Acuerdo de Procesamiento de Datos de RemoteLock – Mutuo

Fecha de entrada en vigor: Dec 14, 2022
Tabla de contenido
Sección principal 1
Sección principal 1
Compartir

Este Acuerdo de Procesamiento de Datos (el "DPA"), celebrado entre el socio que es parte de los términos de servicio y/o acuerdo(s) que hacen referencia a este DPA (el "Socio") y RemoteLock, Inc. (junto con sus filiales, "RemoteLock"), rige el procesamiento de Datos Personales que el Socio carga o proporciona de otro modo a RemoteLock o que RemoteLock proporciona al Socio en relación con la integración de los servicios de RemoteLock y del Socio.

Este DPA se incorpora a los términos de servicio y acuerdo(s) relevantes de RemoteLock y a cualesquiera anexos y/o adendas aplicables en virtud de los cuales RemoteLock y el Socio pueden integrar sus respectivos servicios y/o productos (denominados colectivamente en este DPA como el "Contrato RemoteLock"). Colectivamente, el DPA y el Contrato RemoteLock se denominan en este DPA como el "Acuerdo". En caso de cualquier conflicto o inconsistencia entre cualquiera de los términos del Acuerdo, prevalecerán las disposiciones de los siguientes documentos (en orden de precedencia): (a) este DPA; (b) el Contrato RemoteLock. Salvo que se modifique específicamente en este DPA, el Contrato RemoteLock permanece inalterado y en pleno vigor y efecto.

1. DEFINICIONES

“Requisitos de Protección de Datos” significa la CCPA, el Reglamento General de Protección de Datos, y cualesquiera otras leyes, reglamentos y otros requisitos legales aplicables relacionados con (a) la privacidad, la seguridad de los datos y la protección de los Datos Personales; y (b) el Procesamiento de cualquier Dato Personal.

“Datos Personales de la UE” significa Datos Personales cuyo intercambio está regulado por el Reglamento General de Protección de Datos.

“Reglamento General de Protección de Datos” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo junto con cualquier legislación o reglamento subordinado que implemente el Reglamento General de Protección de Datos.

“Datos Personales del Socio” significa Datos Personales que el Socio carga o proporciona de otro modo a RemoteLock en relación con la integración de los servicios de RemoteLock y del Socio. El Socio será considerado el responsable del tratamiento de datos y RemoteLock el encargado del tratamiento de datos en relación con los Datos Personales del Socio.

“Datos Personales” significa información sobre un individuo que (a) puede utilizarse para identificar, contactar o localizar a un individuo específico; (b) puede combinarse razonablemente con otra información para identificar, contactar o localizar a un individuo específico; o (c) se define como “datos personales” o “información personal” por las leyes o reglamentos aplicables relacionados con la recopilación, uso, almacenamiento o divulgación de información sobre un individuo identificable.

“Violación de Datos Personales” significa cualquier destrucción, pérdida, alteración, divulgación o acceso no autorizado, ya sea accidental o ilícito, a los Datos Personales del Socio.

“Tratar” y sus cognados significan cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Datos Personales de RemoteLock” significa Datos Personales que RemoteLock proporciona al Socio en relación con la integración de los servicios de RemoteLock y del Socio. RemoteLock será considerado el responsable del tratamiento de datos y el Socio el encargado del tratamiento de datos en relación con los Datos Personales de RemoteLock.

“SCCs” significa las Cláusulas Contractuales Tipo de la Comisión Europea.

“Subencargado del tratamiento” significa cualquier entidad que preste servicios de tratamiento a un encargado del tratamiento para la realización del tratamiento de Datos Personales por parte de dicho encargado del tratamiento.

“Autoridad de Control” significa una autoridad pública independiente que (i) ha sido establecida por un Estado miembro de la Unión Europea de conformidad con el artículo 51 del Reglamento General de Protección de Datos; o (ii) la autoridad pública que rige la protección de datos, que tiene autoridad de supervisión y jurisdicción sobre el Socio.

