Apéndice sobre el Tratamiento de Datos (DPA)

Firmar la versión en línea

Este Apéndice sobre el Procesamiento de Datos (“DPA”) se incorpora por referencia a las Condiciones del Servicio de monday.com disponible en  www.monday.com/terms/tos u otro acuerdo que rija el uso de los servicios de monday.com (“Acuerdo”) suscrito por usted, el Cliente (según lo definido en el Acuerdo) (en conjunto, “usted”, “su”, “Cliente”), y monday.com Ltd. (“ monday.com”, “nos”, “nosotros”, “nuestro(a)”) para reflejar el acuerdo de las partes en relación con el Procesamiento de Datos Personales por parte de monday.com únicamente en nombre del Cliente. Ambas partes se denominarán las “Partes” y cada una, una “Parte”.

Los términos en mayúsculas no definidos en el presente tendrán los significados asignados a dichos términos en el Acuerdo.

Al usar los Servicios, el Cliente acepta este DPA, y usted declara y garantiza que tiene capacidad plena para obligar al Cliente en virtud de este DPA. Si no pudiera cumplir este DPA y estar obligado por él o si no está de acuerdo con el DPA o no tiene la capacidad para obligar al Cliente o a cualquier otra entidad, no nos proporcione Datos Personales.

En caso de conflicto entre determinadas disposiciones de este DPA y las disposiciones del Acuerdo, las disposiciones de este DPA prevalecerán sobre todas las demás disposiciones en conflicto del Acuerdo solo en relación con el Tratamiento de Datos Personales.

1. DEFINICIONES

(a) “Afiliado” hace referencia a cualquier entidad que directa o indirectamente controla la entidad en cuestión, o está controlada por ella o está bajo control común con ella. “Control”, a los efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses de votación de la entidad en cuestión.

(b) “Afiliado autorizado” hace referencia a cualquiera de los Afiliados del Cliente que tenga permiso explícito para usar los Servicios de conformidad con el Acuerdo celebrado entre el Cliente y monday.com, pero que no ha firmado su propio acuerdo con monday.com y no es un “Cliente” según se define en el Acuerdo.

(c) “CCPA” hace referencia a la Ley de Privacidad del Consumidor de California de 2018, artículos 1798.100 et. seq. del Cód. Civ. de California y su reglamentación, según se enmiende oportunamente.

(d) Los términos “Controlador”, “Estado Miembro”, “Procesador”, “Procesamiento” y “Autoridad Supervisora” tendrán el mismo significado que en el RGPD. Los términos “Negocio”, “Fin Comercial”, “Consumidor” y “Proveedor de Servicios” tendrán el mismo significado que en la CCPA.

Para mayor claridad dentro de este DPA, “Controlador” también significará “Negocio” y “Procesador” también significará “Proveedor de Servicios”, en la medida en que aplique la CCPA. De la misma manera, el Subprocesador del Procesador también se referirá al concepto de Proveedor de Servicios.

(e) “Leyes de Protección de Datos” hace referencia a todas las leyes y los reglamentos de privacidad y protección de datos aplicables y vinculantes, incluidas las leyes y los reglamentos de la Unión Europea, el Espacio Económico Europeo y sus Estados Miembro, Suiza, el Reino Unido, Canadá, Israel y los Estados Unidos de América, incluido el RGPD, el RGPD del RU y la CCPA, aplicable y vigente al Procesamiento de Datos Personales en virtud del Acuerdo.

(f) “Sujeto de Datos” hace referencia a la persona identificada o identificable con quien se relacionan los Datos Personales.

(g) “RGPD” hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos.

(h) “Datos Personales” o “Información Personal” hace referencia a toda información que identifique, se relacione con, describa, sea capaz de asociarse o pueda razonablemente vincularse, directa o indirectamente, a una persona física identificada o identificable o un Consumidor, procesada por monday.com solo en nombre del Cliente en virtud de este DPA y el Acuerdo.

(i) “Servicios” se refiere a la plataforma del sistema operativo de trabajo basada en la nube (la “Plataforma”) y cualquier otro servicio que monday.com proporcione al Cliente en virtud del Acuerdo.

(j) “Documentación de Seguridad” hace referencia a la documentación de seguridad, actualizada oportunamente y que establece las medidas técnicas y organizativas adoptadas por monday.com que son aplicables al Procesamiento de Datos Personales por parte de monday.com en virtud de este Acuerdo y este DPA, disponible en  www.monday.com/trustcenter/datasecure o que monday.com ponga a disposición del Cliente de cualquier otra forma.

