Términos y Políticas
- Nitro Pro
- Nitro Sign Premium e Identity Hub
- Políticas
- Políticas ESG
Adenda de procesamiento de datos del UK GDPR
Nitro Pro
ESTE ADENDA DE PROCESAMIENTO DE DATOS SE APLICA SI USTED SE HA REGISTRADO PARA LOS SERVICIOS NITRO COMO CLIENTE EMPRESARIAL BAJO LOS TÉRMINOS DE SERVICIO DE NITRO Y EL UK GDPR SE APLICA AL PROCESAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DEL ACUERDO. EN CAS DE QUE USTED SE HA REGISTRADO COMO INDIVIDUO, POR FAVOR VISITE LA POLÍTICA DE PRIVACIDAD DE NITRO PARA MÁS INFORMACIÓN SOBRE CÓMO NITRO PROCESA SUS DATOS PERSONALES.
1. Alcance; Roles de las Partes
Nitro recibirá y procesará Datos Personales en beneficio y en nombre del Cliente al proporcionar el Servicio, de acuerdo con las instrucciones y el propósito definidos por el Cliente en los Detalles del Procesamiento de Datos. Mediante este Adenda de Procesamiento de Datos, las Partes desean establecer sus acuerdos específicos en relación con el procesamiento de Datos Personales en el marco del Acuerdo.
Por defecto, Nitro actuará como Procesador y el Cliente actuará como Controlador en relación con los Servicios proporcionados por Nitro al Cliente de conformidad con los Términos de Servicio de Nitro. Este Adenda de Procesamiento de Datos deroga y reemplaza todos los acuerdos anteriores realizados (si los hubiera) en relación con el procesamiento de Datos Personales y la protección de datos entre las Partes relacionadas con los Servicios ofrecidos por Nitro.
Este Adenda de Procesamiento de Datos complementa y forma parte de los Términos de Servicio, y juntos los Términos de Servicio y este Adenda de Procesamiento de Datos constituyen un único acuerdo legal entre las Partes. En caso de discrepancias o contradicciones entre este Adenda de Procesamiento de Datos y los Términos de Servicio, el Adenda de Procesamiento de Datos prevalecerá.
2. Definiciones
“Anexo” significa cualquier anexo del presente Adenda de Procesamiento de Datos;
“Controlador” se refiere al Cliente tal como se identifica en los Términos de Servicio y el Formulario de Pedido aplicable;
“Detalles del Procesamiento de Datos” significa el Anexo 1 del presente Adenda de Procesamiento de Datos que incluye más detalles sobre las instrucciones del Cliente sobre el procesamiento de Datos Personales como el propósito, el objeto y la naturaleza del procesamiento y el tipo de Datos Personales que se procesan;
“UK GDPR” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en relación con el procesamiento de datos personales y sobre la libre circulación de esos datos, y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos);
“Datos Personales” significa datos personales tal como se define bajo el UK GDPR que Nitro procesa en beneficio y en nombre del Cliente al proporcionar los Servicios de acuerdo con las instrucciones y el propósito definidos por el Cliente en los Detalles del Procesamiento de Datos;
“Procesador” se refiere a Nitro Software Inc., proveedor de los Servicios al Cliente tal como se identifica en los Términos de Servicio;
“Lista de Subprocesadores” se refiere a la lista de Subprocesadores que Nitro pone a disposición en línea e incluye los Subprocesadores contratados por Nitro para la provisión de los Servicios y el cumplimiento de las obligaciones de Nitro bajo el Acuerdo en general. Nitro puede actualizar la Lista de Subprocesadores de vez en cuando de acuerdo con el proceso establecido en este Anexo de Procesamiento de Datos;
“Subprocesador” significa cualquier procesador externo contratado por Nitro para el procesamiento de Datos Personales relacionados con la provisión de los Servicios al Cliente;
“UK GDPR” significa el GDPR de la UE transpuesto a la legislación nacional del Reino Unido en virtud de la sección 3 de la Ley de Retirada de la Unión Europea de 2018 y enmendada por las Regulaciones de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Modificaciones, etc.) (Salida de la UE) de 2019 (según enmendada);
“Datos Personales del Reino Unido” significa Datos Personales a los que se aplica el UK GDPR;
“Cláusulas Contractuales Tipo del Reino Unido” significa el Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE emitido por el Comisionado de Información bajo la Sección 119A(1) de la Ley de Protección de Datos de 2018, en la forma y manera establecidas en el Anexo 2 de este Anexo de Procesamiento de Datos.
3.
Objeto de este Anexo de Procesamiento de Datos3.1 Este Anexo de Procesamiento de Datos determina las condiciones del procesamiento por parte de Nitro de Datos Personales comunicados por o a iniciativa del Cliente en el contexto del Acuerdo. La naturaleza y el objetivo del procesamiento, una lista y el tipo de Datos Personales así como las categorías de los Sujetos de Datos se enumeran en los Detalles del Procesamiento de Datos (Anexo 1).
