Última actualización el Octubre 30, 2023
Este Acuerdo de Procesamiento de Datos se incorpora por la presente en el acuerdo de Términos de Servicio de Vacation Tracker. Todos los términos en mayúsculas no definidos aquí tendrán el significado establecido en los Términos de Servicio. A menos que el Cliente tenga un acuerdo escrito que reemplace con Vacation Tracker, Vacation Tracker puede modificar este DPA de vez en cuando, a medida que su negocio evoluciona. Cualquier revisión entrará en vigor en la fecha en que Vacation Tracker publique los cambios. El Cliente puede revisar la versión más actual del DPA en cualquier momento visitando esta página. Si el Cliente usa los Servicios después de la fecha efectiva de cualquier cambio, ese uso constituirá la aceptación del Acuerdo de Procesamiento de Datos revisado.
Este Acuerdo de Procesamiento de Datos se celebra entre Vacation Tracker Technologies (el “Procesador de Datos”) y el Cliente (la “Compañía”) y se incorpora y se rige por el acuerdo de Términos de Servicio de Vacation Tracker (juntos como las “Partes”).
(juntos como las “Partes”)
CONSIDERANDO QUE
(A) La Compañía actúa como un Controlador de Datos.
(B) La Compañía desea subcontratar ciertos Servicios, que implican el procesamiento de datos personales, al Procesador de Datos.
(C) Las Partes buscan implementar un acuerdo de procesamiento de datos que cumpla con los requisitos del marco legal actual en relación con el procesamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y sobre la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
(D) Las Partes desean establecer sus derechos y obligaciones con respecto al objeto de este Acuerdo.
SE ACUERDA LO SIGUIENTE:
1. Definiciones e Interpretación
1.1 A menos que se defina de otra manera aquí, los términos y expresiones en mayúsculas utilizados en este Acuerdo tendrán el siguiente significado:
1.1.1 “Acuerdo” significa este Acuerdo de Procesamiento de Datos y todos los Anexos;
1.1.2 “Datos Personales de la Compañía” significa cualquier Dato Personal Procesado por un Procesador Contratado en nombre de la Compañía de conformidad con o en conexión con el Acuerdo Principal;
1.1.3 “Procesador Contratado” significa un Sub-procesador;
1.1.4 “Leyes de Protección de Datos” significa las Leyes de Protección de Datos de la UE y, en la medida aplicable, las leyes de protección de datos o privacidad de cualquier otro país;
1.1.5 “EEE” significa el Espacio Económico Europeo;
1.1.6 “Leyes de Protección de Datos de la UE” significa la Directiva de la UE 95/46/CE, transpuesta a la legislación nacional de cada Estado Miembro y modificada, reemplazada o superada de vez en cuando, incluyendo por el GDPR y las leyes que implementan o complementan el GDPR;
1.1.7 “GDPR” significa el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y sobre la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos);
1.1.8 “Transferencia de Datos” significa:
1.1.8.1 una transferencia de Datos Personales de la Compañía desde la Compañía a un Procesador Contratado; o
1.1.8.2 una transferencia posterior de Datos Personales de la Compañía desde un Procesador Contratado a un Procesador Subcontratado, o entre dos establecimientos de un Procesador Contratado, en cada caso, donde dicha transferencia estaría prohibida por las Leyes de Protección de Datos (o por los términos de acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);
1.1.9 “Servicios” significa los servicios de software de seguimiento de licencias que proporciona la Compañía.
1.1.10 “Sub-procesador” significa cualquier persona designada por o en nombre del Procesador para procesar Datos Personales en nombre de la Compañía en conexión con el Acuerdo.
1.2 Los términos “Comisión”, “Controlador”, “Sujeto de Datos”, “Estado Miembro”, “Datos Personales”, “Violación de Datos Personales”, “Procesamiento” y “Autoridad Supervisora” tendrán el mismo significado que en el GDPR, y sus términos cognados se interpretarán en consecuencia.
2. Procesamiento de Datos Personales de la Compañía
2.1 El Procesador deberá:
2.1.1 cumplir plenamente con todas las Leyes de Protección de Datos aplicables en el Procesamiento de Datos Personales de la Compañía; y
2.1.2 no Procesar Datos Personales de la Compañía excepto según las instrucciones documentadas de la Compañía relevante, siendo de conformidad con las Leyes de Protección de Datos aplicables.
2.2 La Compañía instruye al Procesador para procesar Datos Personales de la Compañía. En caso de que cualquiera de las instrucciones de la Compañía para procesar los Datos Personales de la Compañía parezca no cumplir con las Leyes de Protección de Datos aplicables, el Procesador informará inmediatamente a la Compañía. En tal caso, la Compañía y el Procesador cooperarán para asegurar que los Datos Personales de la Compañía se procesen plenamente de conformidad con las Leyes de Protección de Datos aplicables.
