El presente Acuerdo de Tratamiento de Datos ("DPA"), en vigor a partir del 21 de diciembre de 2023 por y entre Eton y el Vendedor establece los términos y condiciones relativos a la privacidad, confidencialidad, seguridad y protección de los Datos Personales (tal y como se definen a continuación) asociados a los servicios prestados por, y/o productos suministrados por, el vendedor a Eton (y/o sus Filiales) en virtud de cualquier acuerdo entre Eton y el Vendedor (y/o sus Filiales), independientemente de que dicho acuerdo exista a partir de la Fecha de Entrada en Vigor (dicho acuerdo, según corresponda, el "Acuerdo de Servicios"), que, junto con este APD, el "Acuerdo").

El Vendedor y Eton también se denominarán colectivamente el "Fiestas" e individualmente como "Fiesta".

Las Partes acuerdan lo siguiente:

‍

1. Definiciones
En el presente APD, los siguientes términos tendrán el significado que se indica a continuación:

1.1. "Personas autorizadas". se entenderá toda persona facultada formal y debidamente para desempeñar funciones específicas relacionadas con un cargo o un acuerdo o contrato, e incluirá en este contexto al personal, los agentes y los subcontratistas del Vendedor.

1.2. "Controlador"se entenderá la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de Datos Personales.

1.3. "Legislación sobre protección de datos" significa, según sea aplicable a las partes, todas las leyes, normas, reglamentos, directivas y requisitos gubernamentales de protección de datos aplicables actualmente en vigor y a medida que entren en vigor relacionados de alguna manera con la privacidad, confidencialidad, seguridad o protección de Datos Personales, e incluirá el GDPR, la PDPA, la CCPA y la CPRA.

1.4. "Sujeto de los datostoda información relativa a una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o varios factores específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física.

1.5. "Datos personales"se entenderá cualquier información relativa a un interesado.

1.6. "Vulneración de datos personales"una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a Datos Personales transmitidos, almacenados o tratados de otro modo.

1.7. "Procesadorpersona física o jurídica, autoridad pública, agencia u otro organismo que trate Datos Personales por cuenta del Responsable del Tratamiento.

1.8. "Servicios"se entenderá el trabajo realizado por el Vendedor para Eton según lo establecido en un Contrato de Servicios.

1.9. "Contrato de servicios" se entenderá el acuerdo entre el Vendedor y Eton que describe y rige los Servicios que el Vendedor prestará a Eton.

1.10. "Procesar/Procesar" toda operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

‍

‍2. Tratamiento de datos

2.1. En relación con la prestación de los Servicios a Eton, el Vendedor reconoce y acepta que puede Procesar Datos Personales únicamente según sea necesario para cumplir sus obligaciones en virtud del Acuerdo de Servicios y estrictamente de conformidad con las instrucciones documentadas de Eton (el "Finalidad permitida"En este caso, el Vendedor informará a Eton de dicho requisito legal antes del Tratamiento, a menos que la ley lo prohíba por motivos importantes de interés público.

2.2. El Vendedor reconoce que Eton puede ser el Controlador o el Procesador de los Datos Personales y, cuando Eton sea el Procesador, el Vendedor reconoce que será un subprocesador de Eton. Cada una de las partes se adherirá y cumplirá con las obligaciones que le correspondan en virtud de la legislación aplicable en materia de protección de datos.