3.2 El procesamiento se llevará a cabo exclusivamente en beneficio del Cliente y para el propósito tal como lo define el Cliente en los Detalles del Procesamiento de Datos. Nitro deberá informar inmediatamente al Cliente si, a su juicio, alguna instrucción infringe la legislación de protección de datos aplicable. Nitro solo procesará los Datos Personales de acuerdo con las instrucciones documentadas del Cliente y no utilizará estos Datos Personales para su propio propósito, a menos que esté explícitamente permitido en los Términos de Servicio. Si Nitro tiene la obligación legal de proceder con cualquier procesamiento de Datos Personales, Nitro informará al Cliente de tal obligación, a menos que esto viole las reglas imperativas aplicables.
4. Duración
4.1 Este Anexo de Procesamiento de Datos es aplicable a todo procesamiento de Datos Personales ejecutado en el contexto de la provisión de los Servicios al Cliente por Nitro y se aplica mientras Nitro procese Datos Personales en nombre del Cliente en el contexto del Acuerdo. Este Anexo de Procesamiento de Datos complementa los Términos de Servicio de Nitro y está destinado a asegurar el cumplimiento de las Partes a los requerimientos impuestos por las leyes y regulaciones aplicables en materia de protección de datos para el uso de los Servicios por parte del Cliente.
4.2 Este Anexo de Procesamiento de Datos finaliza automáticamente al momento de la terminación del Acuerdo (o en el momento en que se termina el procesamiento por parte de Nitro). Las disposiciones de este Adenda de Procesamiento de Datos que están expresamente o implícitamente (dada su naturaleza) destinadas a tener efecto después de la terminación del Adenda de Procesamiento de Datos sobrevivirán al término del Acuerdo con respecto a los Datos Personales comunicados por o a iniciativa del Cliente en el contexto del Acuerdo.
5. Medidas Técnicas y Organizativas
5.1 Nitro ofrece garantías adecuadas con respecto a la implementación de medidas técnicas y organizativas apropiadas (“TOM”) para garantizar un procesamiento seguro de los datos personales y que así se garantice la protección de los derechos de los Sujetos de Datos. Las TOM implementadas por Nitro son las que se indican en los Detalles del Procesamiento de Datos. Las TOM pueden ser actualizadas por Nitro de vez en cuando, sin embargo, Nitro se asegurará de no degradar la seguridad general que ha implementado en el momento de la ejecución del Adenda de Procesamiento de Datos. El Cliente reconoce que las TOM son adecuadas para el procesamiento de sus Datos Personales en el momento de la firma o aceptación de este Anexo de Procesamiento de Datos.
5.2 Nitro tomará todas las medidas técnicas y organizativas apropiadas según lo mencionado en el artículo 32 del UK GDPR para garantizar un nivel adecuado de seguridad apropiado al riesgo.
5.3 Si el Cliente proporciona Datos Personales sensibles según lo mencionado en los artículos 9 y 10 del UK GDPR a Nitro en el contexto del Acuerdo, el Cliente notificará a Nitro por escrito a través de privacy@gonitro.com.
5.4 En caso de que el Cliente solicite medidas técnicas y organizativas específicas que deben ser implementadas por Nitro (las cuales Nitro no ha implementado por defecto), el Cliente reembolsará a Nitro por la implementación de tales medidas adicionales de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos.
5.5 La adhesión de Nitro a un código de conducta aprobado según lo mencionado en el artículo 40 del UK GDPR, o un mecanismo de certificación aprobado según lo mencionado en el artículo 42 del UK GDPR puede ser utilizado como un elemento de prueba de las garantías suficientes según lo mencionado en el UK GDPR.
6. Conservación
6.1 Nitro no mantendrá Datos Personales más tiempo del necesario para el procesamiento de dichos Datos Personales en el contexto del Acuerdo. El Cliente no instruirá a Nitro para almacenar Datos Personales más tiempo del necesario. El periodo de retención aplicable (como lo define el Cliente) se establece en los Detalles del Procesamiento de Datos.
6.2 A elección del Cliente, Nitro deberá eliminar o devolver todos los Datos Personales al Cliente tras la finalización de la provisión de Servicios y deberá eliminar las copias existentes a menos que la ley aplicable exija el almacenamiento de los Datos Personales. El Cliente reconoce que los Servicios pueden incluir funcionalidades de descarga a disposición del Cliente para permitirle descargar sus datos. En la medida en que tales funcionalidades estén disponibles, el Cliente deberá utilizar dichas funcionalidades para extraer o eliminar sus datos.
7. Confidencialidad
7.1 Las Partes han acordado una cláusula de confidencialidad en los Términos de Servicio que se aplica al procesamiento de Datos Personales en el contexto del Acuerdo.
7.2 Nitro reconoce y acepta que solo aquellos empleados, contratistas o agentes de Nitro que estén involucrados en el procesamiento de Datos Personales pueden ser informados sobre los Datos Personales y solo en la medida que sea razonablemente necesario para el cumplimiento del Acuerdo. Nitro asegura que las personas autorizadas para procesar los Datos Personales están comprometidas con la confidencialidad por contrato o están bajo una obligación legal apropiada de confidencialidad.
8. Derechos de los Sujetos de Datos
8.1 Teniendo en cuenta la naturaleza del procesamiento, Nitro hará todo lo posible, tomando las medidas técnicas y organizativas adecuadas, para ayudar al Cliente en el cumplimiento de su obligación de responder a las solicitudes de los Sujetos de Datos.
