todo ello sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un procesador que actúe por cuenta de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
(d) Las Partes acuerdan que, si el exportador de datos se hace responsable conforme al párrafo (c) por los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.
(e) Cuando más de una Parte sea responsable de cualquier daño causado al titular de los datos como consecuencia del incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el titular de los datos tendrá derecho a interponer acción judicial contra cualquiera de estas Partes.
(f) Las Partes acuerdan que, si una de las Partes es considerada responsable en virtud del párrafo (e), tendrá derecho a reclamar a las demás Partes aquella parte de la indemnización correspondiente a su responsabilidad por el daño.
(g) El importador de datos no podrá invocar la conducta de un subprocesador para evitar su propia responsabilidad.
Cláusula 13
Supervisión
(a) [Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] Actuará como autoridad supervisora competente la autoridad supervisora encargada de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, como se indica en el Anexo I.C.
[Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, sino que se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 en conformidad con su Artículo 3(2) y haya designado un representante en conformidad con el Artículo 27(1) del Reglamento (UE) 2016/679]: Actuará como autoridad supervisora competente la autoridad supervisora del Estado miembro en el que se establezca el representante en el sentido del Artículo 27(1) del Reglamento (UE) 2016/679, como se indica en el Anexo I.C.
[Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, sino que se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 en conformidad con su Artículo 3(2), sin tener que nombrar, sin embargo, un representante en conformidad con el Artículo 27(2) del Reglamento (UE) 2016/679]: Actuará como autoridad supervisora competente la autoridad supervisora de uno de los Estados miembros en los que se encuentren los titulares de los datos cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los titulares, o cuyo comportamiento se controle, tal como se indica en el Anexo I.C.
(b) El importador de datos se compromete a someterse a la jurisdicción de la autoridad supervisora competente y cooperar con ella en cualquier procedimiento encaminado a asegurar el cumplimiento de estas Cláusulas. En particular, el importador de datos se compromete a responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad supervisora, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad supervisora la confirmación por escrito de que se han tomado las medidas necesarias.
SECCIÓN III. LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14
Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas
(a) Las Partes aseguran que no tienen motivo para creer que las leyes y prácticas en el tercer país de destino aplicables al procesamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de datos personales o las medidas que autoricen el acceso por parte de las autoridades públicas, impidan que el importador de datos cumpla con sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679 no están en contradicción con estas Cláusulas.
(b) Las Partes declaran que, al proporcionar la garantía del párrafo (a), han tenido debidamente en cuenta en particular los siguientes elementos:
(c) El importador de datos garantiza que, al realizar la evaluación prevista en el párrafo (b), ha hecho sus mejores esfuerzos para proporcionar al exportador de datos información relevante y acepta que continuará cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
(d) Las Partes acuerdan documentar la evaluación conforme al párrafo (b) y ponerla a disposición de la autoridad supervisora competente cuando así lo solicite.
(e) El importador de datos acuerda notificar con prontitud al exportador de datos si, después de haber acordado estas Cláusulas y durante la duración del contrato, tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas no acordes con los requisitos del párrafo (a), incluso tras un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de tales leyes en la práctica que no esté en consonancia con los requisitos en el párrafo (a). [Para el Módulo Tres: El exportador de datos remitirá la notificación al controlador].
(f) Después de una notificación conforme al párrafo (e), o si el exportador de datos de otra manera tiene razones para creer que el importador de datos ya no puede cumplir con sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará sin demora las medidas apropiadas, como medidas técnicas u organizativas para garantizar la seguridad y confidencialidad, que adoptará el exportador de datos o el importador de datos para atender la situación [para el Módulo Tres: en su caso, en consulta con el controlador]. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar las salvaguardas adecuadas para dicha transferencia, o si así lo instruye [para el Módulo Tres: el controlador] la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de datos personales en virtud de estas Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan convenido otra cosa. Cuando el contrato sea rescindido en conformidad con esta Cláusula, se aplicará la Cláusula 16(d) y (e).
