3. Categorías de datos personales y finalidad del tratamiento de datos personales

Transcripción

1 CONTRATO DE TRATAMIENTO DE DATOS PARA SERVICIOS MULTI-NUBE 1. Alcance y Orden de precedencia Este es un acuerdo relativo al procesamiento de Datos Personales (como se define a continuación) como parte de AGILITIX Cloud Services ("Servicios"), como se especifica en (i) el Contrato de Servicios Multinube de AGILITIX, y (ii) la oferta de servicios que constituye un acuerdo entre el Cliente y AGILITIX, y todos los documentos, adiciones, cronogramas y presentaciones incorporados en el mismo (colectivamente el "Acuerdo") por y entre el Cliente y AGILITIX. Este acuerdo (el "Contrato de procesamiento de datos") está sujeto a los términos del Contrato y se adjunta como un anexo del mismo. En caso de cualquier conflicto entre los términos del Contrato de Servicios Multinube de AGILITIX y los términos de este Contrato de Procesamiento de Datos, prevalecerán los términos relevantes de este Contrato de Procesamiento de Datos. Este Contrato de Procesamiento de Datos será efectivo para el Período de Servicios de cualquier orden bajo el Contrato de Servicios Multinube de AGILITIX. 2. Definiciones "Cliente" o "usted" significa el Cliente que ha ejecutado el pedido de Servicios en la Nube de AGILITIX. "Datos personales": toda información relativa a una persona natural identificada o identificable («interesado»); Una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social. 3. Categorías de datos personales y finalidad del tratamiento de datos personales Para ejecutar el Contrato, y en particular para realizar los Servicios en nombre del Cliente, el Cliente autoriza y solicita que AGILITIX procese los siguientes Datos Personales:

2 Categorías de Datos Personales: Los Datos Personales pueden incluir, entre otros, información de contacto personal como nombre, domicilio, número de teléfono o móvil, número de fax, dirección de correo electrónico y contraseñas; información sobre la familia, el estilo de vida y las circunstancias sociales, incluida la edad, la fecha de nacimiento, el estado civil, el número de hijos y el nombre del cónyuge y o de los hijos; detalles del empleo, incluyendo nombre del empleador, cargo y función, historial de empleo, salario y otros beneficios, desempeño en el trabajo y otras capacidades, educación / calificación, números de identificación, detalles de seguridad social y detalles de contacto de negocios; detalles financieros; y bienes y servicios prestados. Categorías de sujetos de datos: Los sujetos de datos incluyen representantes del cliente y usuarios finales, como empleados, contratistas, colaboradores, socios y clientes del cliente. Los sujetos de datos también pueden incluir individuos que intenten comunicar o transferir datos personales a los usuarios de los Servicios. AGILITIX procesará los Datos Personales exclusivamente para la prestación de los Servicios, y no (i) procesará y usará los Datos Personales para propósitos diferentes a los establecidos en el Contrato o según las instrucciones del Cliente, o (ii) divulgará dichos Datos Personales a terceros que no sea personal de AGILITIX o sus subcontratistas autorizados para los fines antes mencionados o como lo requiera la ley. 4. Instrucciones del cliente Durante la vigencia de los Servicios, el Cliente puede proporcionar instrucciones a AGILITIX además de las especificadas en el Contrato con respecto al procesamiento de Datos Personales. AGILITIX cumplirá con todas estas instrucciones sin costo adicional en la medida necesaria para que AGILITIX cumpla con las leyes aplicables a AGILITIX en el desempeño de los Servicios; Las partes negociarán de buena fe con respecto a cualquier otro cambio en los Servicios y/o los honorarios resultantes de dichas instrucciones. AGILITIX informará al Cliente si, en opinión de AGILITIX, una instrucción viola las regulaciones de protección de datos. El cliente entiende que AGILITIX no está obligado a realizar investigación legal y / o proporcionar asesoramiento legal al Cliente. 5. Propietario de los datos La propiedad y el control de los Datos Personales permanece con el Cliente, y el Cliente permanecerá en todo momento como el Controlador de Datos. El Cliente es responsable del cumplimiento de sus obligaciones de control de datos bajo las leyes de protección de datos,

