El presente Acuerdo de Tratamiento de Datos ("DPA"), en vigor a partir del 21 de diciembre de 2023 por y entre Cliente ("Datos Controlador" o "Cliente") y Eton Solutions, L.P. ("Procesador de datos" o "Eton") establece los términos y condiciones relativos a la privacidad, confidencialidad, seguridad y protección de los Datos Personales (tal y como se definen a continuación) asociados a los servicios prestados por, y/o los productos suministrados por, el Procesador al Controlador (y/o sus Filiales) en virtud de cualquier acuerdo entre Eton y el Cliente (y/o sus Filiales), independientemente de que dicho acuerdo exista a partir de la Fecha de Entrada en Vigor o con posterioridad a la misma (dicho acuerdo, según proceda, el "Contrato de servicios"), que, junto con la presente DPA, la "Acuerdo").

1. Definiciones

"Afiliados"Por "control" (incluidos los términos "controlada por" y "bajo control común con") se entiende la posesión, directa o indirecta, del poder de dirigir, influir o provocar la dirección de las políticas de gestión de una entidad, ya sea mediante la propiedad de valores con derecho a voto, por contrato o de otro modo.

"Agregado": combinar información relativa a un grupo o categoría de individuos, de la que se han eliminado las identidades individuales, que no está vinculada ni es razonablemente vinculable a ningún individuo u hogar, incluso a través de un dispositivo.

"Anonimización" tendrá el significado que se le atribuye en el GDPR y también incluirá "Desidentificar" según se define en la CCPA y la CPRA.

"CCPA" significa la Ley de Privacidad del Consumidor de California de 2018, y sus reglamentos de aplicación. "CPRA"la Ley de Derechos de Privacidad de California de 2020 y su normativa de desarrollo.

"Datos personales del cliente" se refiere a los Datos Personales Procesados por Eton como Procesador en nombre del Cliente o su Afiliado de conformidad con el Acuerdo de Servicios.

"SCC de controlador a procesador"se entenderá por Cláusulas Contractuales Tipo (Transformadores) en el Anexo de la Decisión de la Comisión Europea de 5 de febrero de 2010, tal y como puedan ser modificados o sustituidos de vez en cuando.

 “Controlador de datos” la entidad que determina los fines y medios del Tratamiento de Datos Personales.

“Procesador de datos” se refiere a la entidad que trata los Datos Personales por cuenta del Responsable del Tratamiento.

"Legislación sobre protección de datos" significa, según sea aplicable a las partes, todas las leyes, normas, reglamentos, directivas y requisitos gubernamentales de protección de datos aplicables actualmente en vigor y a medida que entren en vigor relacionados de alguna manera con la privacidad, confidencialidad, seguridad o protección de Datos Personales, e incluirá el GDPR, la PDPA, la CCPA y la CPRA.

"Sujeto de los datos"persona física identificada o identificable a la que se refieren los Datos Personales.

"Europa" o el "UE"Espacio Económico Europeo más Suiza y el Reino Unido.

"GDPR" significa colectivamente el Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, modificado o sustituido de vez en cuando, y la Ley de Protección de Datos del Reino Unido de 2018 ("GDPR del Reino Unido", ya que forma parte de la legislación de la UE retenida [según se define en la Ley de la Unión Europea (Retirada) de 2018]).

"PDPA"Ley de Protección de Datos Personales de 2012.

“Datos personales” cualquier dato, información o registro que se procese en relación con el Contrato de Servicios (i) relativo a una persona física identificada o identificable, o (ii) que identifique, se refiera, describa, pueda razonablemente asociarse o pueda razonablemente vincularse, directa o indirectamente, con una persona física o un hogar en particular, independientemente del medio en el que se conserve.

"Vulneración de datos personalespor "violación de la seguridad" se entiende (1) la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos Personales del Cliente tratados en virtud del Contrato de Servicios, o (2) un incidente similar que afecte a los Datos Personales del Cliente.

“Proceso,” “Tratamiento" o "Procesado” toda operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, relativas a Datos Personales o a conjuntos de Datos Personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. 

"Vender" tendrá el significado que se le atribuye en la CCPA.

