Términos y Políticas

Apéndice Suizo de Procesamiento de Datos

Descargar una copia →

ESTE APÉNDICE DE PROCESAMIENTO DE DATOS SE APLICA SI SE HA REGISTRADO PARA LOS SERVICIOS NITRO COMO CLIENTE EMPRESARIAL DE ACUERDO CON LOS TÉRMINOS DE SERVICIO DE NITRO Y EL FADP SE APLICA AL PROCESAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DEL ACUERDO. EN CAS DE REGISTRO COMO INDIVIDUAL, POR FAVOR VISITE LA POLÍTICA DE PRIVACIDAD DE NITRO PARA MÁS INFORMACIÓN SOBRE CÓMO NITRO PROCESA SUS DATOS PERSONALES.

1. ÁMBITO; ROLES DE LAS PARTES

Nitro recibirá y procesará Datos Personales en beneficio y en nombre del Cliente al proporcionar los Servicios, de acuerdo con las instrucciones y el propósito definidos por el Cliente en los Detalles del Procesamiento de Datos. A través de este Apéndice de Procesamiento de Datos, las Partes desean establecer sus acuerdos específicos respecto al procesamiento de Datos Personales dentro del marco del Acuerdo.

Por defecto, Nitro actuará como Procesador y el Cliente actuará como Controlador en respecto a los Servicios proporcionados por Nitro al Cliente conforme a los Términos de Servicio de Nitro. El presente Apéndice de Procesamiento de Datos reemplaza y anula todos los acuerdos previos realizados (si los hubiera) respecto al procesamiento de Datos Personales y la protección de datos entre las Partes relacionadas con los Servicios ofrecidos por Nitro.

Este Apéndice de Procesamiento de Datos complementa y forma parte de los Términos de Servicio, y juntos los Términos de Servicio y este Apéndice de Procesamiento de Datos constituyen un único acuerdo legal entre las Partes. En caso de discrepancias o contradicciones entre este Apéndice de Procesamiento de Datos y los Términos de Servicio, el Apéndice de Procesamiento de Datos prevalecerá.

2. DEFINICIONES

“Anexo” significa cualquier anexo al presente Apéndice de Procesamiento de Datos;

"Datos Personales CH" significa Datos Personales a los que se aplica el FADP;

"Transferencia Restringida CH" significa una transferencia en el sentido de los artículos 16(2) y 17 del FADP de Datos Personales por parte del Cliente a Nitro (o cualquier transferencia posterior de Nitro a un Subprocesador), en cada caso, donde dicha transferencia estaría prohibida por el FADP en ausencia de la protección para los Datos Personales transferidos proporcionada por las Cláusulas Contractuales Tipo CH o cualquier otra salvaguarda o excepción legal;

"Cláusulas Contractuales Tipo CH" significa en relación con los Datos Personales CH, las cláusulas contractuales estándar para la transferencia de datos personales a países terceros adoptadas por la Comisión Europea en virtud de la Decisión de Ejecución de la Comisión (UE) 2021/914 (incluido el texto del módulo dos de tales cláusulas contractuales estándar y no de cualquier otro módulo y no incluyendo cláusulas marcadas como opcionales en las cláusulas) adaptadas para Suiza de acuerdo con la declaración del FDPIC de 27 de agosto de 2021 reconocida por el FDPIC;

“Controlador” se refiere al Cliente según se identifica en los Términos de Servicio y en el Formulario de Pedido aplicable;

“Detalles del Procesamiento de Datos” significa el Anexo 1 al presente Apéndice de Procesamiento de Datos que incluye más detalles sobre las instrucciones del Cliente sobre el procesamiento de Datos Personales, tales como el propósito, objeto y naturaleza del procesamiento y el tipo de Datos Personales que se procesan;

"FADP" significa la Ley Federal Suiza sobre la Protección de Datos (según enmendada); "FODP" significa la Ordenanza Federal Suiza sobre la Protección de Datos (según enmendada); "FDPIC" significa el Comisionado Federal de Protección de Datos y de Información;

