Entra
Tocar

Consentimiento de cookies

Usamos «cookies» y tecnologías relacionadas para ayudar a identificarlo a usted y a sus dispositivos, operar nuestro sitio, mejorar su experiencia y realizar publicidad y análisis. Algunas de estas cookies son opcionales y solo se utilizan cuando usted las ha aceptado. Puede dar su consentimiento a todas nuestras cookies opcionales a la vez o gestionar sus propias preferencias a través del enlace «preferencias de cookies». Puede obtener más información sobre los usos en nuestra política de cookies.

PreferenciasDenegarAceptar

Acuerdo de procesamiento de datos

Descargar el PDF del acuerdo de procesamiento de datos

Descargar

 Este acuerdo de procesamiento de datos (»DPA»), con efecto a partir del 21 de diciembre de 2023 entre Cliente Datos Controlador» o»Cliente») y Eton Solutions, L.P. Procesador de datos» o»Eton») establece los términos y condiciones relacionados con la privacidad, la confidencialidad, la seguridad y la protección de los datos personales (tal como se definen a continuación) asociados con los servicios prestados por el Procesador al Controlador (y/o sus filiales) o los productos proporcionados por él de conformidad con cualquier acuerdo entre Eton y el Cliente (y/o sus Filiales), independientemente de si dicho acuerdo existe a partir de la fecha de entrada en vigor o después (dicho acuerdo, según corresponda, el»Acuerdo de servicios»), que, junto con este DPA, el»Acuerdo»).

1. Definiciones

»Afiliados» significa cualquier entidad que ahora o en el futuro controle directa o indirectamente, esté controlada o esté bajo control o propiedad común mientras exista dicho control, donde «control» (incluidos los términos «controlada por» y «bajo control común con») significa la posesión, directa o indirectamente, del poder de dirigir, influir o influir en la dirección de las políticas de gestión de una entidad, ya sea mediante la propiedad de valores con derecho a voto, mediante contrato o de otro modo.

»Agregado» significa combinar información relacionada con un grupo o categoría de personas, de las que se han eliminado las identidades individuales, que no está vinculada o no se puede vincular razonablemente con ninguna persona u hogar, incluso a través de un dispositivo.

»Anonimización» tendrá el significado que se le atribuye en el RGPD y también incluirá «Desidentificar» tal como se define en la CCPA y la CPRA.

»CCPA» se refiere a la Ley de Privacidad del Consumidor de California de 2018 y sus reglamentos de implementación. »CPRA» se refiere a la Ley de Derechos de Privacidad de California de 2020 y sus reglamentos de implementación.

»Datos personales del cliente» se refiere a los datos personales procesados por Eton como procesador en nombre del Cliente o su Filial de conformidad con el Acuerdo de servicios.

»SCC de controlador a procesador» significa el Cláusulas contractuales estándar (procesadores) del anexo de la Decisión de la Comisión Europea de 5 de febrero de 2010 ya que pueden modificarse o sustituirse de vez en cuando.

 «Controlador de datos« significa la entidad que determina los propósitos y los medios del procesamiento de datos personales.

«Procesador de datos« se refiere a la entidad que procesa los datos personales en nombre del controlador de datos.

»Leyes de protección de datos» significa, según corresponda a las partes, todas las leyes, normas, reglamentos, directivas y requisitos gubernamentales de protección de datos aplicables actualmente en vigor y a medida que entren en vigor en relación de alguna manera con la privacidad, la confidencialidad, la seguridad o la protección de los datos personales, e incluirá el GDPR, la PDPA, la CCPA y la CPRA,

»Sujeto de datos» significa una persona física identificada o identificable a la que pertenecen los datos personales.

»Europa» o el»UE» significa el Espacio Económico Europeo más Suiza y el Reino Unido.

»GDPR» se refiere colectivamente al Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en su versión modificada o sustituida de vez en cuando, y a la Ley de Protección de Datos del Reino Unido de 2018 («RGPD del Reino Unido», tal como forma parte de la legislación vigente de la UE (tal como se define en la Ley de la Unión Europea (Retirada) de 2018).

»PDPA» se refiere a la Ley de Protección de Datos Personales de 2012.