3 en particular para justificar cualquier transmisión de Datos Personales a AGILITIX (incluyendo proporcionar los avisos necesarios y la obtención de los consentimientos requeridos) y para sus decisiones relacionadas con el procesamiento Y el uso de los datos. 6. Derechos del sujeto de datos AGILITIX concederá al Cliente acceso electrónico a los Entornos de Servicios en la Nube suscritos por el Cliente que contengan Datos Personales para permitir al Cliente eliminar, liberar, corregir o bloquear el acceso a Datos Personales específicos o, si esto no es posible y hasta donde lo permita la ley aplicable, seguirá las instrucciones detalladas por escrito del Cliente para eliminar, liberar, corregir o bloquear el acceso a los Datos Personales. El Cliente acepta pagar los honorarios razonables de AGILITIX asociados con la ejecución de cualquier eliminación, liberación, corrección o bloqueo del acceso a los datos. AGILITIX transmitirá a los contactos del Cliente identificados en la Sección 14 cualquier solicitud de un individuo de eliminar, liberar, corregir o bloquear los Datos Personales procesados bajo el Contrato. 7. Subcontratistas. AGILITIX puede contratar terceros subcontratistas para ayudar en la provisión de los Servicios y tales subcontratistas pueden tener acceso a Datos Personales. AGILITIX mantiene una lista de subcontratistas que pueden tener acceso a los datos personales de los clientes de AGILITIX y proporcionará una copia de esa lista al cliente a petición. Todos los subcontratistas están obligados a respetar sustancialmente las mismas obligaciones que AGILITIX bajo este Contrato de Procesamiento de Datos según corresponda a su ejecución de los Servicios. El Cliente puede solicitar AGILITIX audite al subcontratista (o, cuando esté disponible, obtenga o ayude al cliente a obtener un informe de auditoría de terceros relacionado con las operaciones del subcontratista) para asegurar el cumplimiento de dichas obligaciones. El Cliente también tendrá derecho, previa solicitud por escrito, a recibir copias de los términos pertinentes del acuerdo de AGILITIX con subcontratistas con acceso a Datos Personales, a menos que el acuerdo contenga información confidencial, en cuyo caso AGILITIX podrá proporcionar una versión redactada del acuerdo. AGILITIX seguirá siendo responsable en todo momento por el cumplimiento de los términos del Contrato y este Contrato de Procesamiento de Datos por los funcionarios y subcontratistas de AGILITIX Afiliados. El Cliente consiente a AGILITIX el uso de subcontratistas en la ejecución de los Servicios de acuerdo con los términos de la sección 7.

4 8. Medidas técnicas y organizativas Al procesar los Datos Personales en nombre del Cliente en relación con los Servicios, AGILITIX se asegurará de que implementa y mantiene el cumplimiento de medidas de seguridad técnica y organizativa apropiadas para el procesamiento de dichos datos. En particular, AGILITIX implementará las siguientes medidas: Para evitar que personas no autorizadas tengan acceso a sistemas de tratamiento de datos en los que se procesen o utilicen datos personales (control de acceso físico), AGILITIX tomará medidas para impedir el acceso físico, como personal de seguridad y edificios protegidos Para evitar que los sistemas de procesamiento de datos se utilicen sin autorización (control de acceso al sistema), se aplican: Autenticación mediante contraseñas y/o autenticación de dos factores, procesos de autorización documentados, procesos documentados de gestión de cambios y registro de acceso en varios niveles. Se registra el acceso crítico de los empleados y subcontratistas de AGILITIX. Además, el acceso lógico a los centros de datos está restringido y protegido por firewall / VLAN. También se aplican los siguientes procesos de seguridad: sistema de detección de intrusos, gestión de parches y vulnerabilidades, control y registro de alertas centralizados y firewalls. El registro se realiza en los niveles de sistema, plataforma y aplicación Para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos solo tengan acceso a los Datos Personales a los cuales se les ha autorizado y que los Datos Personales no puedan ser leídos, copiados, modificados o retirados sin autorización en el transcurso del tratamiento y/o después del almacenamiento (control de acceso a datos), los datos personales son accesibles y manejables sólo por personal debidamente autorizado, el acceso directo a consultas de bases de datos está restringido y los derechos de acceso a las aplicaciones se establecen y se aplican. Además de las reglas de control de acceso establecidas en los numerales 8.1 a 8.3 anteriores, AGILITIX implementa una política de acceso bajo la cual el Cliente controla el acceso a su Entorno de Servicios, y a los Datos Personales y otros datos por su personal autorizado Para asegurar que los datos personales no puedan ser leídos, copiados, modificados o retirados sin autorización durante la transmisión o el transporte electrónicos, y que sea posible verificar y establecer a cuales entidades se prevé la transferencia de datos personales (control de transmisión), AGILITIX cumplirá con los siguientes requisitos: A excepción de lo especificado en las especificaciones de servicio, las transferencias de datos fuera del entorno