“Datos Personales” significa datos personales según se define bajo el FADP que Nitro procesa en beneficio y en nombre del Cliente al proporcionar los Servicios de acuerdo con las instrucciones y el propósito definidos por el Cliente en el Procesamiento de Datos;

“Procesador” se refiere a Nitro Software Inc., proveedor de los Servicios al Cliente y según se identifica en los Términos de Servicio;

“Subprocesador” significa cualquier tercero procesador contratado por Nitro para el procesamiento de Datos Personales relacionados con la provisión de los Servicios al Cliente;

“Lista de Subprocesadores” se refiere a la lista de Subprocesadores puesta a disposición en línea por Nitro que incluye los Subprocesadores contratados por Nitro para la provisión de los Servicios y el cumplimiento de las obligaciones de Nitro en virtud del Acuerdo en general. Nitro puede actualizar la Lista de Subprocesadores de vez en cuando según el proceso establecido en este Apéndice de Procesamiento de Datos;

Todos los demás términos y definiciones escritos con letras mayúsculas que no se definen expresamente en este Apéndice de Procesamiento de Datos, se definen como se establece en la legislación aplicable de protección de datos o en los Términos de Servicio de Nitro.

3. OBJETIVO DE ESTE APÉNDICE DE PROCESAMIENTO DE DATOS

3,1 Este Apéndice de Procesamiento de Datos determina las condiciones del procesamiento por parte de Nitro de Datos Personales comunicados por o a iniciativa del Cliente en el contexto del Apéndice. La naturaleza y el propósito del procesamiento, una lista y el tipo de Datos Personales, así como las categorías de los Sujetos de Datos se enumeran en los Detalles del Procesamiento de Datos (Anexo 1).

3,2 El procesamiento ocurrirá exclusivamente para el beneficio del Cliente y para el propósito definido por el Cliente en los Detalles del Procesamiento de Datos. Nitro deberá informar al Cliente de inmediato si, a su juicio, una instrucción infringe la legislación (de protección de datos) aplicable. Nitro solo procesará los Datos Personales de acuerdo con las instrucciones documentadas del Cliente y no utilizará estos Datos Personales para su propio propósito, a menos que esté explícitamente permitido en los Términos de Servicio. Si Nitro está legalmente obligado a proceder con cualquier procesamiento de Datos Personales, Nitro informará al Cliente de tal obligación, a menos que esto violara las reglas obligatorias aplicables.

4. DURACIÓN

4,1 Este Apéndice de Procesamiento de Datos es aplicable a todo procesamiento de Datos Personales ejecutado en el contexto de la provisión de los Servicios al Cliente por Nitro y se aplica siempre que Nitro procese Datos Personales en nombre del Cliente en el contexto del Acuerdo. Este Apéndice de Procesamiento de Datos complementa los Términos de Servicio de Nitro y está destinado a asegurar el cumplimiento de las Partes con los requisitos impuestos por las leyes y regulaciones aplicables de protección de datos para el uso de los Servicios por parte del Cliente.

4,2 Este Apéndice de Procesamiento de Datos finaliza automáticamente al término del Acuerdo (o en el momento en que finaliza el procesamiento por parte de Nitro). Las disposiciones de este Apéndice de Procesamiento de Datos que estén expresamente o implícitamente (dada su naturaleza) destinadas a tener efecto después de la terminación del Apéndice de Procesamiento de Datos sobrevivirán al final del Acuerdo con respecto a los Datos Personales comunicados por o a iniciativa del Cliente en el contexto del Acuerdo.

5. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

5,1 Nitro ofrece garantías adecuadas con respecto a la implementación de medidas técnicas y organizativas apropiadas (“TOMs”) para asegurar el procesamiento seguro de Datos Personales y así garantizarse la protección de los derechos de los Sujetos de Datos. Las medidas técnicas y organizativas implementadas por Nitro son las descritas en los Detalles del Procesamiento de Datos. Las TOMs pueden ser actualizadas por Nitro de vez en cuando, sin embargo, Nitro asegurará no degradar la seguridad general implementada en el momento de la ejecución del Apéndice de Procesamiento de Datos. El Cliente reconoce que las TOMs son adecuadas para el procesamiento de sus Datos Personales en el momento de firmar o aceptar este Apéndice de Procesamiento de Datos.