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
15.1 Notificación
(a) El importador de datos se compromete a notificar con prontitud al exportador de datos y, en la medida de lo posible, al titular de los datos (si es necesario con la ayuda del exportador de datos) en los siguientes casos:
(b) Si el importador de datos tiene prohibido notificar al exportador de datos o al titular de los datos en virtud de las leyes del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una renuncia a la prohibición, con miras a comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
(c) Cuando lo permitan las leyes del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, la mayor cantidad de información relevante posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridades requirentes, si las solicitudes han sido impugnadas y el resultado de tales impugnaciones, etc.). [Para el Módulo Tres: El exportador de datos remitirá la información al controlador].
(d) El importador de datos se compromete a conservar la información conforme a los párrafos (a) a (c) durante la vigencia del contrato y ponerla a disposición de la autoridad supervisora competente cuando así lo solicite.
(e) Los párrafos (a) a (c) son sin perjuicio de la obligación del importador de datos conforme a la Cláusula 14(e) y a la Cláusula 16 de informar sin demora al exportador de datos cuando no pueda cumplir con estas Cláusulas.
15.2 Revisión de legalidad y minimización de datos
(a) El importador de datos acuerda revisar la legalidad de la solicitud de divulgación, en particular si se encuentra dentro de las facultades otorgadas a la autoridad pública requirente, y a impugnar la solicitud si, tras una cuidadosa evaluación, concluye que existen motivos razonables para considerar que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, perseguir las posibilidades de apelación. Al impugnar una solicitud, el importador de datos solicitará medidas provisionales con miras a suspender los efectos de la solicitud hasta que la autoridad judicial competente haya resuelto sus méritos. No revelará los datos personales solicitados hasta que así lo requieran las reglas procesales aplicables. Estos requisitos son sin perjuicio de las obligaciones del importador de datos conforme a la Cláusula 14(e).
(b) El importador de datos acuerda documentar su evaluación jurídica y cualquier impugnación a la solicitud de divulgación y, en la medida en que lo permitan las leyes del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad supervisora competente cuando así lo solicite. [Para el Módulo Tres: El exportador de datos pondrá la evaluación a disposición del controlador].
(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permisible al responder a una solicitud de divulgación, con base en una interpretación razonable de la solicitud.
SECCIÓN IV. DISPOSICIONES FINALES
Cláusula 16
Incumplimiento de las Cláusulas y rescisión
(a) El importador de datos deberá informar sin demora al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
(b) En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con estas Cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice nuevamente el cumplimiento o se rescinda el contrato. Esto sin perjuicio de la Cláusula 14(f).
(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de datos personales en virtud de estas Cláusulas, cuando:
En estos casos, informará de dicho incumplimiento a la autoridad supervisora competente [para el Módulo Tres: y al controlador]. Cuando el contrato involucre a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan convenido otra cosa.
(d) Los datos personales que hayan sido transferidos con anterioridad a la rescisión del contrato en conformidad con el párrafo (c), serán devueltos inmediatamente a elección del exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará asegurando el cumplimiento de estas Cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo que así lo requiera dicha ley local.
(e) Cualquiera de las Partes podrá revocar su acuerdo de quedar obligada por estas Cláusulas cuando: (i) la Comisión Europea adopte una decisión en conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se apliquen estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieran los datos personales. Esto sin perjuicio de otras obligaciones que se apliquen al procesamiento en cuestión conforme al Reglamento (UE) 2016/679.
Cláusula 17
Legislación vigente
Estas Cláusulas se regirán por la ley del Estado miembro de la UE en el que esté establecido el exportador de datos. Cuando dicha ley no permita derechos de terceros beneficiarios, se regirán por la ley de otro Estado miembro de la UE que sí permita derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de Dinamarca.
Cláusula 18
Elección de foro y jurisdicción
(a) Cualquier controversia derivada de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE.
(b) Las Partes acuerdan que esos serán los tribunales de Dinamarca.
(c) El titular de los datos también podrá iniciar acciones legales contra el exportador de datos o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
ANEXO I
A. LISTA DE PARTES
Exportadores de datos: [Identidad y datos de contacto de los exportadores de datos y, en su caso, de su responsable de protección de datos o representante en la Unión Europea]
1.