(k) “Datos Sensibles” hace referencia a los Datos Personales protegidos en virtud de una legislación especial y que requieren un tratamiento exclusivo, como “categorías especiales de datos”, “datos sensibles” u otros términos similares en virtud de las Leyes de Protección de Datos aplicables, incluidos los siguientes: (a) número del seguro social, número de identificación fiscal, número de pasaporte, número de licencia de conducir u otro dato (o parte de este) que sirva para identificar a una persona; (b) información financiera o crediticia, número de tarjeta de crédito o débito; (c) información que revele origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, membresía a sindicatos, datos genéticos o biométricos exclusivos para identificar a un individuo, datos sobre la salud de una persona, su vida sexual u orientación sexual, o datos relacionados con antecedentes penales y delitos; (d) Datos Personales sobre niños; y/o (e) contraseñas de cuentas en forma decodificada.

(l) “Cláusulas Contractuales Estándar” se refiere (a) respecto de las transferencias de Datos Personales sujetas al RGPD, las Cláusulas Contractuales Estándar entre los controladores y los procesadores (disponibles aquí), y entre los procesadores y los procesadores (disponibles aquí), aprobadas por la Decisión de Implementación de la Comisión Europea (UE) 2021/914 del 4 de junio de 2021, incluidos los anexos I, II y V, (“SCC de la UE”); (b) respecto de las transferencias de Datos Personales sujetas al RGPD del RU, el Apéndice sobre Transferencias de Datos Internacionales de las Cláusulas Contractuales Estándar de la Comisión de la UE del 21 de marzo de 2022 (versión B.1.0), que se incorporó a las SCC de la UE mediante el Anexo III (“Apéndice de las SCC del RU”); y (c) respecto de las transferencias sujetas a la Ley Federal sobre Protección de Datos (FADP – revisada el 25 de septiembre de 2020), los términos establecidos en el Anexo IV de las SCC de la UE (“Apéndice de las SCC de Suiza”).

(m) “Subprocesador” hace referencia a todo tercero que procese Datos Personales según las instrucciones de monday.com.

“(n) “RGPD del RU” hace referencia a la Ley de Protección de Datos de 2018 y al RGPD, ya que forma parte de la legislación de Inglaterra, Gales, Escocia e Irlanda del Norte de conformidad con el artículo 3 de la Ley de la Unión Europea del 2018 (Retirada), con las enmiendas en virtud de los Reglamentos sobre Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 (SI 2019/419).

2. PROCESAMIENTO DE DATOS PERSONALES

2.1 Responsabilidades de las Partes. Las Partes reconocen y aceptan que, respecto del Procesamiento de Datos Personales exclusivamente por parte de monday.com en representación del Cliente: (a) el Cliente es el Controlador de los Datos Personales y (b) monday.com es el Procesador de dichos Datos Personales. Los términos “Controlador” y “Procesador” a continuación hacen referencia al Cliente y a monday.com, respectivamente.

2.2  Obligaciones del Cliente. El Cliente, al utilizar los Servicios, y las instrucciones del Cliente para el Procesador, cumplirán con las Leyes de Protección de Datos, el Acuerdo y este DPA. El Cliente establecerá y tendrá todos y cada uno de los motivos legales necesarios para recopilar, procesar y transferir al Procesador los Datos Personales, y para autorizar las actividades de Procesamiento del Procesador en nombre del Cliente de conformidad con el Acuerdo y este DPA, incluido el Fin Comercial perseguido.

2.3  Procesamiento de los Datos Personales por parte del Procesador. El Procesador procesará los Datos Personales para los siguientes fines: (a) de conformidad con el Acuerdo y este DPA; (b) en relación con su prestación de los Servicios; (c) para cumplir las instrucciones razonables y documentadas del Cliente, cuando dichas instrucciones sean coherentes con los términos del Acuerdo y este DPA, y con respecto a cómo se ejecutará el Procesamiento; y (d) según lo exigido por las leyes aplicables al Procesador y/o según lo requiera un tribunal competente u otra autoridad gubernamental o semigubernamental, siempre que el Procesador informe al Cliente sobre el requisito legal antes del Procesamiento, salvo que la ley prohíba divulgar dicha información.

El Procesador deberá informar al Cliente sin demora injustificada si, en la opinión razonable del Procesador, una instrucción para el Procesamiento de Datos Personales dada por el Cliente infringe las Leyes de Protección de Datos aplicables, salvo que el Procesador tenga prohibido notificar al Cliente en virtud de las Leyes de Protección de Datos aplicables. Queda aclarado por el presente que el Procesador no tiene la obligación de evaluar si las instrucciones del Cliente infringen alguna disposición de las Leyes de Protección de Datos.

2.4  Detalles del Procesamiento. El objeto del Procesamiento de Datos Personales por el Procesador es la prestación de los Servicios de conformidad con el Acuerdo y este DPA. Los detalles sobre la duración del Procesamiento, la naturaleza y el propósito de este, los tipos de Datos Personales y las categorías de los Sujetos de Datos procesadas en virtud de este DPA se especifican en el Anexo 1 (Detalles del Procesamiento) de este DPA.