“Adenda del Reino Unido” significa la adenda de transferencia internacional de datos a las SCC del EEE emitida por el Comisario de Información para las Partes que realicen Transferencias Restringidas en virtud del S119A(1) de la Ley de Protección de Datos de 2018.

“RGPD del Reino Unido” significa el Reglamento (UE) 2016/679 tal como ha sido implementado en el Reino Unido por la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 del Reino Unido.

2. NATURALEZA DEL TRATAMIENTO DE DATOS

Cada encargado del tratamiento se compromete a Tratar Datos Personales en nombre de un responsable del tratamiento en relación con el Contrato únicamente para los fines establecidos en el Contrato. Para evitar cualquier duda, las categorías de Datos Personales Tratados y las categorías de interesados sujetos a este DPA se describen en el Anexo A de este DPA.

3. CUMPLIMIENTO DE LA LEGISLACIÓN

Cada una de las partes cumplirá con sus respectivas obligaciones en virtud de todos los Requisitos de Protección de Datos aplicables.

4. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

4.1   Cada parte, en su calidad de responsable del tratamiento, se compromete a:

(i) determinar los fines y los medios generales del Tratamiento de Datos Personales por parte del encargado del tratamiento de conformidad con el Contrato; y

(ii) cumplir con sus obligaciones de protección, seguridad y otras con respecto a los Datos Personales establecidas por los Requisitos de Protección de Datos para los responsables del tratamiento.  

4.2  Cada responsable del tratamiento de datos se compromete a, a petición de la otra parte, designar un único punto de contacto responsable de recibir y responder a las solicitudes de los interesados que un encargado del tratamiento de datos reciba de los interesados en relación con los Datos Personales de dicho responsable del tratamiento.

5. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO DE DATOS

5.1 Requisitos de Tratamiento. Cada parte, en su calidad de encargado del tratamiento de datos, deberá:

a. Tratar los Datos Personales únicamente con el fin de proporcionar, apoyar y mejorar los servicios de la otra parte (incluyendo la provisión de información y otros informes), utilizando medidas de seguridad técnicas y organizativas adecuadas. El encargado del tratamiento de datos no utilizará ni Tratará los Datos Personales para ningún otro fin. El encargado del tratamiento de datos informará sin demora y por escrito al responsable del tratamiento de datos si no puede cumplir con los requisitos de este DPA;

b. Informar sin demora al responsable del tratamiento de datos si, a juicio del encargado del tratamiento de datos, una instrucción del responsable del tratamiento de datos infringe los Requisitos de Protección de Datos aplicables;

c. Tomar las medidas comercialmente razonables para asegurar que (i) las personas empleadas por él y (ii) otras personas contratadas para actuar en su nombre cumplan con los términos del Acuerdo;

d. Asegurar que sus empleados, agentes autorizados y cualquier Subencargado del tratamiento estén obligados a cumplir, reconocer y respetar la confidencialidad de los Datos Personales, incluso después de la finalización de su respectivo empleo, contrato o asignación;

e. Si tiene la intención de contratar Subencargados del tratamiento para ayudarle a cumplir con sus obligaciones de acuerdo con este DPA o para delegar la totalidad o parte de las actividades de tratamiento a dichos Subencargados del tratamiento, (i) seguirá siendo responsable ante el responsable del tratamiento de datos por los actos y omisiones de los Subencargados del tratamiento con respecto a la protección de datos cuando dichos Subencargados del tratamiento actúen bajo las instrucciones del encargado del tratamiento de datos; y (ii) celebrará acuerdos contractuales con dichos Subencargados del tratamiento que los obliguen a proporcionar el mismo nivel de protección de datos y seguridad de la información que el previsto en el presente documento; y

f. A petición del responsable del tratamiento de datos, proporcionar una lista de los Subencargados del tratamiento que el encargado del tratamiento de datos pueda utilizar. Cada responsable del tratamiento de datos aprueba por la presente el uso de todos los Subencargados del tratamiento que el encargado del tratamiento de datos pueda utilizar en relación con los servicios de dicho encargado del tratamiento de datos.