2.3. Subprocesamiento: Eton y el Vendedor acuerdan la lista de subprocesadores del Anexo C que puede contratar el Vendedor. El vendedor deberá obtener el consentimiento explícito y por escrito de Eton antes de añadir o eliminar a un subprocesador tercero para el tratamiento de datos personales, siempre que: (i) El Vendedor obtenga el consentimiento de Eton al menos 15 días antes de añadir o retirar a cualquier subencargado (incluidos los detalles del Tratamiento que realiza o realizará) de la lista de subencargados existentes en el Anexo C del presente documento; (ii) El vendedor contrata a terceros subencargados mediante un contrato que impone al subencargado, en esencia, las mismas obligaciones de protección de datos que las impuestas al vendedor de conformidad con el presente APD, y garantiza que el subencargado cumple las obligaciones a las que está sujeto el vendedor en virtud del presente APD y de las leyes de protección de datos aplicables. El vendedor se asegurará de que los subprocesadores no vuelvan a contratar a terceros subprocesadores. A petición de Eton, el vendedor proporcionará a Eton una copia de dicho acuerdo de subprocesador y de cualquier modificación posterior. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidos datos personales, el vendedor podrá redactar el texto del acuerdo antes de compartir la copia. El vendedor acordará con el subprocesador una cláusula de tercero beneficiario por la que, en caso de que el vendedor haya desaparecido de facto, haya dejado de existir legalmente o se haya declarado insolvente, Eton tendrá derecho a rescindir el contrato del subprocesador y a ordenar al subprocesador que borre o devuelva los datos personales; y (iii) el vendedor seguirá siendo plenamente responsable de cualquier incumplimiento de este APD que esté causado por un acto, error u omisión de su subprocesador. Si Eton se niega a consentir el nombramiento por parte del Vendedor de un subencargado de tratamiento tercero por motivos razonables relacionados con la protección de Datos Personales, Eton podrá optar por suspender o rescindir el Acuerdo de Servicios sin penalización alguna.

2.4. Confidencialidad del tratamiento: El vendedor restringirá a su personal el tratamiento de datos personales sin autorización. El vendedor impondrá a su personal las obligaciones contractuales pertinentes, incluidas las relativas a la confidencialidad, la protección y la seguridad de los datos. El vendedor se asegurará de que transfiere sus obligaciones a cualquier persona a la que autorice a tratar datos personales (incluido el personal del vendedor en cualquier calidad, el personal del vendedor y los subcontratistas) (un "Persona autorizada") estarán sujetas a un estricto deber de confidencialidad (ya sea un deber contractual o un deber legal) y no permitirán que ninguna persona procese Datos personales que no esté sujeta a dicho deber de confidencialidad. El vendedor se asegurará de que todas las personas autorizadas traten los datos personales únicamente cuando sea necesario para los fines permitidos.

2.5. Para evitar cualquier duda, cualquier instrucción que conduzca a un tratamiento fuera del ámbito de aplicación del presente APD (por ejemplo, porque se introduzca una nueva finalidad de tratamiento) requerirá un acuerdo previo entre las Partes y, en su caso, estará sujeta al procedimiento de modificación del contrato en virtud del acuerdo respectivo..

2.6. El Vendedor informará por escrito a Eton sin demora indebida si, en su opinión, una instrucción infringe las Leyes de Protección de Datos, y proporcionará por escrito una explicación detallada de los motivos de su opinión.

‍

‍3. Seguridad de los datos

El vendedor aplicará las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y protegerlos frente a una violación de los mismos, tal como se especifica en el anexo B del presente documento. Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como los riesgos que entraña para los Interesados.

‍

4. Plazo y rescisión

4.1. El presente APD entrará en vigor en el momento de su firma. Seguirá en pleno vigor y efecto mientras el vendedor procese datos personales en virtud del contrato de servicios.

4.2. Cuando se requieran modificaciones para garantizar el cumplimiento del presente APD con las Leyes de Protección de Datos, las Partes realizarán esfuerzos razonables para acordar dichas modificaciones a petición del Responsable del Tratamiento. En caso de que las Partes no puedan acordar dichas modificaciones, Eton podrá rescindir el Acuerdo de Servicios y el presente APD con [●] días de preaviso por escrito al Vendedor.

4.3. Sin perjuicio de lo dispuesto en las Leyes de Protección de Datos aplicables, en caso de que el Vendedor incumpla sus obligaciones en virtud del presente APD, Eton podrá ordenar al Vendedor que suspenda el Procesamiento de Datos Personales hasta que este último cumpla el presente APD o se rescinda el Acuerdo de Servicios. El Vendedor informará sin demora a Eton en caso de que, por cualquier motivo, no pueda cumplir el presente APD.

4.4. Eton tendrá derecho a rescindir el Acuerdo de Servicios en la medida en que se refiera al Tratamiento de Datos Personales de conformidad con el presente APD si:

a. el Tratamiento de Datos Personales por parte del Vendedor ha sido suspendido por Eton de conformidad con la Cláusula 4.3 y si no se restablece el cumplimiento del presente APD en un plazo razonable y, en cualquier caso, en el plazo de [●] mes tras la suspensión;

b. el vendedor incumple de forma sustancial o persistente el presente APD o sus obligaciones en virtud de la legislación aplicable en materia de protección de datos;

c. el vendedor incumple una decisión vinculante de un tribunal competente o de la autoridad o autoridades de supervisión competentes en relación con sus obligaciones en virtud del presente APD o de la legislación aplicable en materia de protección de datos.