Nombre: …
Dirección: …
Nombre, cargo y datos de contacto de la persona de contacto: …
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: …
Rol (controlador/procesador): Controlador
2.
…
Importadores de datos: [Identidad y datos de contacto de los importadores de datos, incluida cualquier persona de contacto responsable de la protección de datos]
1.
Nombre: Motorola Solutions, Inc.
Dirección: 500 W. Monroe St., Chicago, IL 60661 USA
Nombre, cargo y datos de contacto de la persona de contacto: Irene Amu, DPO, Privacy1@MotorolaSolutions.com
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: Prestación de servicios relacionados con videoseguridad o sistemas de control de acceso en las instalaciones del Controlador.
Rol (controlador/procesador): Procesador
2.
…
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de titulares de los datos cuyos datos personales se transfieren
Los titulares de los datos incluyen a los representantes y usuarios finales del exportador de datos, incluidos empleados, contratistas, colaboradores y clientes del exportador de datos. Los titulares de los datos también pueden incluir personas que intenten comunicar o transferir información personal a los usuarios de los servicios prestados por el importador de datos. Avigilon reconoce que, dependiendo del uso del Cliente del Servicio En Línea, el Cliente puede optar por incluir datos personales de cualquiera de los siguientes tipos de titulares de datos en los Datos del Cliente:
Empleados, contratistas y trabajadores temporales (actuales, antiguos, prospectivos) del exportador de datos.
Dependientes de los anteriores.
Colaboradores o personas de contacto (personas físicas) del exportador de datos o empleados, contratistas o trabajadores temporales de personas jurídicas colaboradoras o personas de contacto (actuales, prospectivas, antiguas).
Usuarios (por ejemplo, compradores, clientes, pacientes, visitantes, etc.) y otros titulares de datos que sean usuarios de los servicios del exportador de datos.
Socios, partes interesadas o individuos que colaboran activamente, se comunican o interactúan de otra manera con los empleados del exportador de datos o utilizan herramientas de comunicación, como aplicaciones y sitios web proporcionados por el exportador de datos.
Partes interesadas o individuos que interactúan pasivamente con el exportador de datos (por ejemplo, porque son objeto de una investigación o indagación o se mencionan en documentos o correspondencia de o hacia el exportador de datos).
Menores. O bien
Profesionales con privilegio profesional (por ejemplo, médicos, abogados, notarios, trabajadores religiosos, etc.).
Categorías de datos personales transferidos
En el uso de los Productos y Servicios por parte del Cliente, el Cliente puede optar por incluir datos personales de cualquiera de las siguientes categorías en los Datos del Cliente:
Datos personales básicos (por ejemplo, lugar de nacimiento, nombre de la calle y número de casa (dirección), código postal, ciudad de residencia, país de residencia, número de teléfono móvil, nombre, apellido, iniciales, dirección de correo electrónico, sexo, fecha de nacimiento), incluidos datos personales básicos sobre familiares e hijos.
Datos de autenticación (por ejemplo, nombre de usuario, contraseña o código PIN, pregunta de seguridad, pista de auditoría).
Información de contacto (por ejemplo, direcciones, correo electrónico, números de teléfono, identificadores de redes sociales; datos de contacto de emergencia).
Números y firmas de identificación únicos (por ejemplo, número de Seguro Social, número de cuenta bancaria, número de pasaporte y documento de identidad, número de licencia de conducir y datos de registro del vehículo, direcciones IP, número de empleado, número de estudiante, número de paciente, firma, identificador único en cookies de rastreo o tecnología similar).
Identificadores de seudónimo.
Información financiera y de seguros (por ejemplo, número de seguro, nombre y número de cuenta bancaria, nombre y número de tarjeta de crédito, número de factura, ingresos, tipo de seguro, comportamiento de pago, solvencia).
Información comercial (por ejemplo, historial de compras, ofertas especiales, información de suscripción, historial de pagos).
Información biométrica (por ejemplo, ADN, huellas dactilares y escaneos del iris).
Datos de ubicación (por ejemplo, ID de celda, datos de red de ubicación geográfica, ubicación por llamada inicial/final de la llamada, datos de ubicación derivados del uso de puntos de acceso wifi).