8.2 Por toda asistencia realizada por Nitro en el contexto del tratamiento de tales solicitudes de los Sujetos de Datos, el Cliente reembolsará a Nitro de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. El reembolso por parte del Cliente no se aplicará (i) en caso de que el Sujeto de Datos invoque sus derechos debido a una violación de Datos Personales demostrada como atribuible a Nitro o (ii) en caso de que dicha asistencia por parte de Nitro no exceda de cuatro (4) horas de trabajo durante el período del Acuerdo.
9. Deber de Notificar
9.1 Al tener conocimiento de una violación de Datos Personales, Nitro deberá notificar al Cliente sin demora indebida contactando a la persona de contacto indicada en el Acuerdo o el Formulario de Pedido pertinente (o alternativamente a través de la dirección de correo electrónico de notificación del Cliente o (si es aplicable) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal de administración como contacto de privacidad). La persona de contacto de Nitro para cualquier asunto relacionado con la protección de datos puede ser contactada por correo electrónico: privacy@gonitro.com.
9.2 A solicitud del Cliente, Nitro informará al Cliente de cualquier nuevo desarrollo con respecto a alguna Violación de Datos Personales y de las medidas adoptadas para limitar sus consecuencias y prevenir la repetición de dicha Violación de Datos Personales. Es responsabilidad del Cliente informar sobre cualquier Violación de Datos Personales a la Autoridad de Supervisión o a los Sujetos de Datos, según se requiera.
10. Subcontratación
10.1 El Cliente autoriza expresamente a Nitro a contratar Subprocesadores para el tratamiento de Datos Personales con el fin de cumplir con el Acuerdo y facilitar la provisión de los Servicios en general. En este sentido, el Cliente otorga una autorización escrita general a Nitro para decidir con qué(s) Subprocesador(es) Nitro colabora para el cumplimiento de sus obligaciones según el Acuerdo. Nitro publica una Lista de Subprocesadores que hace referencia a los Subprocesadores contratados por Nitro.
10.2 Nitro informará al Cliente de cualquier cambio previsto en relación con la adición o reemplazo de Subprocesadores contactando a la persona de contacto indicada en el Acuerdo o el Formulario de Pedido pertinente (o a través de la dirección de correo electrónico de notificación del Cliente o (si es aplicable) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal de administración como contacto de privacidad). El Cliente tendrá derecho a oponerse a la adición o reemplazo dirigiéndose a Nitro por escrito. Las Partes discutirán, en tal caso, la adición, el reemplazo o la alternativa de buena fe y tan pronto como sea razonablemente posible después de la notificación escrita de objeción del Cliente.
10.3 Cuando Nitro contrate a un Subprocesador para realizar actividades específicas de procesamiento, las mismas o similares obligaciones de protección de datos establecidas en este Anexo de Procesamiento de Datos deberán ser impuestas a ese Subprocesador mediante un acuerdo escrito, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas (y cumpliendo con las medidas técnicas y organizativas relevantes). Si un Subprocesador no cumple con sus obligaciones de protección de datos, Nitro seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de dicha obligación del Subprocesador.
11. Transferencias Internacionales de Datos
11.1 El Cliente reconoce que Nitro está establecido en los Estados Unidos de América, y por lo tanto autoriza las transferencias internacionales de datos personales con fines de provisión de los Servicios. Dicha transferencia internacional de datos se considera una instrucción del Cliente.
11.2 Si, en cualquier momento durante la duración de este Anexo de Procesamiento de Datos, (i) Nitro está certificado bajo la Extensión del Reino Unido del UE-EE.UU. Marco de Protección de Datos (también conocido como el ‘puente de datos’ del Reino Unido-EE.UU.) (“Marco”); y (ii) que este Marco constituye una decisión de adecuación válida a los efectos del artículo 45 del RGPD del Reino Unido, entonces las Partes reconocen que no se requieren garantías adecuadas en relación con las transferencias entre el Cliente y Nitro.
11.3 Cuando las condiciones establecidas en la Sección 11.2 no se apliquen, las Partes celebran las Cláusulas Contractuales Estándar del Reino Unido en la forma y manera que se establece en el Anexo 2 de este Anexo de Procesamiento de Datos, dichas Cláusulas Contractuales Estándar del Reino Unido siendo incorporadas y formando parte de este Anexo de Procesamiento de Datos.
11.4 El Cliente reconoce que los Subprocesadores autorizados bajo la cláusula 10 también pueden procesar Datos Personales en países terceros. El Cliente permite tales transferencias, sujeto a que Nitro tome todas las medidas necesarias para garantizar que dichas transferencias cumplan con las disposiciones del Capítulo V del RGPD del Reino Unido y otras leyes de protección de datos aplicables.
11.5 En caso de que la transferencia de Datos Personales a un país tercero o a una organización internacional sea obligatoria bajo la ley aplicable a la que Nitro está sujeto, se permitirá a Nitro realizar dicha transferencia y deberá informar al Cliente de ese requisito legal antes de dicho Procesamiento, a menos que dicha ley prohíba tal información por motivos importantes de interés público.