3. Personal del Procesador
El Procesador tomará medidas razonables para asegurar la confiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales de la Compañía, asegurando en cada caso que el acceso esté estrictamente limitado a aquellos individuos que necesiten conocer/acceder a los Datos Personales de la Compañía relevantes, según sea estrictamente necesario para los propósitos del Acuerdo Principal, y para cumplir con las Leyes de Protección de Datos aplicables en el contexto de los deberes de ese individuo hacia el Procesador Contratado, asegurando que todos esos individuos estén sujetos a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.
4. Seguridad
4.1 Teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo de probabilidad y severidad variables para los derechos y libertades de las personas físicas, el Procesador deberá, en relación con los Datos Personales de la Compañía, implementar medidas técnicas y organizativas apropiadas para asegurar un nivel de seguridad apropiado a ese riesgo, incluyendo, según corresponda, las medidas referidas en el Artículo 32(1) del GDPR.
4.2 Al evaluar el nivel apropiado de seguridad, el Procesador tendrá en cuenta en particular los riesgos que son presentados por el Procesamiento, en particular de una Violación de Datos Personales.
5. Sub-procesadores
5.1 El Procesador tiene derecho a externalizar la implementación del Procesamiento según las instrucciones del Controlador a Sub-procesadores, ya sea total o parcialmente. El Procesador informará al Controlador de cualquier cambio previsto concerniente a la adición o reemplazo de otros procesadores.
5.2 El Controlador se reserva el derecho de objetar a cualquier Sub-procesador, siempre que, en su opinión razonable, los datos del Sub-procesador objetivamente no proporcionen garantías suficientes para implementar medidas técnicas y organizativas apropiadas de protección de datos.
5.3 El Procesador deberá asegurar que cada Sub-procesador contratado cumpla contractualmente con las obligaciones de confidencialidad, obligaciones de notificación y medidas de seguridad relacionadas con el Procesamiento de Datos Personales, que las obligaciones y medidas deben al menos cumplir con las disposiciones de este Acuerdo.
5.4 El Sub-procesamiento en el significado de este acuerdo no incluye servicios auxiliares, como servicios de telecomunicaciones, servicios postales/de transporte, servicios de mantenimiento y soporte de usuario o la eliminación de portadores de datos, así como otras medidas para asegurar la confidencialidad, disponibilidad, integridad y resiliencia del hardware y software del equipo de Procesamiento de datos.
5.5 Donde el Controlador, basándose en las obligaciones bajo el GDPR, esté obligado a proporcionar información a un Sujeto de Datos sobre el Procesamiento de sus Datos Personales, el Procesador asistirá al Controlador en hacer disponible esta información. El Procesador deberá, tan pronto como sea posible y de la manera más detallada posible, referir las solicitudes (o quejas) del Sujeto de Datos al Controlador y deberá asistir al Controlador con cualquier solicitud de un Sujeto de Datos concerniente a sus derechos bajo las Leyes de Protección de Datos aplicables y en particular – pero no solo – su derecho de acceso, rectificación, corrección, objeción, restricción del procesamiento y el derecho al olvido, el derecho de portabilidad de datos. El Procesador deberá rectificar, borrar o procesar los Datos Personales de cualquier otra manera cuando el Controlador así lo instruya para permitir a este último cumplir con la solicitud del Sujeto de Datos.
5.6 El Controlador acuerda por la presente la externalización de la implementación del Procesamiento según las instrucciones del Controlador a los siguientes Sub-procesadores siempre que el acuerdo relevante entre el Procesador y cada Sub-procesador respectivo se concluya de conformidad con las Leyes de Protección de Datos aplicables:
| Sub-procesador | Categoría | Propósito | Ubicación de la Compañía | Ubicación de Datos |
| Amazon Web Services | Ingeniería | Proveedor de hosting | EE.UU. | Fráncfort, Alemania |
| Amplitude | Producto | Plataforma de análisis de productos | EE.UU. | EE.UU. |
| Atlassian | Ingeniería | Plataforma de gestión de proyectos | Australia | Australia |
| Cookieyes | Legal | Plataforma de gestión de consentimiento de cookies | Reino Unido | Reino Unido |
| Crisp | Éxito del cliente | Sistema de chat web | Francia | Ámsterdam, Países Bajos |
| Customer.io | Éxito del cliente | Campañas de email drip | EE.UU. | EE.UU. |
| Drata | Administrativo | Cumplimiento con SOC2 y GDPR | EE.UU. | EE.UU. |
| Github | Ingeniería | Control de versiones | EE.UU. | EE.UU. |
| Microsoft | Administrativo | Servicios de email y chat | EE.UU. | EE.UU. y UE (Francia) |
| Mixpanel | Producto | Plataforma de análisis de productos | EE.UU. | EE.UU. |
| Quickbooks | Finanzas | Contabilidad | EE.UU. | EE.UU. |
| Sentry | Ingeniería | Registros de errores | EE.UU. | EE.UU. |
| Stripe | Finanzas | Procesador de pagos | EE.UU. | EE.UU. |
| Zoho | Éxito del cliente | CRM | India | EE.UU. |
6. Derechos del Sujeto de Datos
6.1 Teniendo en cuenta la naturaleza del Procesamiento, el Procesador asistirá a la Compañía implementando medidas técnicas y organizativas apropiadas, en la medida en que esto sea posible, para el cumplimiento de las obligaciones de la Compañía, según sea razonablemente entendido por la Compañía, para responder a las solicitudes para ejercer los derechos garantizados del Sujeto de Datos bajo las Leyes de Protección de Datos.