5,2 Nitro tomará todas las medidas técnicas y organizativas apropiadas como se refiere en el artículo 8 FADP y el artículo 3 FODP para asegurar un nivel adecuado de seguridad apropiado al riesgo.

5,3 Si el Cliente proporciona Datos Personales sensibles según se refiere bajo el FADP a Nitro en el contexto del Acuerdo, el Cliente notificará a Nitro por escrito a través de privacy@gonitro.com.

5,4 En caso de que el Cliente esté solicitando medidas técnicas y organizativas específicas que sean implementadas por Nitro (que Nitro no ha implementado por defecto), el Cliente reembolsará a Nitro la implementación de dichas medidas adicionales de acuerdo con la Sección 14 “Costos” de este Apéndice de Procesamiento de Datos.

6. RETENCIÓN

6,1 Nitro no mantendrá los Datos Personales más tiempo del necesario para el procesamiento de dichos Datos Personales en el contexto del Acuerdo. El Cliente no instruirá a Nitro para almacenar Datos Personales más tiempo del necesario. El período de retención aplicable (como se define por el Cliente) se establece en los Detalles del Procesamiento de Datos.

6,2 A elección del Cliente, Nitro eliminará o devolverá todos los Datos Personales al Cliente después de la finalización de la provisión de Servicios y eliminará las copias existentes a menos que la ley suiza o cualquier otra ley aplicable requiera el almacenamiento de los Datos Personales. El Cliente reconoce que los Servicios podrían incluir funcionalidades de descarga a disposición del Cliente para permitirle descargar sus datos. En la medida en que tales funcionalidades estén disponibles, el Cliente utilizará dichas funcionalidades para extraer o eliminar sus datos.

7. CONFIDENCIALIDAD

7,1 Las Partes han acordado una cláusula de confidencialidad en los Términos de Servicio que se aplica al procesamiento de Datos Personales en el contexto del Acuerdo.

7,2 Nitro reconoce y acepta que solo aquellos empleados, contratistas o agentes de Nitro que están involucrados en el procesamiento de Datos Personales pueden ser informados sobre los Datos Personales y solo en la medida razonablemente necesaria para el cumplimiento del Acuerdo. Nitro asegura que las personas autorizadas para procesar los Datos Personales están comprometidas a la confidencialidad por contrato o están bajo una obligación legal adecuada de confidencialidad.

8. DERECHOS DE LOS SUJETOS DE DATOS

8,1 Teniendo en cuenta la naturaleza del procesamiento, Nitro debe utilizar todos los esfuerzos razonables, al tomar medidas técnicas y organizativas apropiadas, para ayudar al Cliente en el cumplimiento de su obligación de responder a las solicitudes de los Sujetos de Datos.

8,2 Por toda asistencia proporcionada por Nitro en el contexto del tratamiento de tales solicitudes de los Sujetos de Datos, el Cliente reembolsará a Nitro de acuerdo con la Sección 14 “Costos” de este Apéndice de Procesamiento de Datos. Tal reembolso por parte del Cliente no se aplicará (i) en caso de que el Sujeto de Datos invoque sus derechos debido a una violación de Datos Personales demostrablemente atribuible a Nitro o (ii) en caso de que dicha asistencia por parte de Nitro no exceda de cuatro (4) horas de trabajo durante la duración del Acuerdo.

9. OBLIGACIÓN DE NOTIFICAR

9,1 Al tomar conocimiento de una violación de Datos Personales, Nitro deberá notificar al Cliente de ello sin demora indebida contactando a la persona de contacto indicada en el Acuerdo o el Formulario de Solicitud relevante (o alternativamente a través de la Dirección de Correo Electrónico de Notificación del Cliente o (si aplica) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal de administración como contacto de privacidad). La persona de contacto de Nitro para cualquier asunto relacionado con la protección de datos puede ser contactada por correo electrónico: privacy@gonitro.com.