«Datos personales« se refiere a cualquier dato, información o registro que se procese en relación con el Acuerdo de servicios (i) relacionado con una persona física identificada o identificable, o (ii) que identifique, se relacione, describa, sea razonablemente capaz de asociarse o pueda vincularse razonablemente, directa o indirectamente, con una persona u hogar en particular, independientemente del medio en el que se mantenga.

»Violación de datos personales» se refiere a (1) la violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los datos personales del cliente procesados en virtud del Acuerdo de servicios, o (2) un incidente similar relacionado con los datos personales del cliente.

«Proceso,»»Procesamiento«o»Procesado« se refiere a cualquier operación o conjunto de operaciones que se realice con datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación mediante transmisión, difusión o puesta a disposición de otro modo, la alineación o combinación, la restricción, el borrado o la destrucción.

»Vender» tendrá el significado que se le atribuye en la CCPA.

«Sensible Personal Datos« los medios tendrán el significado que se atribuye en el RGPD, la PDPA y la CPRA.

»Cláusulas contractuales estándar» o »SCC» se refiere, según corresponda, a las SCC de controlador a procesador celebradas entre las partes.

»Autoridad supervisora» se refiere a una autoridad reguladora o de aplicación gubernamental que tiene autoridad reguladora o de aplicación con respecto a la privacidad, la confidencialidad, la seguridad o la protección de los datos personales.


2. Naturaleza del procesamiento de datos

2.1 Limitaciones de procesamiento. Eton solo procesará los datos personales del cliente y los datos personales confidenciales de acuerdo con el cronograma de procesamiento establecido en el Apéndice 1 (Sección A), en nombre y de acuerdo con las instrucciones escritas del Cliente tal como se establece en el Acuerdo de servicios o de conformidad con él. Eton tratará los datos personales del cliente como información confidencial e impondrá obligaciones de confidencialidad a todo el personal que procese los datos personales del cliente. Eton no (i) venderá datos personales del cliente ni datos personales confidenciales; ni (ii) retendrá, usará o divulgará los datos personales del cliente (a) para ningún propósito que no sea el específico de cumplir con el Acuerdo, o (b) fuera de la relación comercial directa entre Eton y el cliente (y sus filiales).

Si la ley aplicable exige que Eton (o, para evitar dudas, cualquier subprocesador) lleve a cabo un Procesamiento que sea o pueda interpretarse como incompatible con las instrucciones del Cliente, Eton notificará inmediatamente al Cliente dicha incoherencia antes de comenzar (o continuar) el Procesamiento, a menos que la notificación esté prohibida por la ley.

2.2 Función de las Partes. Entre Eton y el Cliente (y sus filiales), el Cliente (o su filial) es el controlador de datos de los datos personales del cliente, y Eton es el procesador de datos, que procesa los datos personales del cliente en nombre del cliente (o de su filial) y no tendrá derechos de propiedad ni intereses sobre los datos personales del cliente. Las Partes reconocen y acuerdan que (i) los datos personales del cliente que el cliente o su filial divulgan a Eton se proporcionan a Eton con fines comerciales, y el cliente no vende datos personales a Eton en relación con el acuerdo; y (ii) durante el tiempo en que Eton procesa los datos personales y personales confidenciales del cliente, el cliente (o su filial) no tiene conocimiento ni motivos para creer que Eton no puede cumplir con las disposiciones de esta DPA, informar al cliente (o su Afiliado) si no pueden proporcionar los servicios.

2.3 Anonimizar o agregar datos. Eton no puede anonimizar los datos personales del cliente y los datos personales confidenciales como parte de su desempeño en virtud del Acuerdo de servicios o para ningún otro propósito, a menos que reciba el consentimiento previo por escrito del Cliente para tales actividades. Si el Cliente proporciona dicho consentimiento, dicha anonimización o agregación, según sea el caso, solo se puede realizar en la medida en que dicha actividad cumpla con el estándar aplicable requerido en virtud de las leyes de protección de datos aplicables. Eton puede agregar datos personales y datos confidenciales del cliente como parte de su desempeño en virtud del Acuerdo de servicios para mostrar las estadísticas del rendimiento de los datos financieros.