4.5. El Vendedor notificará a Eton si no puede seguir prestando los Servicios en virtud del Acuerdo de Servicios, en virtud del cual, Eton tendrá derecho a rescindir el presente DPA.

4.6. El Vendedor tendrá derecho a rescindir el Acuerdo de Servicios en la medida en que se refiera al Tratamiento de Datos Personales en virtud del presente APD cuando, tras haber informado a Eton de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la Cláusula 2.6, Eton insista en el cumplimiento de las instrucciones.

‍

5. Acciones y solicitudes de acceso

5.1. El vendedor asistirá a Eton en caso de cualquier acción por parte de las autoridades de protección de datos. 5.2. Por la presente, el vendedor autoriza a Eton a revelar, a su entera discreción, el contenido del presente APD a sus clientes y/o a cualquier autoridad de protección de datos que lo solicite. A petición de Eton, el vendedor proporcionará a Eton un contacto designado para todas las consultas relacionadas con la privacidad.

5.2. El Vendedor prestará toda la asistencia razonable y oportuna a Eton para que Eton pueda responder a:

(i) cualquier solicitud de un Sujeto de Datos para ejercer cualquiera de sus derechos en virtud de la legislación aplicable (incluidos sus derechos de acceso, rectificación, oposición, supresión y portabilidad de datos, según proceda); y

(ii) cualquier otra correspondencia, consulta o reclamación recibida de un interesado, regulador u otro tercero en relación con el tratamiento de los datos personales. En caso de que dicha solicitud, correspondencia, consulta o reclamación se dirija directamente al vendedor, éste informará sin demora a Eton y, en su caso, al responsable del tratamiento, proporcionando todos los detalles de la misma.

5.3. El vendedor cooperará con Eton y le prestará asistencia para que Eton cumpla con sus obligaciones en virtud de las leyes de protección de datos, incluidas las solicitudes de derechos de los interesados, teniendo en cuenta la naturaleza del procesamiento y la información de que dispone el vendedor.

‍

6. Transferencias internacionales

Eton y el vendedor aplicarán medidas técnicas y organizativas para garantizar que las transferencias transfronterizas de datos personales estén protegidas con medidas adecuadas a las leyes de protección de datos, incluidas, entre otras, la evaluación de la adecuación, la evaluación del impacto de la transferencia, la estructura de gobernanza de datos, etc., o cualquier otra medida mencionada en el anexo B de la DPA. Se aclara que las medidas técnicas y organizativas del Anexo B son de carácter indicativo y no deben considerarse agotadas. Las Partes podrán acordar mutuamente la modificación de las medidas con arreglo a las mejores prácticas del sector o a la legislación aplicable.

‍

7. Notificación de infracciones

7.1. En caso de violación de datos personales relativos a los datos procesados por el vendedor o el subencargado del tratamiento, el vendedor notificará a Eton la violación de los datos personales sin demora indebida y, en cualquier caso, en un plazo de 48 horas a partir del momento en que el vendedor tenga conocimiento de la violación. Dicha notificación contendrá, como mínimo:

(a) una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);

(b) los datos de un punto de contacto donde pueda obtenerse más información sobre la violación de los datos personales;

(c) sus probables consecuencias y las medidas adoptadas o que se propone adoptar para hacer frente al incumplimiento, incluida la mitigación de sus posibles efectos adversos.

7.2. Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y posteriormente, a medida que esté disponible, se facilitará información adicional sin demora injustificada.

7.3. Las Partes establecerán en el Anexo C todos los demás elementos que deba proporcionar el Vendedor cuando asista a Eton en el cumplimiento de las obligaciones de Eton en virtud de las Leyes de Protección de Datos aplicables.