12. Evaluación de Impacto en la Protección de Datos y Consulta Previa
12.1 Si el Cliente realiza una Evaluación de Impacto en la Protección de Datos (“DPIA”) (artículo 35 del RGPD del Reino Unido) o consulta previa (artículo 36 del RGPD del Reino Unido) vinculada al tratamiento de Datos Personales en el contexto del cumplimiento del Acuerdo, Nitro deberá asistir razonablemente al Cliente brindando asistencia a solicitud escrita del Cliente. El Cliente reembolsará a Nitro por la asistencia proporcionada de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Dicho reembolso de costos no se aplicará en caso de que (i) la asistencia solicitada a Nitro sea inferior a cuatro (4) horas hábiles durante la duración del Acuerdo, o (ii) la DPIA o consulta previa sea activada por una Violación de Datos Personales demostrada como atribuible a Nitro.
13. Derecho de Auditoría
13.1 El Cliente tiene derecho a realizar auditorías sobre el cumplimiento por parte de Nitro de sus obligaciones bajo este Anexo de Procesamiento de Datos y la legislación aplicable en materia de protección de datos. Nitro hará esfuerzos razonables para cooperar con dichas auditorías y para poner a disposición toda la información necesaria para demostrar su cumplimiento con su obligación. El Cliente deberá notificar a Nitro sobre dicha auditoría al menos un (1) mes antes de la fecha en que se realizará la auditoría, mediante aviso escrito a Nitro a través de privacy@gonitro.com.
13.2 En caso de que se realice una auditoría, todas las partes involucradas deberán firmar primero un acuerdo específico de no divulgación emitido por Nitro con respecto a dicha auditoría y los resultados de la auditoría antes del inicio de la auditoría. Al realizar cualquier auditoría, se deberá tener en cuenta las obligaciones de confidencialidad de las Partes con respecto a terceros. Tanto las Partes como sus auditores deben mantener en secreto la información recopilada en relación con una auditoría y usarla exclusivamente para verificar su cumplimiento con este Anexo de Procesamiento de Datos y las leyes y regulaciones aplicables en materia de protección de datos. El Cliente tiene la opción de realizar la auditoría él mismo o de asignar un auditor independiente; sin embargo, dicho auditor independiente deberá firmar debidamente el acuerdo de no divulgación mencionado en esta Sección.
13.3 Ambas Partes y, cuando sea aplicable, sus representantes, deberán cooperar razonablemente, a solicitud, con la Autoridad de Supervisión en el cumplimiento de sus tareas.
13.4 El Cliente reembolsará a Nitro por la asistencia proporcionada por Nitro en relación con la(s) auditoría(s) de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Entiéndase que dicho reembolso no se aplicará en caso de que (i) la auditoría sea resultado de una Violación de Datos Personales probada como atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no exceda de cuatro (4) horas hábiles durante la duración del Acuerdo.
14. Costos
14.1 La asistencia a realizar bajo este Anexo de Procesamiento de Datos por la cual Nitro puede cobrar al Cliente, se cobrará sobre la base de las horas trabajadas y las tarifas horarias estándar aplicables de Nitro (295 USD/hora, impuestos excluidos). Nitro facturará estos montos mensualmente, pero también tiene el derecho de solicitar una tarifa de retención por adelantado.
14.2 El pago por parte del Cliente a Nitro por la asistencia y los servicios profesionales proporcionados por Nitro bajo este Anexo de Procesamiento de Datos se realizará de acuerdo con las disposiciones de los Términos del Servicio.
15. Responsabilidad
15.1 Con sujeción a la máxima extensión permitida por la ley aplicable, las disposiciones de los Términos del Servicio relativas a la limitación de la responsabilidad también se aplican a este Anexo de Procesamiento de Datos y a los daños derivados de él. Diversos
16.1 Las disposiciones de los Términos del Servicio relativas a cambios, la totalidad del acuerdo, divisibilidad, ley aplicable y tribunales competentes son aplicables a este Anexo de Procesamiento de Datos. En caso de discrepancias o contradicciones entre este Anexo de Procesamiento de Datos y las Cláusulas Contractuales Estándar del Reino Unido, si corresponde, las Cláusulas Contractuales Estándar del Reino Unido prevalecerán.
Anexo 1 - Detalles del Procesamiento de Datos
A. LISTA DE PARTES
1. EXPORTADOR(ES) DE DATOS
Nombre: Cliente, tal como se identifica en el Acuerdo y en el Formulario de Pedido correspondiente.
Dirección: La dirección del exportador de datos está establecida en el Acuerdo y en el Formulario de Pedido correspondiente.
Nombre, puesto y detalles de contacto de la persona de contacto: Los detalles de contacto de la persona de contacto para el exportador de datos están establecidos. en el Acuerdo, el Formulario de Pedido correspondiente (y si corresponde, el portal administrativo del Cliente).
Actividades relevantes para los datos transferidos: Las actividades que son relevantes para los datos transferidos bajo estas Cláusulas Contractuales Estándar del Reino Unido son descritas a continuación en la Sección B “Descripción del procesamiento/transferencia”.