3. Cumplimiento de la ley aplicable

Las partes deberán cumplir con las leyes de protección de datos. Esta DPA no pretende reducir el nivel de protección aplicable a cada sujeto de datos. Si hay algún conflicto entre la DPA y el Acuerdo de servicios, prevalecerán los términos de la DPA. Si hay algún conflicto entre esta DPA y las leyes de protección de datos, regirán las disposiciones de las leyes de protección de datos aplicables. De conformidad con la sección 5 que figura a continuación, Eton cumplirá con los estándares y requisitos de la industria que se aplican a Eton y que se relacionan con la privacidad, la confidencialidad, la seguridad, la protección o el almacenamiento electrónico de los datos personales del cliente. Si Eton cree que alguna instrucción del Cliente infringe o podría resultar en que el Procesamiento infrinja la ley aplicable, Eton lo notificará de inmediato al Cliente.


4. Subprocesadores

4.1 Designación de subprocesadores. Eton no subcontratará ninguno de sus derechos u obligaciones en virtud del Acuerdo sin el consentimiento previo por escrito del Cliente. A menos que se acuerde lo contrario en el Acuerdo de servicios, el Cliente acepta por la presente que Eton utilice a sus Filiales como subprocesadores y a cualquier otro tercero como subprocesador si dichos terceros están específicamente identificados en el Acuerdo de servicios (incluida cualquier declaración de trabajo o formulario de pedido aplicable). Eton notificará por escrito al Cliente cualquier cambio previsto en los subprocesadores autorizados y el Cliente notificará inmediatamente a Eton por escrito cualquier objeción a dichos cambios que sea razonable y esté relacionada con la protección de datos. Cuando Eton, con el consentimiento del Cliente, que no se negará excepto por una objeción como la descrita anteriormente, subcontrate sus obligaciones en virtud del Acuerdo de servicios a un subprocesador que se haya considerado capaz de proteger los datos personales del cliente, Eton solo lo hará mediante un acuerdo por escrito con dicho subprocesador que imponga al subprocesador obligaciones de privacidad, confidencialidad, seguridad y protección de datos al subprocesador al menos equivalentes a las establecidas en esta DPA, que incluyen la obligación de imponer estas obligaciones a cualquier subprocesador adicional.

4.2 Responsabilidad. Eton seguirá siendo responsable ante el Cliente por (i) sus obligaciones en virtud del Acuerdo, incluso si dichas obligaciones se delegan en un subprocesador, incluida la prestación adecuada y oportuna de los servicios, y (ii) los actos u omisiones de cualquier persona o entidad en la que Eton delegue dicha obligación.


5. Seguridad

5.1 Programa de seguridad. Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de los interesados, Eton mantendrá o hará que se mantenga un programa de seguridad de la información razonable y apropiado que cumpla con las leyes de protección de datos y esté diseñado para garantizar razonablemente la confidencialidad, integridad, disponibilidad y resiliencia de todos los datos personales del cliente.
 

5.2 Medidas de seguridad. Eton mantendrá medidas de seguridad administrativas, físicas, técnicas (incluidas las electrónicas) y organizativas razonables y apropiadas, que incluyen, según corresponda: (i) el cifrado y la seudonimización; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento; (iii) la capacidad de restablecer la disponibilidad y el acceso a los datos personales del cliente de manera oportuna en caso de un incidente físico o técnico; y (iv) un proceso de pruebas periódicas, valorando y evaluando la eficacia de esas medidas. Eton declara y garantiza que ha implementado las medidas de seguridad administrativas, físicas, técnicas y organizativas descritas en el Apéndice 2 adjunto para proteger los datos personales del cliente. Eton se compromete a almacenar los datos personales del cliente de conformidad con el Acuerdo de servicios en los Estados Unidos y, además, reconoce que no combinará los datos personales con los datos personales de sus filiales.

5.3 Acceso a los datos personales del cliente. Eton se asegurará de que los datos personales del cliente solo estén disponibles para el personal de Eton que tenga una necesidad empresarial legítima de acceder a los datos personales del cliente, que esté sujeto a obligaciones de confidencialidad legalmente exigibles, que haya recibido formación sobre las políticas y procedimientos de protección de datos aplicables y que solo procesará los datos personales del cliente de acuerdo con las instrucciones del cliente. Si Eton no puede procesar de acuerdo con las instrucciones del cliente durante el procesamiento de los datos personales del cliente, Eton informará de inmediato al cliente.