“Sensible Personal Datos” tendrá el significado que se le atribuye en el GDPR, la PDPA y la CPRA.

"Cláusulas contractuales tipo" o "SCCs"se entenderán, según proceda, los CCT entre Responsables del Tratamiento suscritos entre las partes.

"Autoridad de control"autoridad gubernamental reguladora o encargada de velar por el cumplimiento de la ley que tenga autoridad reguladora o encargada de velar por el cumplimiento de la ley con respecto a la privacidad, confidencialidad, seguridad o protección de los Datos Personales.

2. Naturaleza del tratamiento de datos

2.1 Limitaciones de procesamiento. Eton únicamente Procesará los Datos Personales del Cliente y los Datos Personales Sensibles de conformidad con el programa de procesamiento establecido en el Apéndice 1 (Sección A), en nombre del Cliente y de conformidad con las instrucciones escritas del Cliente establecidas en el Acuerdo de Servicios o en virtud del mismo. Eton tratará los Datos Personales del Cliente como información confidencial e impondrá obligaciones de confidencialidad a todo el personal que procese los Datos Personales del Cliente. Eton no (i) venderá Datos Personales del Cliente o Datos Personales Sensibles; ni (ii) retendrá, utilizará o divulgará Datos Personales del Cliente (a) para ningún fin distinto de los fines específicos del cumplimiento del Acuerdo, ni (b) fuera de la relación comercial directa entre Eton y el Cliente (y sus Afiliadas).

Si la ley aplicable exige que Eton (o, para evitar dudas, cualquier subprocesador) realice un Procesamiento que sea o pueda interpretarse como incoherente con las instrucciones del Cliente, Eton notificará de inmediato al Cliente dicha incoherencia antes de iniciar (o continuar) el Procesamiento, a menos que la ley prohíba la notificación.

2.2 Papel de las partes. Entre Eton y el Cliente (y sus Afiliadas), el Cliente (o su Afiliada) es el Controlador de Datos de los Datos Personales del Cliente, y Eton es el Procesador de Datos, que procesa los Datos Personales del Cliente en nombre del Cliente (o de su Afiliada) y no tendrá ningún derecho de propiedad o interés en los Datos Personales del Cliente. Las Partes reconocen y acuerdan que (i) los Datos Personales del Cliente, que el Cliente o su Afiliado revelan a Eton, se proporcionan a Eton con fines comerciales, y el Cliente no Vende Datos Personales a Eton en relación con el Acuerdo; y (ii) durante el tiempo en que los Datos Personales del Cliente y los Datos Personales Sensibles son Procesados por Eton, el Cliente (o su Afiliado) no tiene conocimiento ni motivos para creer que Eton no pueda cumplir con las disposiciones de este DPA informar al Cliente (o a su Afiliado) si no puede prestar los servicios.

2.3 Anonimizar o agregar datos. Eton no podrá Anonimizar Datos Personales del Cliente y Datos Personales Sensibles como parte de su desempeño en virtud del Acuerdo de Servicios o para cualquier otro propósito, a menos que reciba el consentimiento previo por escrito del Cliente para tales actividades. Si el Cliente otorga dicho consentimiento, dicha Anonimización o Agregación, según sea el caso, podrá realizarse únicamente en la medida en que dicha actividad cumpla con el estándar aplicable requerido en virtud de las Leyes de Protección de Datos aplicables. Eton puede agregar Datos Personales del Cliente y Datos Sensibles como parte de su desempeño conforme al Acuerdo de Servicios para mostrar estadísticas de desempeño de datos financieros.

3. Cumplimiento de la legislación aplicable

Las Partes deberán cumplir la legislación en materia de protección de datos. El presente APD no pretende reducir el nivel de protección aplicable a cada interesado. En caso de conflicto entre el APD y el Contrato de Servicios, prevalecerán los términos del APD. En caso de conflicto entre el presente APD y las leyes de protección de datos, prevalecerán las disposiciones de las leyes de protección de datos aplicables. De conformidad con la Sección 5 a continuación, Eton cumplirá con los estándares y requisitos de la industria que se apliquen a Eton y se relacionen con la privacidad, confidencialidad, seguridad, protección o almacenamiento electrónico de los Datos Personales del Cliente. Si Eton considera que alguna instrucción del Cliente viola o podría resultar en un Procesamiento que viole la ley aplicable, Eton lo notificará de inmediato al Cliente.