6.2 El Procesador deberá:
6.2.1 notificar prontamente a la Compañía si recibe una solicitud de un Sujeto de Datos bajo cualquier Ley de Protección de Datos con respecto a los Datos Personales de la Compañía; y
6.2.2 asegurar que responda a esa solicitud oportunamente, siguiendo las Leyes de Protección de Datos aplicables, con consulta previa de la Compañía o según lo requieran las Leyes de Protección de Datos aplicables a las que el Procesador está sujeto, en cuyo caso el Procesador deberá, en la medida permitida por las Leyes de Protección de Datos aplicables, informar a la Compañía de ese requisito legal antes de que el Procesador Contratado responda a la solicitud.
7. Violación de Datos Personales
7.1 El Procesador deberá notificar a la Compañía sin demora indebida cuando el Procesador tome conocimiento de una Violación de Datos Personales que afecte los Datos Personales de la Compañía, proporcionando a la Compañía información suficiente para permitir a la Compañía cumplir con cualquier obligación de reportar o informar a los Sujetos de Datos de la Violación de Datos Personales bajo las Leyes de Protección de Datos.
7.2 El Procesador cooperará con la Compañía y tomará medidas comerciales razonables según sean dirigidas por la Compañía para asistir en la investigación, mitigación y remediación de cada Violación de Datos Personales.
8. Evaluación de Impacto en la Protección de Datos
8.1 Evaluación de Impacto en la Protección de Datos y Consulta Previa. El Procesador deberá proporcionar asistencia razonable a la Compañía con cualquier evaluación de impacto en la protección de datos, y consultas previas con Autoridades Supervisoras u otras autoridades competentes de privacidad de datos, que la Compañía razonablemente considere requeridas por el artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales de la Compañía por, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para, los Procesadores Contratados.
9. Eliminación o devolución de Datos Personales de la Compañía
9.1 Sujeto a esta sección 9, el Procesador deberá prontamente y en cualquier caso dentro de 10 días hábiles de la fecha de cesación de cualquier Servicio que involucre el Procesamiento de Datos Personales de la Compañía (la “Fecha de Cesación”), eliminar y procurar la eliminación de todas las copias de esos Datos Personales de la Compañía.
10. Derechos de auditoría
10.1 Sujeto a esta sección 10, el Procesador deberá poner a disposición de la Compañía a solicitud toda la información necesaria para demostrar el cumplimiento con este Acuerdo, y deberá permitir y contribuir a auditorías, incluyendo inspecciones, por la Compañía o un auditor designado por la Compañía en relación con el Procesamiento de los Datos Personales de la Compañía por los Procesadores Contratados.
10.2 Los derechos de información y auditoría de la Compañía solo surgen bajo la sección 10.1 en la medida en que el Acuerdo no les dé de otra manera derechos de información y auditoría que cumplan con los requisitos relevantes de la Ley de Protección de Datos.
11. Transferencia de Datos
11.1 El Procesador no puede transferir o autorizar la transferencia de Datos a países fuera de la UE y/o del Espacio Económico Europeo (EEE) sin el consentimiento previo por escrito de la Compañía. Si los datos personales procesados bajo este Acuerdo son transferidos desde un país dentro del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes deberán asegurar que los datos personales estén adecuadamente protegidos de conformidad con los principios para transferencias estipulados bajo el GDPR. Para lograr esto, las Partes deberán, a menos que se acuerde de otra manera, confiar en las cláusulas contractuales estándar aprobadas por la UE para la transferencia de datos personales.
12. Términos Generales
12.1 Confidencialidad. Cada Parte debe mantener este Acuerdo y la información que recibe sobre la otra Parte y su negocio en conexión con este Acuerdo (“Información Confidencial”) confidencial y no debe usar o divulgar esa Información Confidencial sin el consentimiento previo por escrito de la otra Parte excepto en la medida en que:
(a) la divulgación sea requerida por ley;
(b) la información relevante ya esté en el dominio público.
12.2 Notificaciones. Todas las notificaciones y comunicaciones dadas bajo este Acuerdo deben ser por escrito y serán entregadas personalmente, enviadas por correo o enviadas por email a la dirección o dirección de email establecida en el encabezado de este Acuerdo o a tal otra dirección como sea notificada de vez en cuando por las Partes cambiando dirección.
Comienza tu prueba gratuita