5.2 Notificación. Cada parte, en su calidad de encargado del tratamiento de datos, informará al responsable del tratamiento de datos si tiene conocimiento de:

a. Cualquier incumplimiento por su parte o por parte de sus empleados de este DPA o de los Requisitos de Protección de Datos relacionados con la protección de los Datos Personales Tratados en virtud de este DPA;

b. Cualquier solicitud legalmente vinculante de divulgación de Datos Personales por parte de una autoridad policial, a menos que el encargado del tratamiento de datos tenga prohibido por ley informar al responsable del tratamiento de datos, por ejemplo, para preservar la confidencialidad de una investigación por parte de las autoridades policiales;

c. Cualquier notificación, consulta o investigación por parte de una Autoridad de Supervisión con respecto a los Datos Personales; o

d. Cualquier queja o solicitud (en particular, solicitudes de acceso, rectificación, supresión, restricción, portabilidad, bloqueo o eliminación de Datos Personales) recibida directamente de los interesados del responsable del tratamiento de datos. El responsable del tratamiento de datos no responderá sustancialmente a ninguna de estas solicitudes sin la autorización previa por escrito del encargado del tratamiento de datos.

5.3 Asistencia. Cada parte, en su calidad de encargado del tratamiento de datos, proporcionará asistencia razonable al responsable del tratamiento de datos en relación con:

a. Cualquier solicitud de los interesados con respecto al acceso o la rectificación, supresión, restricción, portabilidad, bloqueo o eliminación de Datos Personales que el encargado del tratamiento de datos Trate para el responsable del tratamiento de datos. En caso de que un interesado envíe dicha solicitud directamente al encargado del tratamiento de datos, este la enviará sin demora al responsable del tratamiento de datos;

b. La investigación de Violaciones de Datos Personales y la notificación a la Autoridad de Supervisión y a los interesados con respecto a dichas Violaciones de Datos Personales; y

c. Cuando sea apropiado, la preparación de evaluaciones de impacto de protección de datos y, cuando sea necesario, la realización de consultas con cualquier Autoridad de Supervisión.

5.4 Tratamiento Requerido. Si el encargado del tratamiento está obligado por los Requisitos de Protección de Datos a Tratar Datos Personales por una razón distinta a la relacionada con los servicios descritos en el Acuerdo, el encargado del tratamiento informará al responsable del tratamiento de este requisito antes de cualquier Tratamiento, a menos que el encargado del tratamiento tenga prohibido legalmente informar al responsable del tratamiento de dicho Tratamiento (por ejemplo, como resultado de requisitos de secreto que puedan existir bajo las leyes aplicables de los estados miembros de la UE).

5.5 Seguridad. Cada parte, en su calidad de encargado del tratamiento, deberá:

a. Mantener medidas de seguridad organizativas y técnicas adecuadas (que pueden incluir, con respecto al personal, instalaciones, hardware y software, almacenamiento y redes, controles de acceso, monitoreo y registro, detección de vulnerabilidades e infracciones, respuesta a incidentes, cifrado de Datos Personales en tránsito y en reposo) diseñadas para proteger contra el acceso no autorizado o accidental, la pérdida, alteración, divulgación o destrucción de Datos Personales;

b. Ser responsable de la suficiencia de las salvaguardias de seguridad, privacidad y confidencialidad de todo el personal del encargado del tratamiento con respecto a los Datos Personales y responsable de cualquier incumplimiento por parte de dicho personal del encargado del tratamiento de los términos de este DPA;

c. Tomar medidas razonables para confirmar que todo el personal del encargado del tratamiento protege la seguridad, privacidad y confidencialidad de los Datos Personales de acuerdo con los requisitos de este DPA;

d. Notificar al responsable del tratamiento de cualquier Violación de Datos Personales por parte del encargado del tratamiento, sus Subencargados, o cualquier otro tercero que actúe en nombre del encargado del tratamiento sin demora indebida y, en cualquier caso, dentro de las 48 horas siguientes a tener conocimiento de una Violación de Datos Personales.