Firma y fecha: Al firmar o aceptar el Formulario de Pedido correspondiente, se considerará que el exportador de datos ha firmado este Anexo I.
Rol (controlador/procesador): Controlador
2. IMPORTADOR(ES) DE DATOS
Nombre: Nitro Software Inc.
Dirección: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.
Nombre, cargo y datos de contacto de la persona responsable: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.
Actividades relevantes para los datos transferidos: Las actividades que son relevantes para los datos transferidos bajo estas Cláusulas Contractuales Estándar del Reino Unido están descritas a continuación en la Sección B “Descripción del procesamiento/transferencia”.
Firma y fecha: Al firmar o aceptar el Formulario de Pedido relevante, se considerará que el importador de datos ha firmado este Anexo I.
Rol (responsable/encargado): Encargado
B. DESCRIPCIÓN DEL PROCESAMIENTO/TRANSFERENCIA
1. TEMA DEL PROCESAMIENTO DE LOS DATOS PERSONALES
El tema es determinado por el Cliente según se establece en el Acuerdo y el Formulario de Pedido relevante.
2. LA NATURALEZA Y OBJETIVO DEL PROCESAMIENTO DE LOS DATOS PERSONALES
La naturaleza y el propósito del procesamiento son determinados por el Cliente según se establece en el Acuerdo y el Formulario de Pedido relevante.
Por defecto, dicho procesamiento tendrá como propósito poner a disposición los Servicios incluyendo todas sus características y funcionalidades al Cliente y sus Usuarios y más en general permitir a Nitro cumplir con sus obligaciones contractuales según el Acuerdo. Dicha finalidad puede ser poner a disposición los Servicios en la Nube (por ejemplo, pero sin limitarse a, poner a disposición el portal en la nube del cliente, servicios de firma electrónica, servicios de analítica, etc.) así como la provisión de Soporte.
La naturaleza del procesamiento incluirá, entre otras instrucciones dadas por el Cliente en el Acuerdo y el Formulario de Pedido relevante, el procesamiento, recopilación, almacenamiento, comunicación y transferencia de Datos Personales.
3. DATOS PERSONALES PROCESADOS
Dependiendo de las funcionalidades utilizadas dentro de los Servicios (por ejemplo, portal de administración, servicios de firma electrónica, servicios de analítica, etc.) y el contenido de los Datos del Cliente cargados por el Cliente y sus Usuarios en los Servicios, Nitro procesa diferentes tipos de Datos Personales.
En general, los Datos Personales procesados por Nitro incluyen sin limitarse a:
- Detalles de identificación (por ejemplo, detalles de Usuario y de uso)
- Datos documentales (por ejemplo, Datos Personales incluidos en documentos PDF procesados)
Una visión general detallada del tipo de Datos Personales que se procesan al utilizar los Servicios está disponible a través del Centro de Confianza de Nitro: Procesamiento de Datos Personales
4. DATOS SENSIBLES
El exportador de datos puede incluir Datos Personales sensibles en los datos personales de acuerdo con la Sección 5.3 de este Anexo de Procesamiento de Datos. Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, tales como, por ejemplo, una estricta limitación de propósito, restricciones de acceso (incluyendo acceso solo para personal que ha seguido una capacitación especializada), mantener un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales: se hace referencia a los TOM como se enumeran o hacen referencia en los Detalles del Procesamiento de Datos a continuación.
5. CATEGORÍA DE SUJETOS DE DATOS
Las siguientes categorías de Sujetos de Datos están por defecto en el alcance:
- Todos los Usuarios que tienen acceso a los Servicios (lo que incluye a usuarios administradores, usuarios generales o usuarios invitados como signatarios).
- Todos los Sujetos de Datos incluidos en los Datos del Cliente cargados en los Servicios por el Cliente o sus Usuarios.
El Cliente confirma que esos Sujetos de Datos serán por defecto considerados como una de las siguientes categorías:
- Personal del Cliente
- Clientes del Cliente
- Posibles clientes del Cliente
- Proveedores del Cliente
6. SOCIOS DE PROCESO
Nitro contrata Sub-procesadores para asegurar que todas las funcionalidades estén disponibles dentro de los Servicios. Qué Sub-procesadores son aplicables depende del uso de los Servicios y las funcionalidades y configuraciones solicitadas por el Cliente. Una lista detallada de los Sub-procesadores comprometidos por Nitro (incluyendo el procedimiento que aplicamos al contratar nuevos Sub-procesadores) está disponible a través de nuestro Centro de Confianza: Sub-procesadores y Subcontratistas
7. MEDIDAS TÉCNICAS Y ORGANIZATIVAS (TOM)
Nitro implementa medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada al utilizar los Servicios. Estamos actualizando continuamente tales medidas. Una visión general detallada de las medidas tomadas está disponible a través de nuestro Centro de Confianza en nuestra sección de Seguridad: Seguridad de la información y en nuestra Política de Seguridad de la Información. Nuestro Centro de Confianza también enumera las certificaciones que Nitro posee en la sección de Cumplimiento: Cumplimiento.