9,2 A solicitud del Cliente, Nitro informará al Cliente de cualquier novedad relacionada con cualquier violación de Datos Personales y de las medidas adoptadas para limitar sus consecuencias y prevenir la repetición de dicha Violación de Datos Personales. Es responsabilidad del Cliente reportar cualquier Violación de Datos Personales a la Autoridad Supervisora o a los Sujetos de Datos, según se requiera.

10. SUB-TIERRAS

10,1 El Cliente autoriza expresamente a Nitro a contratar Sub-procesadores para el tratamiento de Datos Personales para la ejecución del Acuerdo y para facilitar la provisión de los Servicios en general. A este respecto, el Cliente otorga una autorización general por escrito a Nitro para decidir con qué Sub-procesador(es) Nitro colabora para el cumplimiento de sus obligaciones bajo el Acuerdo. Nitro publica una Lista de Sub-procesadores que hace referencia a los Sub-procesadores comprometidos por Nitro.

10,2 Nitro informará al Cliente de cualquier cambio previsto respecto a la adición o reemplazo de Sub-procesadores contactando a la persona de contacto indicada en el Acuerdo o en el Formulario de Solicitud correspondiente (o a través de la Dirección de Correo Electrónico de Notificación del Cliente o (si corresponde) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal de administración como contacto de privacidad). El Cliente tendrá el derecho de oponerse a la adición o reemplazo dirigiéndose a Nitro por escrito. Las partes discutirán en este caso la adición, el reemplazo o la alternativa de buena fe y tan pronto como sea razonablemente posible después de la notificación escrita de objeción del Cliente.

10,3 Cuando Nitro contrate a un Sub-procesador para llevar a cabo actividades de procesamiento específicas, se impondrán las mismas obligaciones de protección de datos o similares como se establece en este Anexo de Procesamiento de Datos a ese Sub-procesador mediante un acuerdo por escrito, en particular, proporcionando suficientes garantías para implementar medidas técnicas y organizativas apropiadas (y cumpliendo con las medidas técnicas y organizativas correspondientes). Cuando un Sub-procesador no cumpla con sus obligaciones de protección de datos, Nitro seguirá siendo completamente responsable ante el Cliente por el cumplimiento de dicha obligación del Sub-procesador.

11. TRANSFERENCIAS INTERNACIONALES DE DATOS

11,1 El Cliente reconoce que Nitro está establecido en los Estados Unidos de América y, por lo tanto, autoriza las transferencias internacionales de datos personales fuera de Suiza con el fin de proporcionar los Servicios. Dicha transferencia internacional de datos se considera una instrucción del Cliente y deberá basarse en (i) una decisión de adecuación del Consejo Federal Suizo, (ii) la ejecución de las Cláusulas Contractuales Tipo CH como las reconoce la FDPIC (que pueden ser modificadas de vez en cuando), o (iii) cualquier otro mecanismo aceptado para las transferencias internacionales de datos según se establece en la legislación aplicable (protección de datos) (por ejemplo, un tratado bajo el derecho internacional, normas corporativas vinculantes, etc.).

11,2 Cuando se lleve a cabo un Transferencia Restringida CH entre el Cliente y Nitro, se acuerda expresamente entre el Cliente (como “exportador de datos”) y Nitro (como “importador de datos”) que las Cláusulas Contractuales Tipo CH, incorporadas por referencia, se aplicarán a partir del inicio de la transferencia correspondiente. El Anexo 1 de las Cláusulas Contractuales Tipo CH se considerará pre-poblado con las secciones relevantes del Anexo 1 del Anexo de Procesamiento de Datos y se considerará que las operaciones de procesamiento son las descritas en el Anexo de Procesamiento de Datos y el Anexo 2 de las Cláusulas Contractuales Tipo CH se considerará pre-poblado con la sección 6 del Anexo 1 del Anexo de Procesamiento de Datos, y:

1. las referencias en las Cláusulas Contractuales Tipo CH al Reglamento General de Protección de Datos de la UE deben entenderse como referencias a la FADP;
2. en la Cláusula 7 - Cláusula de acoplamiento de las Cláusulas Contractuales Tipo CH no se aplicará;
3. en la Cláusula 9 - Uso de subprocesadores de las Cláusulas Contractuales Tipo CH, se aplicará “Opción 2” y el “plazo” será de 30 días;
4. en la Cláusula 11(a) - Reparación de las Cláusulas Contractuales Tipo CH, el lenguaje opcional no se aplicará;
5. en la Cláusula 13(a) - Supervisión de las Cláusulas Contractuales Tipo CH, se insertará lo siguiente: La FDPIC actuará como autoridad supervisora competente;
6. en la Cláusula 17 - Ley aplicable de las Cláusulas Contractuales Tipo CH se insertará lo siguiente: Estas Cláusulas estarán regidas por la ley de Suiza;
7. en la Cláusula 18 - Elección de tribunal y jurisdicción, se insertará lo siguiente: Cualquier disputa que surja de estas Cláusulas se resolverá por los tribunales de Suiza;
8. en la Cláusula 18(c) - Jurisdicción de los sujetos de datos, el término "Estado miembro" no se interpretará de manera que excluya a los sujetos de datos en Suiza de la posibilidad de ejercer sus derechos en su lugar de residencia habitual (Suiza) de acuerdo con la Cláusula 18.c y, por lo tanto, los Sujetos de Datos cuyo lugar de residencia habitual esté en Suiza también pueden iniciar procedimientos legales ante los tribunales competentes en Suiza;

11,3 El Cliente reconoce que los Sub-procesadores autorizados en virtud de la cláusula 9 también pueden procesar Datos Personales en países terceros. El Cliente autoriza de tales transferencias, siempre que Nitro tome todas las medidas necesarias para garantizar que tales transferencias cumplan con las disposiciones de la FADP y otras leyes aplicables de protección de datos.

12. EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA

12,1 Si el Cliente realiza una Evaluación de Impacto en la Protección de Datos (“EIPD”) o consulta previa vinculada al tratamiento de Datos Personales en el contexto de la ejecución del Acuerdo (artículo 22 FADP), Nitro deberá ayudar razonablemente al Cliente proporcionando asistencia a solicitud escrita del Cliente. El Cliente reembolsará a Nitro por la asistencia proporcionada de acuerdo a la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Tal reembolso de costos no se aplicará en caso de (i) que la asistencia solicitada a Nitro sea menor a cuatro (4) horas laborables durante la vigencia del Acuerdo, o (ii) que la EIPD o consulta previa sea provocada por una violación de Datos Personales probada atribuible a Nitro.

13. DERECHO DE AUDITORÍA

13,1 El Cliente tiene el derecho de realizar auditorías respecto al cumplimiento por parte de Nitro de sus obligaciones bajo este Anexo de Procesamiento de Datos y la legislación aplicable en materia de protección de datos. Nitro hará esfuerzos razonables para cooperar con tales auditorías y para poner a disposición toda la información necesaria para demostrar su cumplimiento de su obligación. El Cliente deberá notificar a Nitro sobre dicha auditoría con al menos un (1) mes de antelación a la fecha en la que se realice la auditoría, mediante un aviso escrito a Nitro a través de privacy@gonitro.com.

13,2 En caso de que se realice una auditoría, todas las partes involucradas deberán primero firmar un acuerdo específico de no divulgación emitido por Nitro respecto a dicha auditoría y los resultados de la auditoría antes de iniciar la auditoría. Al realizar cualquier auditoría, deben tenerse en cuenta las obligaciones de confidencialidad de las Partes con respecto a terceros. Tanto las Partes como sus auditores deben mantener en secreto la información recopilada en conexión con una auditoría y utilizarla exclusivamente para verificar su cumplimiento con este Anexo de Procesamiento de Datos y las leyes y regulaciones aplicables en materia de protección de datos. El Cliente tiene la opción de realizar la auditoría por sí mismo o designar a un auditor independiente; sin embargo, dicho auditor independiente debe firmar debidamente el acuerdo de no divulgación mencionado en esta Sección.