5,4 Respuesta y notificación de violaciones de datos personales. Eton notificará sin demora al Cliente en un plazo de 72 horas y, sin demora indebida, cualquier violación de datos personales de la que Eton tenga conocimiento enviando una notificación por escrito por correo electrónico. Eton enviará un aviso adicional, según esté disponible, en el que se resumirán con un detalle razonable la naturaleza de la violación de datos personales, incluidas las categorías y el número aproximado de interesados afectados; si los datos personales del cliente se pierden, son robados o están en peligro, si se conocen; la evaluación de Eton de las consecuencias de la violación de datos personales; las medidas correctivas adoptadas o para ser tomada por Eton; cualquier los puntos de contacto internos responsables de gestionar la infracción o responder a ella; y el responsable de protección de datos de Eton o su equivalente en virtud de las leyes de protección de datos aplicables, si las hubiera. Eton tomará de inmediato todas las medidas correctivas necesarias y recomendables y cooperará plenamente con el Cliente en todos los esfuerzos razonables y legales para prevenir, mitigar o rectificar dicha violación de datos personales. Si, según la evaluación del Cliente, una violación de datos personales que afecte a los datos personales del cliente debe divulgarse o denunciarse a un tercero, incluidos los interesados, las autoridades supervisoras o las autoridades gubernamentales, Eton cooperará plenamente con el Cliente y lo ayudará a informar o divulgar en un plazo de 72 horas.


6. Auditorías/inspecciones

Eton pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones de esta DPA. El Cliente tendrá derecho a verificar el cumplimiento por parte de Eton y de cualquier subprocesador de los términos de esta DPA con respecto al procesamiento de los datos personales del cliente o a designar a un auditor externo (que no compita con Eton) con obligaciones razonables de confidencialidad para verificar lo mismo en nombre del Cliente. Eton concederá al Cliente o a sus agentes acceso en la medida necesaria para llevar a cabo la inspección y revisión de todas las instalaciones de procesamiento de datos, archivos de datos y otra documentación en relación con el procesamiento de los datos personales del cliente según el Acuerdo. Eton se compromete a brindar asistencia razonable al Cliente para facilitar esta función de inspección. El cliente notificará por escrito a Eton con 30 días de antelación su intención de realizar una auditoría y no realizará dicha solicitud más de una vez al año calendario (a menos que se haya producido una violación de datos personales que afecte a los datos personales del cliente). En caso de que Eton no tenga derecho a auditar (o hacer valer el derecho del Cliente a auditar) a ningún subprocesador, Eton pondrá a disposición del Cliente para su revisión copias de las certificaciones o informes que demuestren el cumplimiento por parte de dicho subprocesador de las normas de seguridad de datos vigentes aplicables al procesamiento de los datos personales del cliente. Sin perjuicio de cualquier disposición en contrario de esta DPA, las partes acuerdan que las auditorías descritas en los SCC de controlador a procesador aplicables se llevarán a cabo de conformidad con esta sección.


7. Obligación de cooperación de Eton

7,1 Cooperación. Eton proporcionará asistencia razonable al Cliente para (i) responder a las solicitudes de los interesados para ejercer sus derechos en virtud de las leyes de protección de datos; (ii) ayudar al Cliente a realizar una evaluación de impacto de la protección de datos con respecto al procesamiento de los datos personales del cliente en virtud de esta DPA; y (iii) las solicitudes o investigaciones del Cliente por parte de una autoridad supervisora con respecto al procesamiento de los datos personales del cliente en virtud del Acuerdo. Eton tiene el derecho de cobrar una tarifa razonable por el cumplimiento de sus obligaciones en virtud de esta Sección, así como el reembolso de todos los costos y gastos incurridos.