Fotos, video y audio.
Actividad en Internet (por ejemplo, historial de navegación, historial de búsqueda, lectura, visualización de televisión, actividades de escucha de radio).
Identificación del dispositivo (por ejemplo, número IMEI, número de tarjeta SIM, dirección MAC).
Perfiles (por ejemplo, basados en comportamientos delictivos o antisociales observados o perfiles con seudónimos basados en URL visitadas, secuencias de clics, registros de navegación, direcciones IP, dominios, aplicaciones instaladas o perfiles basados en preferencias de marketing).
Datos de recursos humanos y reclutamiento (por ejemplo, declaración de situación laboral, información de reclutamiento (como currículum vitae, historial de empleo, detalles del historial educativo), datos de empleo y puesto, incluidas las horas de trabajo, evaluaciones y salarios, detalles del permiso de trabajo, disponibilidad, términos de empleo, detalles de impuestos, detalles de pago, detalles del seguro y ubicación, y organizaciones).
Datos educativos (por ejemplo, historial educativo, educación actual, títulos y calificaciones, grado más alto alcanzado, discapacidad de aprendizaje).
Información de ciudadanía y residencia (por ejemplo, ciudadanía, estado de naturalización, estado civil, nacionalidad, estado migratorio, datos de pasaporte, detalles de residencia o permiso de trabajo).
Información procesada para el desempeño de una tarea realizada en interés público o en el ejercicio de una autoridad oficial.
Categorías especiales de datos (por ejemplo, origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el propósito de identificar de manera única a una persona física, datos relativos a la salud, datos relativos a la vida sexual u orientación sexual de una persona física, o datos relacionados con condenas o delitos penales). O bien
Cualquier otro dato personal identificado en el Artículo 4 del RGPD.
Datos sensibles transferidos (si corresponde) y restricciones o salvaguardas vigentes que toman plenamente en consideración la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, limitación estricta de fines, restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), llevar un registro de acceso a los datos, restricciones para transferencias ulteriores o medidas de seguridad adicionales.
…
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).
Los datos podrán ser transferidos de forma continua durante la vigencia del Acuerdo u otro acuerdo al que se aplique este DPA.
Naturaleza del procesamiento
La naturaleza, alcance y propósito del procesamiento de datos personales consisten en cumplir con las obligaciones de Avigilon con respecto a la provisión de los Productos y Servicios adquiridos en virtud del Acuerdo. El importador de datos utiliza una red global de centros de datos e instalaciones de administración/soporte, y el procesamiento puede tener lugar en cualquier jurisdicción donde el importador de datos o sus subprocesadores utilicen dichas instalaciones.
Finalidades de la transferencia de datos y posterior procesamiento
La naturaleza, alcance y propósito del procesamiento de datos personales consisten en cumplir con las obligaciones de Avigilon con respecto a la provisión de los Productos y Servicios adquiridos en virtud del Acuerdo. El importador de datos utiliza una red global de centros de datos e instalaciones de administración/soporte, y el procesamiento puede llevarse a cabo en cualquier jurisdicción donde el importador de datos o sus subprocesadores utilicen tales instalaciones.
El período por el que se conservarán los datos personales, o, de no ser posible, los criterios utilizados para determinar dicho período
La retención de datos se rige por la Sección 10 de este Acuerdo de Procesamiento de Datos.
Para las transferencias a subprocesadores, especifique también la materia, la naturaleza y la duración del procesamiento
Las transferencias a subprocesadores solo serán para llevar a cabo el cumplimiento de las obligaciones de Avigilon con respecto a la provisión de los Productos y Servicios adquiridos en virtud del Acuerdo. La duración del procesamiento será por el plazo del Acuerdo. El importador de datos utiliza una red global de centros de datos e instalaciones de administración/soporte, y el procesamiento puede tener lugar en cualquier jurisdicción donde el importador de datos o sus subprocesadores utilicen dichas instalaciones.