8. PERÍODO DE CONSERVACIÓN
Nitro no almacenará Datos Personales más tiempo del necesario para la provisión de los Servicios. Dependiendo de los Servicios y las funcionalidades que usted esté utilizando como Cliente, los períodos de conservación aplicables pueden diferir. Cada Cliente puede solicitar a Nitro que configure períodos de conservación específicos en su entorno (en la medida en que esto sea técnicamente factible).
En caso de que no se hubieran configurado períodos de conservación específicos, los Datos Personales serán, por defecto, almacenados por Nitro hasta que sean eliminados por el Cliente o hasta la terminación del Acuerdo entre Nitro y el Cliente (más un máximo de 30 días), según cuál de ambas situaciones ocurra primero. Una visión general detallada de los períodos de conservación está disponible a través de nuestro Centro de Confianza: Procesamiento de Datos Personales
9. FRECUENCIA DE TRANSFERENCIAS INTERNACIONALES
De manera continua, según sea necesario para proporcionar los Servicios al Cliente.
Anexo 2 - Cláusulas Contractuales Estándar del Reino Unido
Adenda de Transferencia de Datos Internacionales a las Cláusulas Contractuales Estándar de la Comisión de la UE
VERSIÓN B1.0, en vigor desde el 21 de marzo de 2022
Esta Adenda ha sido emitida por el Comisionado de Información para las Partes que realizan Transferencias Restringidas. El Comisionado de Información considera que proporciona Salvaguardias Apropiadas para Transferencias Restringidas cuando se establece como un contrato vinculante legalmente.
Parte 1: Tablas
Tabla 1: Partes
Fecha de inicio | La fecha del Anexo de Procesamiento de Datos | |
Las Partes |
Exportador (quien envía la Transferencia Restringida) Cliente |
Importador (quien recibe la Transferencia Restringida) Nitro |
Detalles de las Partes |
Nombre legal completo: Cliente, como se identifica en el Acuerdo y el Formulario de Pedido relevante. Nombre comercial (si es diferente): Dirección principal (si es una dirección registrada de la empresa): La dirección del exportador de datos se indica en el Acuerdo y el Formulario de Pedido relevante. Número de registro oficial (si existe) (número de empresa o identificador similar): Como se identifica en el Acuerdo y el Formulario de Pedido relevante, o de otro modo N/A |
Nombre legal completo: Nitro Software Inc. Nombre comercial (si es diferente): Dirección principal (si es una dirección registrada de la empresa): 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos. Número de registro oficial (si existe) (número de empresa o identificador similar): N/A |
Contacto clave |
Nombre completo (opcional): El nombre completo de la persona de contacto para el exportador de datos se indica en el Acuerdo y el Formulario de Pedido relevante. Título del trabajo: El título del trabajo de la persona de contacto para el exportador de datos se indica en el Acuerdo y el Formulario de Pedido relevante. Datos de contacto, incluyendo correo electrónico: Los datos de contacto de la persona de contacto para el exportador de datos se indican en el Acuerdo y el Formulario de Pedido relevante. |
privacy@gonitro.com Nitro Software Inc. |
Firma (si se requiere para los fines de la Sección 2) | No requerido – este Anexo 2 forma parte de e está incorporado en el Anexo de Procesamiento de Datos. | No requerido – este Anexo 2 forma parte de e está incorporado en el Anexo de Procesamiento de Datos. |
Tabla 2: SCC seleccionados, módulos y cláusulas seleccionadas
Addendum SCC de la UE |
La versión de los SCC de la UE aprobados a la que se anexa este Addendum, detallada a continuación, incluida la Información del Apéndice: 26. Fecha: las SCC de la UE aprobadas, incluyendo la Información del Apéndice y con únicamente los siguientes módulos, cláusulas o disposiciones opcionales de las SCC de la UE aprobadas en vigor para los fines de este Addendum: |
|||||
Módulo | Módulo en operación | Cláusula 7 (Cláusula de Acoplamiento) | Cláusula 11 (Opción) | Cláusula 9a (Autorización Previa de la Autorización General) | Cláusula 9a (Período de Tiempo) | ¿Se combinan los datos personales recibidos del Importador con los datos personales recopilados por el Exportador? |
1 | ||||||
2 |
X |
N/A |
N/A |
Autorización General |
30 días |
No |
3 | ||||||
4 |
Tabla 3: Información del Apéndice
“Información del Apéndice” significa la información que debe ser proporcionada para los módulos seleccionados según lo establecido en el Apéndice de las SCC de la UE aprobadas (que no sean las Partes) y que para este Addendum se establece en:
Anexo 1A: Lista de Partes: Ver Tabla 1 arriba. |
Anexo 1B: Descripción de la Transferencia: Ver Anexo 1 de este Addendum de Procesamiento de Datos. |
Anexo II: Medidas técnicas y organizativas incluyendo medidas técnicas y organizativas para asegurar la seguridad de los datos: Ver cláusula 5 de este Addendum de Procesamiento de Datos. |
Anexo III: Lista de Subprocesadores (Módulos 2 y 3 únicamente): Ver cláusula 10.1 de este Addendum de Procesamiento de Datos. |
Tabla 4: Terminación de este Addendum cuando cambian el Addendum Aprobado
Terminación de este Addendum cuando cambia el Addendum Aprobado | Qué Partes pueden terminar este Addendum según lo establecido en la Sección 19: Importador Exportador ninguna Parte |
Parte 2: Cláusulas Obligatorias
Entrar en este Addendum
- Cada Parte acepta estar obligada por los términos y condiciones establecidos en este Addendum, a cambio de que la otra Parte también acepte estar obligada por este Addendum.