4. Subprocesadores

4.1 Nombramiento de subencargados del tratamiento. Eton no subcontratará ninguno de sus derechos u obligaciones en virtud del Acuerdo sin el consentimiento previo por escrito del Cliente. A menos que se acuerde lo contrario en el Acuerdo de Servicios, el Cliente consiente por el presente el uso por parte de Eton de sus Afiliadas como subprocesadores y de cualquier otro tercero como subprocesador si dichos terceros se identifican específicamente en el Acuerdo de Servicios (incluida cualquier declaración de trabajo u orden de pedido aplicable). Eton notificará por escrito al Cliente cualquier cambio previsto en los subprocesadores autorizados y el Cliente notificará sin demora a Eton por escrito cualquier objeción a dichos cambios que sea razonable y esté relacionada con la protección de datos. Cuando Eton, con el consentimiento del Cliente, el cual no será denegado excepto debido a una objeción según lo descrito anteriormente, subcontrate sus obligaciones en virtud del Acuerdo de Servicios a un subprocesador que haya sido considerado capaz de salvaguardar los Datos Personales del Cliente, Eton solo lo hará mediante un acuerdo por escrito con dicho subprocesador que imponga al subprocesador obligaciones de privacidad, confidencialidad, seguridad y protección de datos al menos equivalentes a las que se establecen en este APD, incluida la obligación de imponer estas obligaciones a cualquier subprocesador adicional.

4.2 Responsabilidad. Eton seguirá siendo responsable ante el Cliente de (i) sus obligaciones en virtud del Acuerdo, incluso si dichas obligaciones se delegan en un subprocesador, incluida la ejecución adecuada y puntual de los servicios, y (ii) los actos u omisiones de cualquier persona o entidad en la que Eton delegue cualquiera de dichas obligaciones.

5. Seguridad 

5.1 Programa de seguridad. Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de los interesados, Eton mantendrá o hará que se mantenga un programa de seguridad de la información razonable y adecuado que cumpla con las Leyes de Protección de Datos y esté diseñado para garantizar razonablemente la confidencialidad, integridad, disponibilidad y resistencia de todos los Datos Personales del Cliente.

5.2 Medidas de seguridad. Eton mantendrá medidas de seguridad administrativas, físicas, técnicas (incluidas las electrónicas) y organizativas razonables y adecuadas que incluyan, según proceda: (i) el cifrado y la seudonimización; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de los Clientes de manera oportuna en caso de incidente físico o técnico; y (iv) un proceso para probar, valorar y evaluar periódicamente la eficacia de dichas medidas. Eton declara y garantiza que ha implementado las medidas de seguridad administrativas, físicas, técnicas y organizativas descritas en el Apéndice 2 adjunto para proteger los Datos Personales del Cliente. Eton acepta almacenar los Datos Personales del Cliente conforme al Acuerdo de Servicios en los Estados Unidos y reconoce además que no combinará los Datos Personales con los Datos Personales de sus Afiliadas.

5.3 Acceso a los datos personales de los clientes. Eton se asegurará de que los Datos Personales del Cliente solo estén disponibles para el personal de Eton que tenga una necesidad comercial legítima de acceder a los Datos Personales del Cliente, que esté sujeto a obligaciones de confidencialidad legalmente exigibles, que haya recibido formación sobre las políticas y procedimientos de protección de datos aplicables y que solo Procese los Datos Personales del Cliente de conformidad con las instrucciones del Cliente. Si Eton no puede Procesar de conformidad con las instrucciones del Cliente durante el curso del Procesamiento de los Datos Personales del Cliente, Eton informará de inmediato al Cliente.