‍

8. Supresión o devolución de datos

En cualquier momento durante la vigencia del Acuerdo de Servicios, a petición por escrito de Eton o tras la finalización o expiración del Acuerdo de Servicios por cualquier motivo, el Vendedor deberá instruir a todas las Personas Autorizadas para que eliminen de forma segura todas las copias de Datos Personales y certifiquen por escrito a Eton que dichos Datos Personales se han eliminado de forma segura. El Vendedor cumplirá todas las instrucciones de Eton con respecto a la devolución o eliminación de Datos Personales y proporcionará un certificado de devolución/eliminación tras la devolución o eliminación de los Datos Personales. El Vendedor acepta que infringirá el presente APD si se descubre que existen copias de Datos Personales en posesión del Vendedor después de que se haya emitido dicho certificado. Hasta que los datos sean eliminados o devueltos, el Vendedor seguirá garantizando el cumplimiento de esta DPA.

‍

9. Derechos de auditoría

El Vendedor deberá ser capaz de demostrar el cumplimiento del presente APD. El Vendedor mantendrá registros completos y precisos en relación con el desempeño del Vendedor en virtud del presente APD y conservará dichos registros durante el periodo que Eton le comunique de conformidad con la legislación aplicable del Acuerdo de Servicios. El Vendedor permitirá a Eton (o a sus auditores externos designados) auditar el cumplimiento del Vendedor con este APD, y pondrá a disposición de Eton toda la información, sistemas y personal necesarios para que Eton (o sus auditores externos) lleven a cabo dicha auditoría. El Vendedor reconoce que Eton (o sus auditores externos) puede entrar en sus instalaciones para llevar a cabo esta auditoría, siempre y cuando Eton avise al Vendedor con una antelación razonable de su intención de realizar la auditoría, la lleve a cabo durante el horario laboral normal y tome todas las medidas razonables para evitar interrupciones innecesarias en las operaciones del Vendedor. Eton será responsable de los costes de dichas auditorías, a menos que se demuestre que el Vendedor ha incumplido el presente APD. El vendedor acepta, a su costa, realizar los cambios que Eton le solicite para corregir las deficiencias detectadas en dichas auditorías o pruebas.

‍

10. Evaluación de impacto de la protección de datos

El Vendedor proporcionará a Eton toda la asistencia razonable y oportuna que Eton pueda necesitar para llevar a cabo una evaluación del impacto de la protección de datos y, si fuera necesario, para consultar a las autoridades de protección de datos pertinentes.

‍

11. Indemnización

El vendedor indemnizará, defenderá y eximirá de responsabilidad a Eton y sus filiales, así como a sus respectivos accionistas, directores, directivos, empleados y agentes, frente a todos los gastos, responsabilidades, daños y costes (incluidos los costes de liquidación y los honorarios razonables de los abogados) derivados de una reclamación de terceros relacionada con el incumplimiento por parte del vendedor de sus obligaciones en virtud del presente APD.

‍

12. Varios

12.1. En caso de conflicto, las disposiciones de este APD prevalecerán sobre el Acuerdo de Servicios o las disposiciones de cualquier otro acuerdo entre Eton y el Vendedor. 12.2. En caso de conflicto entre este APD y las Leyes de Protección de Datos aplicables, las Leyes de Protección de Datos aplicables prevalecerán sobre las disposiciones del resto del APD.

12.2. Ninguna de las Partes percibirá remuneración alguna por el cumplimiento de sus obligaciones en virtud del presente APD, salvo la que se establezca explícitamente en el Acuerdo de Servicios.

12.3. Cuando la presente DPA requiera una "notificación por escrito", dicha notificación también podrá comunicarse por correo electrónico a la otra Parte.

12.4. Cualquier acuerdo complementario o modificación del presente APD deberá realizarse por escrito y ser firmado por ambas Partes.

12.5. En caso de que determinadas disposiciones del presente APD resulten nulas, inválidas o inviables, ello no afectará a la validez de las restantes condiciones del presente APD.

‍

El Cliente y Eton, cada uno a través de su representante debidamente autorizado, aceptan los términos y condiciones de este APD a partir de la Fecha de Entrada en Vigor.

‍

ANEXO A

‍

A. LISTA DE LAS PARTES

Eton: [Identidad y datos de contacto de Eton y, en su caso, de su responsable y/o representante de protección de datos]

1. Nombre: ____________________________________________________

Dirección: ____________________________________________________

Nombre, cargo y datos de la persona de contacto: ____________________________________________________

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Según lo establecido en la Parte B.