13,3 Ambas Partes y, cuando corresponda, sus representantes, deberán cooperar razonablemente, a solicitud, con la Autoridad Supervisora en el cumplimiento de sus tareas.

13,4 El Cliente reembolsará a Nitro por la asistencia proporcionada por Nitro en relación con la(s) auditoría(s) de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Se entiende que dicho reembolso no será aplicable en caso de (i) que la auditoría sea resultado de una Violación de Datos Personales probada atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no exceda de cuatro (4) horas laborables durante la vigencia del Acuerdo.

14. COSTOS

14,1 La asistencia a realizar bajo este Anexo de Procesamiento de Datos por la cual Nitro podrá facturar al Cliente se cobrará en base a las horas trabajadas y las tarifas horarias estándar aplicables de Nitro (295 USD/hora, impuestos excluidos). Nitro facturará estos montos mensualmente, pero también tiene el derecho de solicitar un anticipo.

14,2 El pago por parte del Cliente a Nitro por la asistencia y servicios profesionales proporcionados por Nitro bajo este Anexo de Procesamiento de Datos tendrá lugar de acuerdo con las disposiciones en los Términos de Servicio.

15. RESPONSABILIDAD

15,1 Con sujeción al máximo permitido bajo la ley aplicable, las disposiciones de los Términos de Servicio relacionadas con la limitación de responsabilidad también se aplican a este Anexo de Procesamiento de Datos y a los daños que de ello deriven. El Cliente autoriza de tales transferencias, sujeto a que Nitro tome todas las medidas necesarias para garantizar que dichas transferencias cumplan con las disposiciones de la FADP y otras leyes aplicables de protección de datos.

16. DIVERSOS

Las disposiciones de los Términos de Servicio relacionadas con cambios, el acuerdo completo, la divisibilidad, la ley aplicable y los tribunales competentes son aplicables a este Anexo de Procesamiento de Datos. En caso de discrepancias o contradicciones entre este Anexo de Procesamiento de Datos y las Cláusulas Contractuales Tipo CH, si aplica, las Cláusulas Contractuales Tipo CH prevalecerán.

A. LISTA DE PARTES

1)  Exportador(es) de datos:

• Nombre: Cliente, tal como se identifica en el Acuerdo y el Formulario de Solicitud correspondiente.
• Dirección: La dirección del exportador de datos se establece en el Acuerdo y el Formulario de Solicitud correspondiente.
• Nombre de la persona de contacto, puesto y detalles de contacto: Los detalles de contacto de la persona de contacto para el exportador de datos se establecen en el Acuerdo y el Formulario de Solicitud correspondiente (y, si es aplicable, el portal administrativo del Cliente).
• Actividades relevantes para los datos transferidos: Como se establece en el Acuerdo. Las actividades que son relevantes para los datos transferidos bajo estas Cláusulas Contractuales Estándar de CH se describen a continuación en la Sección B “Descripción del procesamiento/transferencia”.
• Firma y fecha: Al firmar o aceptar el Formulario de Pedido correspondiente, se considerará que el exportador de datos ha firmado este Anexo I.
• Rol (responsable de tratamiento/procesador): Responsable de tratamiento

2)  Importador(es) de datos:

• Nombre: Nitro Software Inc.
• Dirección: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.
• Nombre de la persona de contacto, puesto y detalles de contacto: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.
• Actividades relevantes para los datos transferidos: Las actividades que son relevantes para los datos transferidos bajo estas Cláusulas Contractuales Estándar de CH se describen a continuación en la Sección B “Descripción del procesamiento/transferencia”.
• Firma y fecha: Al firmar o aceptar el Formulario de Pedido correspondiente, se considerará que el importador de datos ha firmado este Anexo I.
• Rol (responsable de tratamiento/procesador): Procesador

B. DESCRIPCIÓN DEL PROCESAMIENTO/TRANSFERENCIA