7.2 Solicitudes de acceso y quejas de terceros. Eton notificará de inmediato al Cliente en un plazo de 72 horas cualquier solicitud o queja de cualquier autoridad supervisora, funcionario gubernamental, sujeto de datos o cualquier otro tercero en relación con los datos personales del cliente o las obligaciones del cliente en virtud de las leyes de protección de datos. Eton notificará al Cliente cualquier orden judicial, citación u otra solicitud similar dirigida a Eton en relación con cualquier dato personal del cliente a más tardar cinco (5) días hábiles después de la recepción, a menos que lo prohíba la ley aplicable. Eton cumplirá con cualquier solicitud de retención del Cliente en relación con los Datos personales del Cliente y proporcionará el apoyo necesario para que el Cliente pueda cumplir con las solicitudes de terceros si el Cliente no puede obtener dicha información de manera razonable.


8. Retención, devolución y eliminación de datos

8.1 Retención. Eton no conservará los datos personales del cliente más tiempo del que sea razonablemente necesario para lograr los fines previstos para los que se procesaron los datos personales del cliente de conformidad con el Acuerdo.
 

8.2 Devolución y eliminación. Cuando los datos personales del cliente ya no sean necesarios para los fines establecidos en el Acuerdo de servicios aplicable o inmediatamente después del vencimiento o la rescisión del Acuerdo, lo que ocurra primero, o en un momento anterior si el Cliente lo solicita por escrito, Eton (i) devolverá al Cliente, en el formato y en el medio solicitados por el Cliente, la totalidad o, si el Cliente lo especifica, cualquier parte de los Datos personales del Cliente; y (ii) destruirá todos los Datos personales del Cliente, o si así lo especifica el Cliente, cualquier parte de los datos personales del cliente que esté en posesión o control de Eton; siempre que: (a) en caso de que el Cliente solicite dicha devolución o destrucción, en la medida en que Eton no pueda cumplir con sus obligaciones en virtud del Acuerdo de servicios o se retrase en hacerlo sin dichos datos personales del cliente, dicho incumplimiento o retraso no constituirá un incumplimiento de esas obligaciones; y (b) se podrán conservar copias de dichos datos personales del cliente en la medida en que se almacenen electrónicamente de conformidad con los procedimientos de respaldo ordinarios de Eton (incluidos, entre otros, los relacionados con la comunicación electrónica), siempre que dichos datos personales del cliente se mantengan confidenciales de lo contrario se requiere en virtud de este DPA. Las obligaciones anteriores también se aplicarán a los datos personales del cliente en poder de los subprocesadores en la medida en que lo permita el acuerdo de Eton con dichos subprocesadores. Eton proporcionará una certificación de destrucción si se solicita. Si la ley aplicable no permite a Eton cumplir con la devolución o destrucción de los datos personales del cliente, Eton acepta que dichos datos personales del cliente retenidos permanecerán en poder de Eton con arreglo a los términos de esta DPA y devolverá o destruirá dichos datos personales del cliente cuando lo permita la ley aplicable.


9. Transferencias internacionales de datos

9,1 Mecanismo de transferencia. Si los servicios y/o productos proporcionados por Eton en virtud del Acuerdo de servicios implican una transferencia internacional de datos personales del cliente regida por las leyes de protección de datos, dicha transferencia solo se realizará si (según corresponda): (i) el país o territorio al que se realizará la transferencia se encuentra dentro del Espacio Económico Europeo o Suiza; (ii) la Comisión Europea o la autoridad supervisora correspondiente ha considerado que el país o territorio al que se transfieren los datos es adecuado para fines de protección de datos; o (iii) Eton puede proporcionar las salvaguardias adecuadas de acuerdo con las leyes de protección de datos aplicables. Dichas garantías apropiadas pueden incluir, entre otras, la existencia de normas corporativas vinculantes, el procesamiento de manera coherente con el Sistema de normas de privacidad transfronterizas de la APEC o la adhesión a un mecanismo de certificación, un mecanismo contractual o un código de conducta que haya sido aprobado por la autoridad supervisora correspondiente.