- Aunque el Anexo 1A y la Cláusula 7 de las SCC de la UE aprobadas requieren firma por las Partes, para el propósito de realizar Transferencias Restringidas, las Partes pueden entrar en este Addendum de cualquier manera que las haga legalmente vinculantes para las Partes y permita a los sujetos de datos hacer valer sus derechos según lo establecido en este Addendum. Entrar en este Addendum tendrá el mismo efecto que firmar las SCC de la UE aprobadas y cualquier parte de las SCC de la UE aprobadas.
Interpretación de este Addendum
3. Cuando este Addendum utiliza términos que están definidos en las SCC de la UE aprobadas, esos términos tendrán el mismo significado que en las SCC de la UE aprobadas. Además, los siguientes términos tienen los siguientes significados:
Addendum | Este Addendum de Transferencia Internacional de Datos que se compone de este Addendum incorporando las SCC de la UE. |
Información del Apéndice de las SCC de la UE |
La(s) versión(es) de las SCC de la UE aprobadas a las que se añade este Addendum, como se establece en la Tabla 2, incluyendo la Información del Apéndice. Como se establece en la Tabla 3. |
Salvaguardias Apropiadas | El estándar de protección sobre los datos personales y los derechos de los sujetos de datos, que es exigido por las Leyes de Protección de Datos del Reino Unido cuando se realiza una Transferencia Restringida confiando en cláusulas de protección de datos estándar bajo el artículo 46(2)(d) del GDPR del Reino Unido. |
Addendum Aprobado | El modelo de Addendum emitido por el ICO y presentado al Parlamento de acuerdo con el sec.119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa bajo la Sección 18. |
SCC de la UE Aprobadas | Las Cláusulas Contractuales Estándar establecidas en el Anexo de la Decisión de Ejecución de la Comisión (UE) 2021/914 del 4 de junio de 2021. |
ICO | El Comisionado de Información. |
Transferencia Restringida | Una transferencia que está cubierta por el Capítulo V del GDPR del Reino Unido. |
Reino Unido | El Reino Unido de Gran Bretaña e Irlanda del Norte. |
Leyes de Protección de Datos del Reino Unido | Todas las leyes relacionadas con la protección de datos, el procesamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes de vez en cuando en el Reino Unido, incluyendo el GDPR del Reino Unido y la Ley de Protección de Datos de 2018. |
GDPR del Reino Unido | Como se define en la sección 3 de la Ley de Protección de Datos de 2018. |
4. Este Addendum siempre debe interpretarse de manera que sea consistente con las Leyes de Protección de Datos del Reino Unido y que cumpla con la obligación de las Partes de proporcionar las Salvaguardias Apropiadas.
5. Si las disposiciones incluidas en las SCC de la UE aprobadas enmiendan las SCC aprobadas de cualquier manera que no esté permitida bajo las SCC de la UE aprobadas o el Addendum Aprobado, tales enmiendas no se incorporarán en este Addendum y la disposición equivalente de las SCC de la UE aprobadas tomará su lugar.
6. Si hay alguna inconsistencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y este Addendum, se aplican las Leyes de Protección de Datos del Reino Unido.
7. Si el significado de este Addendum no está claro o hay más de un significado, se aplicará el significado que más se alinee con las Leyes de Protección de Datos del Reino Unido.
8. Cualquier referencia a legislación (o disposiciones específicas de legislación) significa que la legislación (o disposición específica) tal cual puede cambiar con el tiempo. Esto incluye cuando esa legislación (o disposición específica) ha sido consolidada, reenactada y/o reemplazada después de que se haya celebrado este Addendum.
Jerarquía
9. Aunque la Cláusula 5 de las SCC de la UE aprobadas establece que las SCC de la UE aprobadas prevalecen sobre todos los acuerdos relacionados entre las Partes, las Partes acuerdan que, para Transferencias Restringidas, la jerarquía en la Sección 10 prevalecerá.
10. Donde hay alguna inconsistencia o conflicto entre el Addendum Aprobado y las SCC de la UE (según corresponda), el Addendum Aprobado reemplaza las SCC de la UE, excepto donde (y en la medida en que) los términos inconsistentes o conflictivos de las SCC de la UE proporcionen una mayor protección para los sujetos de datos, en cuyo caso esos términos reemplazarán el Addendum Aprobado.
11. Cuando este Addendum incorpora las SCC de la UE que se han celebrado para proteger las transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679, las Partes reconocen que nada en este Addendum afecta esas SCC de la UE.