5.4 Respuesta y notificación en caso de violación de datos personales. Eton notificará inmediatamente al Cliente, en un plazo de 72 horas y sin demoras indebidas, cualquier violación de Datos Personales de la que Eton tenga conocimiento, enviando una notificación por escrito a través del correo electrónico Eton proporcionará una notificación adicional, según esté disponible, que resumirá con un detalle razonable la naturaleza de la Violación de Datos Personales, incluidas las categorías y el número aproximado de Sujetos de Datos afectados; si los Datos Personales del Cliente se han perdido, han sido robados o se han visto comprometidos, en caso de conocerse; la valoración de Eton de las consecuencias de la violación de los Datos Personales; las medidas correctivas adoptadas o que vaya a adoptar Eton; cualquier punto o puntos de contacto internos responsables de gestionar o responder a la violación; y el Responsable de Protección de Datos de Eton o su equivalente en virtud de las Leyes de Protección de Datos aplicables, en su caso. Eton adoptará sin demora todas las medidas correctivas necesarias y aconsejables y cooperará plenamente con el Cliente en todos los esfuerzos razonables y legales para prevenir, mitigar o rectificar dicha violación de Datos Personales. Si, de acuerdo con la evaluación del Cliente, una violación de Datos Personales que afecte a Datos Personales del Cliente debe ser revelada o notificada a un tercero, incluidos Sujetos de Datos, Autoridades de Supervisión o autoridades gubernamentales, Eton cooperará plenamente con el Cliente y le prestará asistencia en dicha notificación o revelación en un plazo de 72 horas.

6. Auditorías/Inspecciones

Eton pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente APD. El Cliente tendrá derecho a verificar el cumplimiento por parte de Eton y de cualquier subprocesador de los términos de este APD con respecto al Procesamiento de Datos Personales del Cliente o a designar a un auditor externo (no competidor de Eton) bajo obligaciones razonables de confidencialidad para que verifique lo mismo en nombre del Cliente. Eton concederá al Cliente, o a sus agentes, acceso en la medida necesaria para llevar a cabo la inspección y revisión de todas las instalaciones de procesamiento de datos, archivos de datos y demás documentación en relación con el Procesamiento de Datos Personales del Cliente conforme al Acuerdo. Eton se compromete a proporcionar asistencia razonable al Cliente para facilitar esta función de inspección. El Cliente notificará por escrito a Eton con 30 días de antelación su intención de realizar una auditoría y no realizará dicha solicitud más de una vez por año natural (a menos que se haya producido una Vulneración de Datos Personales que afecte a los Datos Personales del Cliente). En caso de que Eton no tenga derecho a auditar (o a hacer valer el derecho del Cliente a auditar) a un subprocesador, Eton pondrá a disposición del Cliente, para su revisión, copias de certificaciones o informes que demuestren el cumplimiento de dicho subprocesador con las normas de seguridad de datos vigentes aplicables al Procesamiento de Datos Personales del Cliente. Sin perjuicio de cualquier disposición contraria contenida en el presente APD, las partes acuerdan que las auditorías descritas en los CCE aplicables de Responsable a Encargado del Tratamiento se llevarán a cabo de conformidad con la presente Sección.

7. Obligación de cooperación de Eton

7.1 Cooperación. Eton proporcionará asistencia razonable al Cliente con (i) la respuesta a las solicitudes de los Sujetos de Datos para ejercer sus derechos en virtud de las Leyes de Protección de Datos; (ii) la asistencia con la realización por parte del Cliente de una evaluación de impacto de protección de datos con respecto al Procesamiento de los Datos Personales del Cliente en virtud de este DPA; y (iii) las solicitudes o investigaciones del Cliente por parte de una Autoridad de Supervisión con respecto al Procesamiento de los Datos Personales del Cliente en virtud del Acuerdo. Eton tiene derecho a cobrar una tarifa razonable por el cumplimiento de sus obligaciones en virtud de esta Sección, así como el reembolso de todos los costes y gastos incurridos.‍

7.2 Solicitudes de acceso y reclamaciones de terceros. Eton notificará de inmediato al Cliente, en un plazo de 72 horas, toda solicitud o queja de cualquier Autoridad de Supervisión, funcionario gubernamental, Sujeto de Datos o cualquier otro tercero en relación con los Datos Personales del Cliente o las obligaciones del Cliente en virtud de las Leyes de Protección de Datos. Eton notificará al Cliente de cualquier orden judicial, citación u otra solicitud similar a Eton en relación con cualquier Dato Personal del Cliente a más tardar cinco (5) días hábiles después de su recepción, a menos que lo prohíba la ley aplicable. Eton cumplirá con cualquier solicitud de retención del Cliente en relación con los Datos Personales del Cliente y proporcionará el apoyo necesario para que el Cliente pueda cumplir con las solicitudes de terceros si el Cliente no puede obtener razonablemente dicha información de otro modo.