Firma y fecha: ____________________________________________________

Función (Controlador/Procesador): Controlador/Procesador

‍

Vendedor(es): [Identidad y datos de contacto del vendedor o vendedores, incluida cualquier persona de contacto responsable de la protección de datos]

1. Nombre: ____________________________________________________

Dirección: ____________________________________________________

Nombre, cargo y datos de la persona de contacto: ____________________________________________________

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: ____________________________________________________

Firma y fecha: ____________________________________________________

Función (Controlador/Procesador): Procesador/Subprocesador

‍

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren

Eton puede enviar Datos Personales a los Servicios, cuyo alcance es determinado y controlado por Eton a su entera discreción, y que pueden incluir, entre otros, Datos Personales relativos a las siguientes categorías de Sujetos de Datos [Enumerar los sujetos de datos cuyos datos personales se transfieren (por ejemplo, HNI, Empleado, etc.)].‍

Categorías de datos personales transferidos

Eton puede enviar Datos Personales al Vendedor, cuyo alcance es determinado y controlado por Eton a su entera discreción, y que puede incluir, pero no se limita a, las siguientes categorías de Datos Personales: (Nombres....), títulos, cargo, empleador, información de contacto (correo electrónico, teléfono, fax, dirección física, etc.), datos de identificación, datos de conexión, o datos de localización (incluyendo direcciones IP), datos de aplicación de los clientes de Eton. [Rellenar los datos personales que se comparten con el proveedor (por ejemplo, nombre, correo electrónico, número de teléfono, etc.). Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso sólo del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales. [Enumerar las categorías de datos sensibles transferidos, en su caso]. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua). Los datos personales se transfieren de forma continua

Finalidad o finalidades de la transferencia y el tratamiento posterior de los datos

Los Datos Personales se transfieren en el curso del acceso y uso por parte de Eton de los Servicios para que el Vendedor pueda prestar los Servicios. El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo. Una vez finalizada la cuenta de Eton, el vendedor eliminará todos los datos personales de conformidad con la cláusula 8 de la DPA. Este requisito no se aplicará en la medida en que la legislación aplicable permita al vendedor conservar algunos o todos los datos personales, en cuyo caso Eton aislará y protegerá los datos personales de cualquier tratamiento posterior. Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento Como se describe en el Anexo C.

‍

‍

‍PROGRAMA B

MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas aplicadas por el proveedor o proveedores (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Personas

• Concienciación e higiene en materia de ciberseguridad
• Verificación de antecedentes (penales, educativos, laborales, crediticios, etc.)
• Manual del empleado
• Boletines y correos electrónicos para reforzar la concienciación sobre ciberseguridad.

Proceso

• Política y procedimientos de seguridad de la información
• Política de uso aceptable
• Procedimiento disciplinario en caso de infracción
• Política de gestión de cambios
• Política de respuesta a incidentes
• Prácticas BCP y DR
• Política de gestión de terceros (proveedores)
• Política de clasificación de datos
• Acceso a los datos según el principio de mínimos privilegios:
• Necesidades
• Derecho a saber
• Política de escritorio despejado.

Técnico

• Controles de acceso físico
• Controles de acceso basados en roles con definición granular de roles.
• Cifrado de datos en reposo, en proceso y en tránsito
• Cifrado de portátiles mediante el cifrado de Windows Bit Locker.
• Todos los accesos remotos a través de VPN
• Protección de red multicapa mediante routers, servidores proxy, cortafuegos L7 y WAF.
• Sistema de detección de intrusos
• Supervisión de registros, detección de incidentes y respuesta
• Política de endurecimiento de dispositivos.
• Copia de seguridad y recuperación
• Centro de seguridad
• Bóveda de llaves
• Gestión de parches
• Motor antimalware y antivirus

‍

PROGRAMA C

LISTA DE SUBPROCESADORES

Eton ha autorizado el uso de los siguientes subprocesadores:

1. Nombre: ____________________________________________________

Dirección: ____________________________________________________

Nombre, cargo y datos de la persona de contacto: ____________________________________________________

Descripción del tratamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subtratamientos): ____________________________________________________

2. Nombre: ____________________________________________________

Dirección: ____________________________________________________

Nombre, cargo y datos de la persona de contacto: ____________________________________________________

Descripción del tratamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subtratamientos): ____________________________________________________

3. etc.