Incorporación de y cambios a las SCC de la UE
12. Este Addendum incorpora las SCC de la UE que se modifican en la medida necesaria para que:
- conjuntamente funcionen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar esa transferencia de datos, y proporcionen Salvaguardias Apropiadas para esas transferencias de datos;
- las Secciones 9 a 11 prevalezcan sobre la Cláusula 5 (Jerarquía) de las SCC de la UE; y
- este Addendum (incluyendo las SCC de la UE incorporadas en él) está (1) regido por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja de él se resuelva por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.
13. A menos que las Partes hayan acordado enmiendas alternativas que cumplan con los requisitos de la Sección 12, las disposiciones de la Sección 15 se aplicarán.
14. No se pueden realizar enmiendas a las SCC de la UE aprobadas, distinta de las que cumplen con los requisitos de la Sección 12.
15. Las siguientes enmiendas al Anexo de SCC de la UE (para los fines de la Sección 12) se realizan:
- Las referencias a las “Cláusulas” significan este Anexo, incorporando el Anexo de SCC de la UE;
- En la Cláusula 2, elimine las palabras:
“y, con respecto a las transferencias de datos de los controladores a los procesadores y/o de los procesadores a los procesadores, cláusulas contractuales estándar de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679”; - La Cláusula 6 (Descripción de la(s) transferencia(s)) se reemplaza por:
“Los detalles de la(s) transferencia(s) y en particular las categorías de datos personales que son transferidos y el/los propósito(s) para el/los que son transferidos son los especificados en el Anexo I.B donde las Leyes de Protección de Datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar dicha transferencia.”; - La Cláusula 8.7(i) del Módulo 1 se reemplaza por:
“se trata de un país que se beneficia de regulaciones de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior”; - La Cláusula 8.8(i) de los Módulos 2 y 3 se reemplaza por:
“la transferencia posterior es a un país que se beneficia de regulaciones de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior;” - Las referencias a “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en relación con el tratamiento de datos personales y sobre la libre circulación de tales datos (Reglamento General de Protección de Datos)” y “ese Reglamento” son todas reemplazadas por “Leyes de Protección de Datos del Reino Unido”. Las referencias a artículos específicos del “Reglamento (UE) 2016/679” se reemplazan por el artículo o sección equivalente de las Leyes de Protección de Datos del Reino Unido;
- Las referencias al Reglamento (UE) 2018/1725 son eliminadas;
- Las referencias a la “Unión Europea”, “Unión”, “UE”, “Estado miembro de la UE”, “Estado miembro” y “UE o Estado miembro” son todas reemplazadas por el “Reino Unido”;
- La referencia a “Cláusula 12(c)(i)” en la Cláusula 10(b)(i) del Módulo uno, se reemplaza por “Cláusula 11(c)(i)”;
- La Cláusula 13(a) y la Parte C del Anexo I no son usadas;
- La “autoridad de supervisión competente” y “autoridad de supervisión” son ambas reemplazadas por el “Comisionado de Información”;
- En la Cláusula 16(e), el inciso (i) se reemplaza por:
“el Secretario de Estado realiza regulaciones de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;”; - La Cláusula 17 se reemplaza por:
“Estas Cláusulas se rigen por las leyes de Inglaterra y Gales.”; - La Cláusula 18 se reemplaza por:
“Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado también puede presentar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país en el Reino Unido. Las Partes acuerdan someterse a la jurisdicción de tales tribunales.”; y - Las notas al pie de página de los SCC de la UE aprobados no forman parte del Anexo, excepto por las notas al pie 8, 9, 10 y 11.
Enmiendas a este Anexo
- Las Partes pueden acordar cambiar las Cláusulas 17 y/o 18 del Anexo de SCC de la UE para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.
- Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo Aprobado, pueden hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Salvaguardias Apropiadas.
- De vez en cuando, la ICO puede emitir un Anexo Aprobado revisado que:
- realiza cambios razonables y proporcionales al Anexo Aprobado, incluyendo la corrección de errores en el Anexo Aprobado; y/o
- refleja cambios en las Leyes de Protección de Datos del Reino Unido;
- El Anexo Aprobado revisado especificará la fecha de inicio a partir de la cual los cambios al Anexo Aprobado son efectivos y si las Partes necesitan revisar este Anexo incluyendo la Información del Apéndice. Este Anexo se modifica automáticamente como se establece en el Anexo Aprobado revisado a partir de la fecha de inicio especificada.
- Si la ICO emite un Anexo Aprobado revisado bajo la Sección 18, si alguna Parte seleccionada en la Tabla 4 “Terminando el Anexo cuando el Anexo Aprobado cambia”, tendrá como resultado directo de los cambios en el Anexo Aprobado un aumento sustancial, desproporcionado y demostrable en:
- sus costos directos para cumplir con sus obligaciones bajo el Anexo; y/o
- su riesgo bajo el Anexo,
y en cualquiera de los dos casos, primero haya tomado medidas razonables para reducir esos costos o riesgos de modo que no sean sustanciales y desproporcionados, entonces esa Parte puede finalizar este Anexo al final de un período de aviso razonable, proporcionando un aviso por escrito por ese período a la otra Parte antes de la fecha de inicio del Anexo Aprobado revisado.
- Las Partes no necesitan el consentimiento de ningún tercero para realizar cambios a este Anexo, pero cualquier cambio debe realizarse de acuerdo con sus términos.