8. Conservación, devolución y supresión de datos

8.1 Retención. Eton no conservará los Datos Personales del Cliente durante más tiempo del que sea razonablemente necesario para cumplir los fines previstos para los que se procesaron los Datos Personales del Cliente en virtud del Acuerdo.

8.2 Devolución y supresión. Cuando los Datos Personales del Cliente ya no sean necesarios para los fines establecidos en el Acuerdo de Servicios aplicable o inmediatamente después de la expiración o terminación del Acuerdo, lo que ocurra primero, o en un momento anterior que el Cliente solicite por escrito, Eton (i) devolverá al Cliente, en el formato y en los medios solicitados por el Cliente, todos o, si así lo especifica el Cliente, cualquier parte de los Datos Personales del Cliente; y (ii) destruirá todos o, si así lo especifica el Cliente, cualquier parte de los Datos Personales del Cliente en posesión o control de Eton; siempre que: (a) en caso de que el Cliente solicite dicha devolución o destrucción, en la medida en que Eton se vea impedida o demorada en el cumplimiento de sus obligaciones en virtud del Acuerdo de Servicios sin dichos Datos Personales del Cliente, dicha imposibilidad o demora no constituirá un incumplimiento de dichas obligaciones; y (b) podrán conservarse copias de dichos Datos Personales del Cliente en la medida en que se almacenen electrónicamente de conformidad con los procedimientos de copia de seguridad del curso ordinario de Eton (incluidos, entre otros, los relativos a la comunicación electrónica) siempre que dichos Datos Personales del Cliente se mantengan confidenciales como se exige de otro modo en virtud del presente APD. Las obligaciones anteriores también se aplicarán a los Datos Personales del Cliente conservados por subprocesadores en la medida en que lo permita el acuerdo de Eton con dichos subprocesadores. Eton proporcionará una certificación de destrucción si así se solicita. Si la ley aplicable no permite que Eton cumpla con la devolución o destrucción de los Datos Personales del Cliente, Eton acepta que dichos Datos Personales del Cliente retenidos permanecerán en posesión de Eton sujetos a los términos de esta DPA y devolverá o destruirá dichos Datos Personales del Cliente cuando lo permita la ley aplicable.

9. Transferencias internacionales de datos

9.1 Mecanismo de transferencia. Si los servicios y/o productos prestados por Eton en virtud del Acuerdo de Servicios implican una transferencia internacional de Datos Personales del Cliente regulada por las Leyes de Protección de Datos, dicha transferencia solo se producirá si (según proceda): (i) el país o territorio al que se va a realizar la transferencia se encuentra dentro del Espacio Económico Europeo o Suiza; (ii) la Comisión Europea o la Autoridad de Supervisión aplicable ha considerado que el país o territorio al que se transfieren los datos es adecuado a efectos de protección de datos; o (iii) Eton puede proporcionar las salvaguardas adecuadas de conformidad con las Leyes de Protección de Datos aplicables. Dichas salvaguardias adecuadas pueden incluir, entre otras, la aplicación de normas corporativas vinculantes, el tratamiento de forma coherente con el sistema de normas de privacidad transfronterizas de la APEC, o la adhesión a un mecanismo de certificación, un mecanismo contractual o un código de conducta que haya sido aprobado por la autoridad de control aplicable.