C. AUTORIDAD SUPERVISORA COMPETENTE
La Agencia Danesa de Protección de Datos
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
NOTA EXPLICATIVA:
Las medidas técnicas y organizativas deben describirse en términos específicos (y no genéricos). Véase también el comentario general de la primera página del Apéndice, en particular sobre la necesidad de indicar claramente qué medidas se aplican a cada transferencia o conjunto de transferencias.
Descripción de las medidas técnicas y organizativas implementadas por los importadores de datos (incluida cualquier certificación relevante) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, alcance, contexto y finalidad del procesamiento, y los riesgos para los derechos y libertades de las personas físicas.
[Ejemplos de posibles medidas:
Medidas de seudonimización y cifrado de datos personales
Cuando sea técnicamente factible y cuando no afecte a los servicios prestados:
Avigilon minimiza los datos que recopila a la información que considera necesaria para comunicar, proporcionar y mantener los productos y servicios e información necesaria para cumplir con las obligaciones legales.
Avigilon cifra los datos en tránsito y en reposo.
Avigilon seudonimiza y limita las cuentas administrativas que tienen acceso a la seudonimización inversa.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento
Con el fin de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento, la Política de Protección de la Información de Avigilon exige la institucionalización de la protección de la información a lo largo del desarrollo de la solución y los ciclos de vida operativos. Avigilon mantiene equipos de seguridad dedicados para su seguridad interna de la información y sus productos y servicios. Sus prácticas y políticas de seguridad son integrales a su negocio y obligatorias para todos los empleados y contratistas de Avigilon. El Director de Seguridad de la Información de Avigilon tiene la responsabilidad y la supervisión ejecutiva de dichas políticas, incluida la gobernanza formal, la gestión de revisiones, la educación del personal y el cumplimiento. Avigilon generalmente se alinea con el Marco de Ciberseguridad del NIST, así como con la norma ISO 27001.
Parte de la configuración del sistema está bajo el control del cliente.
Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico
El sector de Procedimientos ante Incidentes de Seguridad de Avigilon mantiene un plan global de respuesta a incidentes para abordar cualquier incidente físico o técnico de manera expedita. Avigilon mantiene un registro de incumplimientos de seguridad con una descripción del incumplimiento, el plazo de tiempo, las consecuencias de la vulneración de seguridad, el nombre del informante, y a quien se informó la vulneración, y el procedimiento de recuperación de datos. Por cada vulneración de seguridad que sea un Incidente de Seguridad, la notificación se realizará de acuerdo con la sección “Notificación de Incidentes de Seguridad” de este DPA.
El sector de Continuidad del Negocio y Preparación para Desastres de Avigilon mantiene planes de continuidad del negocio y preparación ante desastres para funciones y sistemas críticos bajo el control de Avigilon que ofrecen soporte a los Productos y Servicios adquiridos en virtud del Acuerdo, con el fin de evitar interrupciones en los servicios y minimizar los riesgos de recuperación.
Procesos para probar, evaluar y analizar regularmente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del procesamiento
Avigilon evalúa periódicamente sus procesos y sistemas para garantizar el cumplimiento continuo de las obligaciones impuestas por la ley, regulación o contrato con respecto a la confidencialidad, integridad, disponibilidad y seguridad de los Datos del Cliente, incluida la información personal. Avigilon documenta los resultados de estas evaluaciones y cualquier actividad de remediación realizada en respuesta a dichas evaluaciones. Avigilon realiza periódicamente evaluaciones de Terceros donde se hace un cotejo con los estándares aplicables de la industria, como las normas ISO 27001, 27017, 27018 y 27701.
Medidas para la identificación y autorización del usuario
Identificación y Autenticación. Avigilon utiliza prácticas estándares de la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información de Avigilon. En el caso de los mecanismos de autenticación basados en contraseñas, Avigilon requiere que las contraseñas tengan al menos ocho caracteres de longitud y se cambien regularmente. Avigilon utiliza prácticas de protección con contraseña estándares de la industria, incluidas las prácticas diseñadas para mantener la confidencialidad e integridad de las contraseñas cuando estas se asignan y se distribuyen, y durante el almacenamiento.