5 de servicio (si aplica) se cifran. Algunos servicios, como los servicios de redes sociales, pueden ser configurables para permitir el acceso a sitios que requieren comunicaciones no codificadas. El cliente es el único responsable de los resultados de su decisión de utilizar comunicaciones no cifradas Para asegurar que es posible verificar y establecer si y por quien los datos personales han sido introducidos en sistemas de procesamiento de datos, modificados o eliminados (control de entrada), AGILITIX cumplirá con los siguientes requisitos: La fuente de datos personales está bajo control Del Cliente, y la integración de datos personales en el sistema se gestiona mediante transferencia segura de archivos (es decir, a través de servicios web o se introduce en la aplicación) del Cliente Para asegurar que los Datos Personales son procesados estrictamente de acuerdo con las instrucciones del Cliente, AGILITIX debe cumplir con las instrucciones del Cliente relativas al procesamiento de Datos Personales; Tales instrucciones se especifican en el Contrato y en este Contrato de Procesamiento de Datos y, además pueden ser proporcionadas por el Cliente por escrito ocasionalmente Para garantizar que los Datos Personales están protegidos contra la destrucción o pérdida accidental, se realizan copias de seguridad periódicamente Para asegurar que los datos personales que se recopilan para diferentes propósitos pueden ser procesados por separado, los datos de los diferentes entornos de los clientes están lógicamente segregados en los sistemas de AGILITIX. 9. Derechos de auditoría El Cliente puede auditar el cumplimiento de AGILITIX de los términos del Contrato y este Contrato de Procesamiento de Datos hasta una vez al año. Si un tercero debe llevar a cabo la auditoría, el tercero debe ser mutuamente aceptado por el Cliente y AGILITIX y debe firmar un acuerdo de confidencialidad escrito aceptable para AGILITIX antes de realizar la auditoría. Para solicitar una auditoría, el Cliente deberá presentar un plan detallado de auditoría con al menos dos semanas de antelación a la fecha de auditoría propuesta a AGILITIX, describiendo el alcance, la duración y la fecha de inicio de la auditoría. AGILITIX revisará el plan de auditoría y remitirá al Cliente cualquier inquietud o pregunta (por ejemplo, cualquier solicitud de información que pueda comprometer la política de seguridad, privacidad o empleo de AGILITIX). AGILITIX trabajará en cooperación con el Cliente para acordar un plan de auditoría final.

6 La auditoría debe ser conducida durante las horas de oficina regular en la instalación aplicable, sujeto a las políticas de AGILITIX, y no puede interferir de manera irrazonable con las actividades normales de AGILITIX. AGILITIX hará esfuerzos razonables para proporcionar la información solicitada al auditor. El Cliente proporcionará a AGILITIX cualquier informe de auditoría generado resultado de cualquier auditoría bajo esta sección, a menos que esté prohibido por la ley. El cliente puede utilizar los informes de auditoría únicamente con el propósito de cumplir con sus requisitos de auditoría regulatoria y/o confirmar el cumplimiento de los requisitos del Contrato y del presente Contrato de procesamiento de datos. Los informes de auditoría son Información Confidencial de las partes bajo los términos del Contrato. Las auditorías son a cargo del Cliente. Cualquier solicitud para que AGILITIX proporcione asistencia con una auditoría se considera un servicio separado si tal asistencia de auditoría requiere el uso de recursos diferentes o adicionales. AGILITIX buscará la aprobación por escrito del Cliente y el acuerdo para pagar cualquier cargo relacionado antes de realizar dicha asistencia de auditoría. 10. Notificación y Gestión de Incidentes AGILITIX evalúa y responde a incidentes que crean sospecha de acceso no autorizado o manejo de Datos Personales. AGILITIX se informa de tales incidentes y, dependiendo de la naturaleza de la actividad, define rutas de escalamiento y equipos de respuesta para abordarlos. AGILITIX trabajará con el Cliente, con las líneas de negocio internas de propias de AGILITIX, con los equipos técnicos apropiados y, donde sea necesario, con la aplicación de la ley externa para responder al incidente. El objetivo de la respuesta a incidentes será restablecer la confidencialidad, integridad y disponibilidad del entorno de servicios en la nube, y establecer causas raíz y pasos de remediación. El personal de operaciones de AGILITIX tiene instrucciones de responder a incidentes donde el manejo de Datos Personales puede haber sido desautorizado, incluyendo reportes rápidos y razonables a AGILITIX, procedimientos de escalamiento y prácticas de cadena de custodia para obtener pruebas relevantes. Para los fines de esta sección, "incumplimiento de seguridad" significa la apropiación indebida de Datos Personales ubicados en sistemas AGILITIX o medios electrónicos que comprometen la seguridad, confidencialidad o integridad de dicha información. AGILITIX informará inmediatamente al Cliente si AGILITIX determina que los Datos Personales han sido sujetos a una violación de seguridad (incluyendo por un empleado de AGILITIX) o cualquier otra circunstancia en la cual el Cliente debe proporcionar una notificación bajo la ley