9.2 Cláusulas contractuales tipo. Si ninguno de los mecanismos anteriores de la Sección 9.1 se aplica a la transferencia de Datos Personales fuera de Europa, la transferencia de Datos Personales del Cliente estará sujeta a la versión de la UE sin cambios de los CEC aplicables de Responsable a Encargado del Tratamiento, respectivamente. Los CEC se considerarán incorporados por referencia al presente documento (la firma del presente APD se considerará una firma de los CEC aplicables). A los efectos de los CEC: (i) el Cliente se considerará el exportador de datos y Eton el importador de datos. Cualquier referencia a la Directiva 95/46/CE en los CCE se entenderá como una referencia a las disposiciones apropiadas del GDPR, la Ley de Protección de Datos del Reino Unido de 2018 o la Ley Federal de Protección de Datos de Suiza de 1992, siempre que sea posible y aplicable. Nada en este DPA se interpretará como que prevalece sobre cualquier cláusula conflictiva de los CEC, a menos que una disposición dentro de este DPA proporcione salvaguardas adicionales por encima de las contenidas en la cláusula conflictiva de los CEC, en cuyo caso la disposición de este DPA se considerará complementaria y adicional y no en conflicto con dicha cláusula de los CEC. Eton reconoce que ha tenido la oportunidad de revisar los CEC aplicables.

9.3 SCCS de controlador a procesador. A los efectos de los CEC entre responsables y encargados del tratamiento: (i) la legislación aplicable en virtud de la cláusula 9 será la legislación de la jurisdicción en la que se encuentre el exportador de datos; (ii) se considerará que la cláusula de indemnización ilustrativa de los CEC entre responsables y encargados del tratamiento no es de aplicación en virtud de la presente sección; y (iii) salvo que las partes acuerden otra cosa, los apéndices 1 (sección A) y 2 del presente APD serán de aplicación y se considerarán apéndices 1 y 2 de los CEC entre responsables y encargados del tratamiento.

9.4 Mecanismos alternativos de transferencia de datos. Si procede, podrá recurrirse a mecanismos de transferencia distintos de los descritos en los apartados 9.1 a 9.3 anteriores que estén aprobados en virtud de la legislación sobre protección de datos. Las partes acuerdan realizar esfuerzos razonables para poner en marcha estos mecanismos alternativos, cuando sea necesario, y modificar el presente APD en la medida en que sea necesario para garantizar mecanismos de transferencia conformes en caso de que se produzca un cambio en la Ley de Protección de Datos. En particular, si los CEC son modificados, sustituidos o derogados por la Comisión Europea o en virtud de las leyes de protección de datos, las partes colaborarán de buena fe para suscribir cualquier versión actualizada de los CEC o negociar de buena fe una solución que permita realizar una transferencia internacional de datos personales de conformidad con las leyes de protección de datos.

9.5 Transferencia internacional de datos personales de clientes de Eton a terceros. Eton no transferirá Datos Personales del Cliente, internamente o a subprocesadores, desde ninguna jurisdicción que restrinja la transferencia internacional de Datos Personales a áreas fuera de esa jurisdicción sin la aprobación previa del Cliente y solo después de tomar medidas, de manera continua, para garantizar que dicha transferencia cumpla con las Leyes de Protección de Datos. Si Eton descubre o cree razonablemente que algún Dato Personal del Cliente ha sido o está siendo Procesado en una jurisdicción sin la implementación de un acuerdo de transferencia de datos necesario, Eton pondrá en marcha de inmediato dicho acuerdo de transferencia y notificará de inmediato al Cliente.

9.6 Transferencia de datos personales fuera de Singapur: Eton no transferirá Datos Personales del Cliente a un lugar fuera de Singapur sin el consentimiento previo por escrito del Cliente. Si el Cliente otorga su consentimiento, Eton se comprometerá por escrito con el Cliente a que los Datos Personales del Cliente transferidos fuera de Singapur estarán protegidos a un nivel comparable al de la PDPA. Si Eton transfiere Datos Personales del Cliente a cualquier tercero o subprocesador, Eton deberá obtener el mismo compromiso por escrito de dicho tercero o subprocesador. 

9.7 Evaluaciones de transferencias internacionales. Eton llevará a cabo y mantendrá durante toda la vigencia del APD una evaluación de la transferencia internacional de datos que demuestre su cumplimiento de los términos del presente APD y, en su caso, de los CCE, en relación con las operaciones específicas de Tratamiento, incluidas las realizadas por sus Afiliados y subencargados, el/los Sujeto(s) de los Datos y las categorías de Datos Personales del Cliente Tratados en virtud del presente APD, y pondrá dicha evaluación a disposición del Cliente a petición de éste. Eton confirma que supervisará en todo momento su capacidad para llevar a cabo transferencias internacionales de Datos Personales del Cliente y mantendrá su evaluación de transferencias internacionales de datos. Eton cooperará con el Cliente y le prestará asistencia razonable en relación con la presentación de dicha evaluación a una Autoridad de Supervisión.
‍

9.8 Costes relacionados con las transferencias internacionales de datos personales a terceros países. Salvo disposición en contrario, cada parte asumirá los costes ocasionados por las acciones o medidas que adopte en virtud de la presente Sección.