5.6 Notificación a RemoteLock. El Socio puede contactar a RemoteLock en datasecurity@remotelock.com en relación con cualquier asunto relacionado con este DPA.

6. AUDITORÍA

6.1 Auditoría de la Autoridad de Supervisión. Si una Autoridad de Supervisión requiere una auditoría de las instalaciones de tratamiento de datos desde las cuales un encargado del tratamiento Trata Datos Personales para verificar o supervisar el cumplimiento de los Requisitos de Protección de Datos, el encargado del tratamiento cooperará con dicha auditoría. El responsable del tratamiento es responsable de todos los costes y tasas relacionados con dicha auditoría, incluidos todos los costes y tasas razonables por todo el tiempo que el encargado del tratamiento dedique a dicha auditoría.

7. TRANSFERENCIAS DE DATOS

Cada parte acuerda por la presente que solo transferirá Datos Personales a la otra parte después de que las partes hayan implementado cualquier medida adicional requerida para dicha transferencia bajo la ley aplicable, como la celebración de las SCC.

Si una parte transfiere Datos Personales protegidos por el Reglamento General de Protección de Datos o el GDPR del Reino Unido a la otra parte de una manera que requiera que las partes celebren las SCC y/o el Anexo del Reino Unido sin que las partes hayan celebrado previamente los acuerdos requeridos, se considerará que las partes han firmado las SCC y/o el Anexo del Reino Unido aplicables al celebrar este DPA y dichos acuerdos se incorporarán al presente por referencia.

8. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS

Las partes acuerdan que, al finalizar los servicios de procesamiento de datos o a solicitud razonable del responsable del tratamiento de datos, el encargado del tratamiento de datos deberá, y hará que cualquier Subencargado del tratamiento de datos, a elección del responsable del tratamiento de datos, devuelva todos los Datos Personales y copias de dichos datos al responsable del tratamiento de datos o los destruya de forma segura y demuestre a satisfacción del responsable del tratamiento de datos que ha tomado tales medidas, a menos que los Requisitos de Protección de Datos impidan al encargado del tratamiento de datos devolver o destruir la totalidad o parte de los Datos Personales divulgados. En tal caso, el responsable del tratamiento de datos acepta preservar la confidencialidad de los Datos Personales que conserve y que solo Procesará activamente dichos Datos Personales después de dicha fecha para cumplir con las leyes aplicables.

9. CCPA

Las partes acuerdan que, a los efectos de la CCPA, el encargado del tratamiento de datos actúa como Proveedor de Servicios de la CCPA para los Datos Personales.

10. VIGENCIA

Este DPA permanecerá en vigor mientras cualquiera de las partes realice operaciones de procesamiento de Datos Personales en nombre de la otra parte o hasta la terminación del Contrato de RemoteLock (y todos los Datos Personales hayan sido devueltos o eliminados de acuerdo con este DPA).

11. LEY APLICABLE, JURISDICCIÓN Y FUERO

No obstante cualquier disposición en contrario en el Contrato, este DPA se regirá por las leyes de Colorado, y cualquier acción o procedimiento relacionado con este DPA (incluidos los que surjan de disputas o reclamaciones no contractuales) se presentará en Denver, Colorado.

ANEXO A

CATEGORÍAS DE INTERESADOS

  • Empleados, agentes y otros administradores del Socio que acceden a los servicios y/o productos de RemoteLock con el fin de proporcionar servicios a los usuarios finales del Socio.
  • Empleados, agentes y otros administradores de RemoteLock que acceden a los servicios y/o productos del Socio con el fin de proporcionar servicios a los usuarios finales de RemoteLock.
  • Usuarios finales del Socio y de RemoteLock.

CATEGORÍAS DE DATOS PERSONALES PROCESADOS

  • Información de ID de inicio de sesión, incluyendo nombre, dirección de correo electrónico y número de teléfono móvil.
  • Información de usuario de acceso e invitado, incluyendo nombre, dirección de correo electrónico, número de teléfono móvil y ubicación.
  • Información y transacciones de control de acceso remoto, incluyendo solicitudes y eventos de acceso.