9,2 Cláusulas contractuales estándar. Si ninguno de los mecanismos anteriores de la sección 9.1 se aplica a la transferencia de datos personales fuera de Europa, la transferencia de datos personales del cliente estará sujeta a la versión europea sin cambios de los SCC de controlador a procesador aplicables, respectivamente. Las SCC se considerarán incorporadas por referencia al presente documento (la firma de esta DPA se considerará una firma de las SCC aplicables). A los efectos de los SCC: (i) Se considerará al cliente como el exportador de datos y a Eton como el importador de datos. Cualquier referencia a la Directiva 95/46/CE en las SCC se interpretará como referencia a las disposiciones pertinentes del RGPD, la Ley de Protección de Datos del Reino Unido de 2018 o la Ley Federal de Protección de Datos de Suiza de 1992, siempre que sea posible y según corresponda. Nada de lo dispuesto en esta DPA se interpretará en el sentido de que prevalece sobre ninguna cláusula contradictoria de las SCC, a menos que una disposición de esta DPA prevea salvaguardias adicionales además de las contenidas en la cláusula conflictiva de las SCC, en cuyo caso se considerará que la disposición de esta DPA complementa y complementa dicha cláusula SCC y no entra en conflicto con ella. Eton reconoce que ha tenido la oportunidad de revisar los SCC aplicables.

9.3 SCCS de controlador a procesador. A los efectos de las SCC de controlador a procesador: (i) la ley aplicable en la cláusula 9 será la ley de la jurisdicción en la que se encuentre el exportador de datos; (ii) la cláusula de indemnización ilustrativa de las SCC de controlador a procesador no se aplicará en virtud de esta sección; y (iii) a menos que las partes acuerden lo contrario, los apéndices 1 (sección A) y 2 de esta DPA se aplicarán y serán considerados apéndices 1 y 2 de las SCC de controlador a procesador.

9,4 Mecanismos alternativos de transferencia de datos. Si procede, se puede confiar en los mecanismos de transferencia, distintos de los descritos en las secciones 9.1 a 9.3 anteriores, que estén aprobados en virtud de las leyes de protección de datos. Las partes acuerdan hacer todos los esfuerzos razonables para establecer estos mecanismos alternativos, cuando sea necesario, y modificar esta DPA según sea necesario para garantizar que los mecanismos de transferencia cumplan con los requisitos en caso de que se produzca un cambio en la Ley de Protección de Datos. En particular, si las SCC son modificadas, sustituidas o derogadas por la Comisión Europea o en virtud de las Leyes de Protección de Datos, las partes colaborarán de buena fe para celebrar cualquier versión actualizada de las SCC o negociarán de buena fe una solución que permita realizar una transferencia internacional de datos personales de conformidad con las Leyes de protección de datos.

9,5 Transferencia internacional de datos personales de clientes de Eton a terceros. Eton no transferirá los datos personales del cliente, internamente ni a subprocesadores, desde ninguna jurisdicción que restrinja la transferencia internacional de datos personales a áreas fuera de esa jurisdicción sin la aprobación previa del cliente y solo después de tomar medidas, de forma continua, para garantizar que dicha transferencia cumpla con las leyes de protección de datos. Si Eton descubre o cree razonablemente que algún dato personal del cliente se ha procesado o se está procesando en una jurisdicción sin la implementación de un acuerdo de transferencia de datos necesario, Eton firmará dicho acuerdo de transferencia de inmediato y se lo notificará sin demora al Cliente.

9,6 Transferencia de datos personales fuera de Singapur: Eton no transferirá los datos personales del cliente a un lugar fuera de Singapur sin el consentimiento previo por escrito del cliente. El cliente da su consentimiento y Eton se compromete por escrito al cliente de que los datos personales del cliente transferidos fuera de Singapur se protegerán con un estándar comparable al de la PDPA. Si Eton transfiere los datos personales del cliente a un tercero o subprocesador, Eton obtendrá el mismo compromiso por escrito de dicho tercero o subprocesador. 

9,7 Evaluaciones de transferencias internacionales. Eton realizará y mantendrá durante toda la vigencia de la DPA una evaluación de la transferencia internacional de datos que demuestre su cumplimiento de los términos de esta DPA y, si corresponde, de las SCC, en relación con las operaciones de procesamiento específicas, incluidas las realizadas por sus filiales y subprocesadores, las categorías de datos personales de los sujetos de datos y de los clientes procesadas en virtud de esta DPA, y pondrá dicha evaluación a disposición del Cliente si la solicita. Eton confirma que supervisará en todo momento su capacidad para llevar a cabo transferencias internacionales de datos personales del cliente y mantendrá su evaluación de transferencias internacionales de datos. Eton cooperará con el Cliente y le proporcionará una asistencia razonable en relación con la prestación de dicha evaluación a una autoridad supervisora.