10. Varios

10.1 Norma de protección. La presente DPA sustituye a cualquier disposición del Acuerdo de Servicios en la medida en que dicha disposición esté relacionada con la privacidad, confidencialidad, seguridad o protección de los Datos Personales; no obstante, en caso de conflicto entre la presente DPA y el Acuerdo de Servicios, Eton cumplirá con las obligaciones que proporcionen una mayor protección de los Datos Personales del Cliente.

10.2 Derecho aplicable. El presente APD y todas las reclamaciones o causas de acción (ya sean contractuales o extracontractuales) que puedan basarse en el presente APD, surgir de él o estar relacionadas de algún modo con él, se regirán e interpretarán de conformidad con las leyes identificadas en el Contrato de Servicios, salvo en la medida en que las Leyes de Protección de Datos exijan lo contrario. En tal caso, y en la medida en que así se requiera, el presente APD se regirá de conformidad con dichas Leyes de Protección de Datos y, si procede, estará sujeto a la jurisdicción del exportador de datos pertinente que haya exportado los Datos Personales.

10.3 Cambios en la ley de protección de datos. Eton suscribirá cualquier acuerdo adicional que el Cliente solicite razonablemente a efectos del cumplimiento de las leyes de protección de datos. En caso de conflicto entre la presente DPA y cualquier otro acuerdo escrito de privacidad, confidencialidad, seguridad o protección de datos, dicho acuerdo escrito prevalecerá con respecto al Tratamiento de Datos Personales al que se aplique.

10.4 Acuerdo completo/Modificaciones. El presente DPA constituye el acuerdo íntegro entre el Cliente y Eton con respecto al objeto del mismo, y no existen otros acuerdos, entendimientos, condiciones o manifestaciones, orales o escritos, expresos o implícitos, relacionados con el objeto del mismo, que no estén fusionados en el presente DPA o sustituidos por el mismo. Ninguna modificación del presente APD será válida a menos que se haga por escrito y esté firmada por representantes autorizados de todas las partes.

10.5 Terceros beneficiarios. En la medida en que este APD beneficie y/o esté relacionado con las Filiales del Cliente, dichas Filiales serán terceros beneficiarios de este APD a todos los efectos, incluyendo, sin limitación, la aplicación de las disposiciones del mismo.

10.6 Contrapartidas/Firma electrónica. El presente APD podrá ejecutarse por duplicado, cada uno de los cuales se considerará un original, pero todos juntos constituirán un único y mismo instrumento. El presente APD o cualquiera de sus homólogos podrá intercambiarse electrónicamente o almacenarse electrónicamente como fotocopia (por ejemplo, en formato .pdf). Las partes acuerdan que dichas copias intercambiadas o almacenadas electrónicamente tendrán fuerza ejecutiva como documentos originales. Por la presente, las partes consienten en el uso de firmas electrónicas y/o digitales para la ejecución del presente APD y acuerdan además que el uso de firmas electrónicas y/o digitales será vinculante, exigible y admisible como prueba en cualquier litigio relacionado con el presente APD.

El Cliente y Eton, cada uno a través de su representante debidamente autorizado, aceptan los términos y condiciones de este APD a partir de la Fecha de Entrada en Vigor.

Apéndice 1 Calendario de tratamiento

Los siguientes Datos Personales del Cliente podrán transferirse y tratarse para los fines que se indican a continuación. Si procede, el presente Apéndice formará parte de los CEC, que se considerarán firmados por las partes en el momento de la firma del Contrato de Servicios. Si procede, la Sección A siguiente formará parte de los CEC de Responsable a Encargado del Tratamiento.