Política de Acceso y Administración. Avigilon mantiene un registro de los privilegios de seguridad de las personas que tienen acceso a los Datos del Cliente, incluida la información personal. Avigilon mantiene procesos adecuados para solicitar, aprobar y administrar cuentas y privilegios de acceso en relación con el Procesamiento de Datos del Cliente. Solo el personal autorizado podrá otorgar, alterar o cancelar el acceso autorizado a los datos y recursos. Cuando una persona tiene acceso a sistemas que contienen Datos del Cliente, se le asignan identificadores únicos y separados. Avigilon desactiva las credenciales de autenticación de forma periódica.
Medidas para la protección de datos durante la transmisión
Los datos generalmente se cifran durante la transmisión dentro de los entornos administrados por Avigilon. El cifrado en tránsito también se suele exigir a cualquier subprocesador. Además, la protección de los datos en tránsito también se logra a través de los controles de acceso, la seguridad física y ambiental y la seguridad del personal descritos a lo largo de este Anexo II.
Medidas para la protección de datos durante el almacenamiento
Los datos generalmente se cifran durante el almacenamiento dentro de los entornos administrados por Avigilon. El cifrado en el almacenamiento también se suele exigir a cualquier subprocesador. Además, la protección de los datos almacenados también se logra a través de los controles de acceso, la seguridad física y ambiental y la seguridad del personal descritos a lo largo de este Anexo II.
Medidas para garantizar la seguridad física de los lugares en los que se procesan los datos personales
Avigilon mantiene los controles de seguridad física y ambiental adecuados para evitar el acceso no autorizado a los Datos del Cliente, incluida la información personal. Esto incluye controles de entrada físicos apropiados a las instalaciones de Avigilon, como puntos de entrada controlados por tarjeta, y un mostrador de recepción con personal para protegerse contra entradas no autorizadas. El acceso a áreas controladas dentro de una instalación estará limitado por función laboral y sujeto a aprobación autorizada. Se registra el uso de una credencial de acceso para ingresar a un área controlada y dichos registros se conservarán de acuerdo con la política de Avigilon. Avigilon revoca el acceso del personal a las instalaciones y áreas controladas de Avigilon tras la finalización del empleo, de acuerdo con las políticas de Avigilon. Las políticas de Avigilon imponen controles de estaciones de trabajo, dispositivos y medios estándares de la industria diseñados para proteger aún más los Datos del Cliente, incluida la información personal.
Medidas para garantizar la seguridad del personal
Acceso a los Datos del Cliente. Avigilon mantiene procesos para autorizar y supervisar a sus empleados y contratistas con respecto al monitoreo del acceso a los Datos del Cliente. Avigilon requiere que sus empleados, contratistas y agentes que tengan acceso a los Datos del Cliente, o que se pueda esperar que lo tengan, cumplan con las disposiciones del Acuerdo, incluido este Anexo y cualquier otro acuerdo aplicable vinculante para Avigilon.
Conciencia de seguridad y privacidad. Avigilon debe asegurarse de que sus empleados y contratistas estén al tanto de las prácticas de seguridad y privacidad estándares de la industria, además de sus responsabilidades para proteger los Datos del Cliente y los Datos Personales. Esto debe incluir, aunque sin carácter exhaustivo, la protección contra software malicioso, la protección con contraseña y administración, y el uso de estaciones de trabajo y cuentas de sistemas informáticos. Avigilon requiere capacitación periódica en seguridad de la información, capacitación en privacidad y capacitación en ética empresarial para todos los empleados y recursos contratados.
Política de sanciones. Avigilon mantiene una política de sanciones para atender las infracciones de los requisitos de seguridad interna de Avigilon, así como los requisitos impuestos por ley, normativa o contrato.
Verificaciones de antecedentes. Avigilon aplica sus requisitos estándares de verificación laboral obligatoria para todos los empleados nuevos. De acuerdo con la política interna de Avigilon, estos requisitos deben ser revisados periódicamente e incluyen, entre otros, verificaciones de antecedentes penales, comprobante de validación de identidad y cualquier verificación adicional que Avigilon considere necesaria.