9,8 Costos relacionados con las transferencias internacionales de datos personales a terceros países. Salvo que se disponga lo contrario, cada parte asumirá los costos causados por cualquier acción o medida que tome en virtud de esta Sección.


 

10. Misceláneo

10,1 Estándar de protección. Esta DPA reemplaza cualquier disposición del Acuerdo de servicios en la medida en que dicha disposición se refiera a la privacidad, la confidencialidad, la seguridad o la protección de los datos personales; sin embargo, en caso de conflicto entre esta DPA y el Acuerdo de servicios, Eton cumplirá con las obligaciones que brindan la mayor protección a los datos personales del cliente.

10,2 Ley aplicable. Esta DPA y todas las reclamaciones o causas de acción (ya sean contractuales o extracontractuales) que puedan basarse, surgir o relacionarse de alguna manera con esta DPA, se regirán e interpretarán de conformidad con las leyes identificadas en el Acuerdo de servicios, excepto en la medida en que las leyes de protección de datos exijan lo contrario. En tal caso, y en la medida en que sea necesario, esta DPA se regirá de acuerdo con dichas leyes de protección de datos y, si corresponde, estará sujeta a la jurisdicción del exportador de datos correspondiente que exportó los datos personales.

10,3 Cambios en la ley de protección de datos. Eton celebrará cualquier otro acuerdo que el Cliente solicite razonablemente con el fin de cumplir con las leyes de protección de datos. En caso de conflicto entre esta DPA y cualquier otro acuerdo escrito de privacidad, confidencialidad, seguridad o protección de datos, dicho acuerdo escrito adicional prevalecerá con respecto al procesamiento de los datos personales al que se aplique.

10,4 Acuerdo completo/enmiendas. Este DPA comprende el acuerdo completo entre el Cliente y Eton con respecto al tema del presente documento, y no hay otros acuerdos, entendimientos, condiciones o declaraciones, orales o escritos, expresos o implícitos, relacionados con el tema del presente documento, que no se fusionen en este DPA o sean reemplazados por él. Ninguna enmienda a esta DPA será válida a menos que se haga por escrito y esté firmada por representantes autorizados de todas las partes.

10,5 Terceros beneficiarios. En la medida en que esta DPA beneficie o se relacione con las Filiales del Cliente, dichas Filiales serán terceras beneficiarias de esta DPA a todos los efectos, incluida, entre otras, la aplicación de las disposiciones del presente documento.

10,6 Contrapartas/Firma electrónica. Este DPA puede ejecutarse en contrapartes, cada una de las cuales se considerará original, pero todas juntas constituirán un mismo instrumento. Este DPA o cualquier contraparte puede intercambiarse electrónicamente o almacenarse electrónicamente como fotocopia (por ejemplo, en formato.pdf). Las partes acuerdan que dichas copias intercambiadas o almacenadas electrónicamente serán exigibles como documentos originales. Por la presente, las partes dan su consentimiento al uso de firmas electrónicas y/o digitales para la ejecución de esta DPA y, además, acuerdan que el uso de firmas electrónicas y/o digitales será vinculante, ejecutable y admisible como prueba en cualquier disputa relacionada con esta DPA.

El Cliente y Eton, cada uno a través de su representante debidamente autorizado, aceptan los términos y condiciones de este DPA a partir de la fecha de entrada en vigor.

 

Apéndice 1 Cronograma de procesamiento

Los siguientes datos personales del cliente pueden transferirse y procesarse para los fines que se indican a continuación. Si corresponde, este Apéndice formará parte de las SCC, que se considerarán firmadas por las partes al firmar el Acuerdo de servicios. Según corresponda, la sección A que figura a continuación formará parte de las SCC de controlador a procesador.

Exportador de datos: El exportador de datos se refiere individual y colectivamente al Cliente y sus Filiales (tal como se definen en el Acuerdo de Servicios aplicable), establecidos en el Espacio Económico Europeo (EEE), Suiza y el Reino Unido.