Exportador de datos: El exportador de datos se refiere individual y colectivamente al Cliente y a sus Afiliadas (tal y como se definen en el Acuerdo de Servicios aplicable), establecidas en el Espacio Económico Europeo (EEE), Suiza y el Reino Unido.

Importador de datos: El importador de datos es Eton si está establecido fuera del EEE, Suiza y el Reino Unido. Eton también se considerará importador de datos cuando los Datos Personales se transfieran desde el EEE o Suiza al Reino Unido.

Sección A (Tratamiento de los datos personales de los clientes)

Asunto: El exportador de datos puede transferir Datos Personales del Cliente al importador de datos en relación con el servicio y/o producto proporcionado por Eton en virtud del Acuerdo de Servicios.

Duración del tratamiento: Durante la vigencia del Contrato de Servicios.

Interesados: Los datos personales del cliente transferidos pueden afectar a las siguientes categorías de interesados (especifíquese):

• Terceros vendedores y proveedores, incluidos asesores, consultores, expertos profesionales y contactos de marketing (que sean personas físicas) y sus empleados.
• En una declaración de trabajo, orden de compra u orden de pedido en el marco del Contrato de Servicios podrán indicarse otros sujetos de datos.

Categorías de datos: Los Datos Personales del Cliente transferidos pueden referirse a las siguientes categorías de datos (o a un subconjunto de ellas) (especifique):

• Nombres e información de contacto (incluida la dirección particular y profesional)
• Información financiera y de identificación oficial
• Información bancaria
• Las categorías de datos adicionales pueden indicarse en una declaración de trabajo, orden de compra u orden de pedido en virtud del Contrato de Servicios. 

Categorías especiales de datos (si procede): Los Datos Personales del Cliente transferidos pueden referirse a las siguientes categorías especiales de datos (especifique):

• No se espera ninguno.

Naturaleza, finalidad del tratamiento y operaciones de tratamiento: Los Datos Personales del Cliente transferidos serán objeto de las siguientes actividades básicas de tratamiento (especifíquese): 

El importador de datos procesará los datos personales del cliente del exportador de datos según lo establecido en el acuerdo de servicios en relación con la prestación de sus servicios y/o productos. Esto puede incluir cualquier operación como la transferencia de datos y cualquier recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción de Datos Personales del Cliente (por medios automatizados o no).‍

Anexo 2

Medidas de seguridad

A continuación se detallan las medidas de seguridad administrativas, físicas, técnicas y organizativas de Eton con respecto al Tratamiento de Datos Personales. Si procede, este Apéndice forma parte de las Cláusulas Contractuales Tipo y se consideran firmadas por las partes en el momento de la firma del Acuerdo de Servicios.

Eton ha implementado múltiples capas de control alineadas con SSAE SOC 2 Tipo 2 para proteger los Activos de Información.

Personas

• Concienciación e higiene en materia de ciberseguridad
• Verificación de antecedentes (penales, educativos, laborales, crediticios, etc.)
• Manual del empleado
• Boletines y correos electrónicos para reforzar la concienciación sobre ciberseguridad.

Proceso

• Política y procedimientos de seguridad de la información
• Política de uso aceptable
• Procedimiento disciplinario en caso de infracción
• Política de gestión de cambios
• Política de respuesta a incidentes
• Prácticas BCP y DR
• Política de gestión de terceros (proveedores)
• Política de clasificación de datos
• Acceso a los datos según el principio de mínimos privilegios:
• Necesidades
• Derecho a saber
• Política de escritorio despejado.

Técnico

• Controles de acceso físico
• Controles de acceso basados en roles con definición granular de roles.
• Cifrado de datos en reposo, en proceso y en tránsito
• Cifrado de portátiles mediante el cifrado de Windows Bit Locker.
• Todos los accesos remotos a través de VPN
• Protección de red multicapa mediante routers, servidores proxy, cortafuegos L7 y WAF.
• Sistema de detección de intrusos
• Supervisión de registros, detección de incidentes y respuesta
• Política de endurecimiento de dispositivos.
• Copia de seguridad y recuperación
• Centro de seguridad Azure
• Bóveda de claves Azure
• Gestión de parches
• Motor antimalware y antivirus