Medidas para garantizar el registro de eventos
Avigilon mantiene políticas que requieren monitoreo continuo y registro de eventos en todos los recursos de información de producción. Los registros de pistas de auditoría de aplicaciones deben capturarse en todos los recursos de información de Avigilon de producción. Registros de pistas de auditoría de producción Los recursos de información de Avigilon se revisan regularmente y se toman las medidas correctivas adecuadas cuando es necesario.
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada
Medidas para la gobernanza y gestión de TI interna y seguridad de TI
La organización Motorola Solutions Enterprise Information Security está estructurada de la siguiente manera: Gobernanza/Riesgo/Cumplimiento, Inteligencia de Amenazas y Gestión, Detección, Protección y Respuesta ante de Vulnerabilidades. Avigilon evalúa la eficacia de la organización anualmente a través de asesores externos que informan y comparten los hallazgos de la evaluación con los Servicios de Auditoría de Avigilon, que rastrean cualquier remediación identificada. Para obtener más información, consulte el Centro de Confianza de Avigilon en https://www.motorolasolutions.com/en_us/about/trust-center/security.html
Medidas para certificación o aseguramiento de procesos y productos
Avigilon realiza auditorías de seguridad internas de Revisión de Seguridad de Aplicaciones y Revisión de Seguridad de Diseños, además de la Revisión de Preparación para la Producción antes del lanzamiento del servicio. Cuando corresponda, se realizan evaluaciones de privacidad para los productos y servicios de Avigilon. Se crea un registro de riesgos como resultado de auditorías internas con asignaciones que se encargan al personal pertinente. Las auditorías de seguridad se realizan anualmente con auditorías adicionales, según sea necesario. Las evaluaciones adicionales de privacidad, incluidos los mapas de datos actualizados, se llevan a cabo cuando se realizan cambios materiales en los productos o servicios. Además, Avigilon Solution ha logrado informes AICPA SOC2 Tipo 2 y certificación ISO/IEC 27001:2013 para muchas de sus operaciones de desarrollo y soporte.
Medidas para garantizar la minimización de datos
Las políticas de Avigilon requieren el procesamiento de toda la información personal de acuerdo con la ley aplicable, incluso cuando esa ley requiera la minimización de datos. Además, Avigilon realiza evaluaciones de privacidad de sus productos y servicios, y evalúa si esos productos y servicios respaldan los principios de procesamiento, como la minimización de datos, tal como se establece en el Artículo 5 del RGPD.
Medidas para garantizar la calidad de los datos
Las políticas de Avigilon requieren el procesamiento de toda la información personal de acuerdo con la ley aplicable, incluso cuando dicha ley requiera garantizar la calidad y exactitud de los datos. Además, Avigilon realiza evaluaciones de privacidad de sus productos y servicios, y evalúa si esos productos y servicios respaldan los principios de procesamiento, como garantizar la calidad de los datos, tal como se establece en el Artículo 5 del RGPD.
Medidas para garantizar una retención limitada de datos
Avigilon mantiene una política de retención de datos que proporciona un cronograma de retención que indica los períodos de almacenamiento de los datos personales. El cronograma se basa en las necesidades del negocio y proporciona información suficiente para identificar todos los registros e implementar decisiones de eliminación de acuerdo con el cronograma. La política se revisa y actualiza periódicamente.
Medidas para garantizar la responsabilidad
Para garantizar el cumplimiento del principio de asunción de responsabilidad, Avigilon mantiene un Programa de Privacidad que generalmente alinea sus actividades tanto con el Marco de Gestión y Responsabilidad de Privacidad de Nymity como con el Marco de Privacidad del NIST. Motorola Solutions Audit Services audita anualmente el Programa de Privacidad.
Medidas para permitir la portabilidad de datos y garantizar el borrado
Cuando un titular de datos solicite mover, copiar o transferir sus datos personales, Avigilon proporcionará los datos personales en un formato estructurado, de uso común y legible por máquina. Cuando sea posible, y si un individuo lo solicita, Avigilon puede transmitir directamente los datos personales a otra organización.