Importador de datos: El importador de datos es Eton si está establecido fuera del EEE, Suiza y el Reino Unido. Eton también se considerará importador de datos cuando los datos personales se transfieran del EEE o Suiza al Reino Unido.

Sección A (Procesamiento de datos personales del cliente)

Objeto: El exportador de datos puede transferir los datos personales del cliente al importador de datos en relación con el servicio o producto proporcionado por Eton en virtud del Acuerdo de servicios.

Duración del procesamiento: Mientras dure el contrato de servicios.

Sujetos de datos: Los datos personales del cliente transferidos pueden referirse a las siguientes categorías de sujetos de datos (especifique):

  • Vendedores y proveedores externos, incluidos asesores, consultores, expertos profesionales y contactos de marketing (que son personas físicas) y sus empleados.
  • Los sujetos de datos adicionales pueden describirse en una declaración o formulario de trabajo, orden de compra o pedido en virtud del Acuerdo de servicios.

Categorías de datos: Los datos personales del cliente transferidos pueden referirse a las siguientes categorías de datos (o a un subconjunto de) (especifique):

  • Nombres e información de contacto (incluida la dirección de la casa y de la empresa)
  • Información de identificación financiera y gubernamental
  • Información bancaria
  • Las categorías de datos adicionales pueden describirse en una declaración o en un formulario de trabajo, orden de compra o pedido en virtud del Acuerdo de servicios.

Categorías especiales de datos (si procede): Los datos personales del cliente transferidos pueden referirse a las siguientes categorías especiales de datos (especifique):

  • No se espera ninguno.

Naturaleza, propósito del procesamiento y operaciones de procesamiento: Los datos personales del cliente transferidos estarán sujetos a las siguientes actividades básicas de procesamiento (especifique):

El importador de datos procesará los datos personales del cliente del exportador de datos según lo establecido en el Acuerdo de servicios en relación con la prestación de sus servicios y/o productos. Esto puede incluir cualquier operación como la transferencia de datos y cualquier recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción de los datos personales del cliente (ya sea por medios automatizados o no).

 

 

Apéndice 2

Medidas de seguridad

A continuación se detallan las medidas de seguridad administrativas, físicas, técnicas y organizativas de Eton con respecto al procesamiento de datos personales. Si corresponde, este apéndice forma parte de las cláusulas contractuales estándar y se considera firmado por las partes al firmar el Acuerdo de servicios.

Eton ha implementado varios niveles de control alineados con el SSAE SOC 2 de tipo 2 para proteger los activos de información.

Personas

  • Concienciación e higiene en materia de ciberseguridad
  • Verificación de antecedentes (antecedentes penales, educación, empleo anterior, verificaciones de crédito, por nombrar algunos)
  • Manual del empleado
  • Boletines informativos y correos electrónicos para reforzar la conciencia sobre ciberseguridad.

Proceso

  • Política y procedimientos de seguridad de la información
  • Política de uso aceptable
  • Proceso disciplinario por infracciones
  • Política de gestión de cambios
  • Política de respuesta a incidentes
  • Prácticas de BCP y DR
  • Política de administración de terceros (proveedores)
  • Política de clasificación de datos
  • Acceso a los datos según el principio de privilegios mínimos:
  • Tengo que hacer
  • Derecho a saber
  • Política de Clear Desk Clear Screen.

Técnico

  • Controles de acceso físico
  • Controles de acceso basados en roles con definición granular de roles.
  • Cifrado de datos en reposo, en proceso y en tránsito
  • Cifrado de ordenadores portátiles mediante el cifrado de Windows Bit Locker.
  • Todo el acceso remoto a través de VPN
  • Protección de red de varios niveles mediante el uso de enrutadores, servidores proxy, firewall L7 y WAF
  • Sistema de detección de intrusos
  • Supervisión de registros, detección de incidentes y respuesta
  • Política de refuerzo de dispositivos.
  • Respaldo y recuperación
  • Centro de seguridad de Azure
  • Bóveda de claves de Azure
  • Administración de parches
  • Motor antimalware y antivirus