7 aplicable, requerido por la ley. AGILITIX investigará prontamente cualquier incumplimiento de seguridad y tomará medidas razonables para identificar su(s) causa(s) raíz e impedir una recurrencia. A medida que se recoja la información o esté disponible de otra manera, a menos que esté prohibido por la ley, AGILITIX proporcionará al Cliente una descripción de la violación de seguridad, el tipo de datos que fue objeto del incumplimiento y otra información que el Cliente pueda razonablemente solicitar sobre las personas afectadas. Las partes acuerdan coordinar de buena fe el desarrollo del contenido de cualquier declaración pública relacionada o cualquier aviso requerido para las personas afectadas. 11. Devolución y supresión de datos personales al final de los servicios o a petición del cliente ("Portabilidad de datos") Después de la terminación de los Servicios, AGILITIX dispondrá en el menor tiempo posible los Datos Personales del cliente existentes en el Entorno de Servicios de Nube productivo, disponibles para la exportación. Después de la devolución de los datos, AGILITIX eliminará de forma inmediata o de otro modo, inhabilitará todas las copias de los Datos Personales del Entorno de Servicios de Nube de Producción, excepto lo que sea requerido por la ley. 12. Divulgaciones Legalmente Requeridas Salvo que la ley lo requiera de otro modo, AGILITIX notificará en el menor tiempo posible al Cliente sobre cualquier orden judicial, administrativa o arbitral de un organismo ejecutivo o administrativo u otra autoridad gubernamental ("demanda") que reciba y que se refiera a los Datos Personales que AGILITIX está procesando en nombre del Cliente. A petición del Cliente, AGILITIX proporcionará al Cliente información razonable en su poder que pueda responder a la demanda y cualquier asistencia razonablemente requerida para que el Cliente responda a la demanda de manera oportuna. El Cliente reconoce que AGILITIX no tiene ninguna responsabilidad de interactuar directamente con la entidad que hace la demanda. 13. Análisis de servicios AGILITIX puede (i) compilar información estadística y de otra índole relacionada con el desempeño, operación y uso de los Servicios, y (ii) utilizar datos del Entorno de Servicios en forma agregada para la gestión de seguridad y operaciones, crear análisis estadísticos y para Investigación y desarrollo (las cláusulas i y ii se denominan colectivamente "análisis de servicios"). AGILITIX puede hacer que los análisis de servicio estén disponibles públicamente; sin embargo, los Análisis de Servicio no incorporarán el Contenido del Cliente o la Información

8 Confidencial en forma que pueda servir para identificar al Cliente o cualquier individuo, y los Análisis de Servicio no constituyen Datos Personales. El Cliente acepta que AGILITIX conserva todos los derechos de propiedad intelectual en los análisis de servicio. 14. Comunicaciones Las personas autorizadas para emitir instrucciones bajo este Contrato son aquellas especificadas como contactos bajo la orden de Servicios en la Nube. En el caso de que alguno de estos contactos sea cambiado o permanentemente indisponible, la parte contractual respectiva lo comunicará inmediatamente por escrito, designando a un sustituto.