Para las transferencias a subprocesadores, describa también las medidas técnicas y organizativas específicas que debe tomar el subprocesador para poder brindar asistencia al controlador y, para las transferencias de un procesador a un subprocesador, al exportador de datos.
El procesador contrata a los subprocesadores para poder cumplir con sus obligaciones ante el Controlador. Con respecto a las compañías afiliadas del Procesador ubicadas en todo el mundo, el Procesador tiene establecidas reglas corporativas vinculantes. Con respecto a los proveedores externos, el Procesador hace las contrataciones pertinentes, incluido el establecimiento de Cláusulas Contractuales Tipo cuando corresponda, y realiza una evaluación de seguridad antes de revelar los datos de los clientes al proveedor.
ANEXO III
LISTA DE SUBPROCESADORES
NOTA EXPLICATIVA:
Este Anexo deberá cumplimentarse para los Módulos Dos y Tres, en caso de la autorización específica de los subprocesadores (Cláusula 9(a), Opción 1).
El controlador ha autorizado el uso de los siguientes subprocesadores:
AVIGILON ALTA
Nombre y servicios (Nombre y dirección registrada de la entidad del Proveedor o subcontratista, con una breve descripción de los Servicios correspondientes) | Ubicación/Transferencias (Ubicación en la que la entidad procesará los Datos Personales. Indicar hacia dónde y desde dónde se transferirá, cuando corresponda) | Mecanismo (Mecanismo acordado para garantizar que toda transferencia cumpla con las Leyes de Protección de Datos) |
Microsoft Azure (plataforma en la nube) | UE | N/D |
Elastic (almacenamiento de servicios en la nube para documentos JSON) | UE | N/D |
Google Ireland Ltd (nube de Ava Security) | EE. UU., UE, Reino Unido, CA, AU | SCC |
OpenPath Security, Inc. (una compañía de MSI) | EE. UU., UE | SCC |
Amazon Web Services EMEA | EE. UU. | SCC |
Freshworks Inc. | EE. UU. | SCC |
Wasabi.com | EE. UU., UE, AU, CA | SCC o similares mecanismo de contratación aplicable, según sea necesario |
Digital Ocean | EE. UU., UE, Reino Unido, CA, SG |
SCC o similares mecanismo de contratación aplicable, según sea necesario |
Mixpanel, Inc. | EE. UU., UE | SCC |
Bugfender | EE. UU., UE | SCC |
Bugsnag | EE. UU., UE | SCC |
Avigilon Corporation (una compañía de MSI) | EE. UU./CA/UE | SCC |
Avigilon USA Corporation (una compañía de MSI) | EE. UU./UE | SCC |
Millicast | EE. UU. | SCC |
Netsuite | EE. UU. | SCC |
Hubspot | EE. UU. | SCC |
Locize | UE | N/D |
Mouseflow | EE. UU. | SCC |
Nombre y servicios (Nombre y dirección registrada de la entidad del Proveedor o subcontratista, con una breve descripción de los Servicios correspondientes) | Ubicación/Transferencias (Ubicación en la que la entidad procesará los Datos Personales. Indicar hacia dónde y desde dónde se transferirá, cuando corresponda) | Mecanismo (Mecanismo acordado para garantizar que toda transferencia cumpla con las Leyes de Protección de Datos) | Aplicable solo a los servicios en la nube |
Microsoft Corporation | EE. UU., Australia y Canadá | Mecanismos de contratación apropiados | Sí |
EE. UU., Australia y Canadá | Mecanismos de contratación apropiados | Sí | |
Google, Inc. | Mundial | Mecanismos de contratación apropiados | |
Apple, Inc. | Mundial | Mecanismos de contratación apropiados | |
Motorola Solutions, Inc. incluidas las filiales | Mundial | Mecanismos de contratación apropiados | |
Flexera | EE. UU. | Mecanismos de contratación apropiados | |
Mundial | Mecanismos de contratación apropiados | ||
Twilio | EE. UU. | Mecanismos de contratación apropiados y BCR | Sí |
PubNub | EE. UU. | Mecanismos de contratación apropiados | Sí |
Salesforce | EE. UU. | Mecanismos de contratación apropiados y BCR |