2.5  Datos Sensibles. Las Partes aceptan que los Servicios no están diseñados para el Procesamiento de Datos Sensibles y que, si el Cliente desea usar los Servicios para procesar Datos Sensibles, debe obtener primero el consentimiento explícito y por escrito de monday.com y celebrar los acuerdos adicionales necesarios según lo requiera monday.com.

2.6  Estándar de Cuidado de la CCPA; No venta de Información Personal. El Procesador reconoce y confirma que no recibe ni procesa ninguna Información Personal como contraprestación por los servicios u otros elementos que el Procesador proporciona al Cliente en virtud del Acuerdo y de este DPA. El Procesador no tendrá, derivará ni ejercerá ningún derecho o beneficio con respecto a la Información Personal procesada en nombre del Cliente, ni podrá combinar la Información Personal enviada a la Plataforma y procesada en nombre del Cliente con ninguna información que procese en nombre de otra parte, para hacer una separación lógica, y podrá utilizar y divulgar Información Personal solo para los fines para los que se le proporcionó dicha Información Personal, según se estipula en el Acuerdo y en este DPA. El Procesador certifica que comprende las reglas, los requisitos y las definiciones de la CCPA – en instancias donde el Procesador califique como Prestador del Servicio según se define en la CCPA – y acepta abstenerse de vender y/o compartir (según se definen dichos términos en la CCPA)ninguna Información Personal procesada en virtud del presente sin el consentimiento previo y por escrito del Cliente, ni tomar ninguna acción que pueda hacer que una transferencia de Información Personal al Procesador o desde este según el Acuerdo o este DPA califique como que se “vendió” o “compartió” dicha Información Personal en virtud de la CCPA.

3. SOLICITUDES DE LOS SUJETOS DE DATOS

El Procesador deberá notificar al Cliente o remitir al Sujeto de Datos o el Consumidor al Cliente, según sea el caso, si el Procesador recibe una solicitud de un Sujeto de Datos o Consumidor para ejercer sus derechos (en la medida en que sea posible según las Leyes de Protección de Datos aplicables) de acceso, derecho de rectificación, restricción del Procesamiento, eliminación, portabilidad de datos, objeción al Procesamiento, su derecho a no estar sujeto a una toma de decisiones individual automatizada, optar por no participar de la venta de Información Personal, o el derecho a no ser discriminado (“Solicitud del Sujeto de Datos”). Según la naturaleza del Procesamiento, el Procesador asistirá al Cliente, en la medida de lo posible y razonable, para habilitar al Cliente a responder a una Solicitud del Sujeto de Datos. El Procesador puede remitir a los Sujetos de Datos o Consumidores al Administrador del Cliente – para que procese dicha solicitud o les indique cómo usar las funciones que pueden usar por sí mismos que están disponibles dentro de la Plataforma.

4. CONFIDENCIALIDAD

El Procesador se asegurará de que su personal y sus contratistas involucrados en el Procesamiento de Datos Personales se comprometa con la confidencialidad o estén sujetos de otra manera a una obligación legal de confidencialidad.

5. SUBPROCESADORES

5.1 Designación de Subprocesadores.
El Cliente reconoce y acepta que (a) los Afiliados del Procesador pueden estar involucrados como Subprocesadores; y (b) el Procesador y los Afiliados del Procesador pueden involucrar Subprocesadores externos en relación con la prestación de los Servicios.

5.2  Lista de Subprocesadores Actuales y Notificación de Subprocesadores Nuevos.

5.2.1  A partir de la Fecha de Entrada en Vigencia, el Cliente por el presente otorga al Procesador autorización general por escrito para involucrarse con los Subprocesadores que se indican en www.monday.com/terms/subprocessors (“Página de Subprocesadores”), que son los que usa actualmente el Procesador para procesar los Datos Personales.

5.2.2     La Página de Subprocesadores ofrece un mecanismo para suscribirse a notificaciones si se involucra un Subprocesador Nuevo o si se reemplaza uno actual (“Notificación de Subprocesadores”), y el Cliente reconoce que deberá suscribirse a este mecanismo luego de firmar este DPA y que con las notificaciones enviadas a través de dicho mecanismo el Procesador cumple con su obligación de notificar al Cliente sobre la designación de un Subprocesador Nuevo o el reemplazo de uno actual.

5.3  Objeción a Subprocesadores Nuevos. Ante la publicación de una Notificación de Subprocesador Nuevo, el Cliente puede objetar razonablemente el uso por parte del Procesador de un Subprocesador Nuevo o el reemplazo de un Subprocesador, por razones relacionadas con la protección de Datos Personales que dicho Subprocesador debe procesar. Debe enviarse tal objeción de inmediato mediante notificación escrita al Procesador a privacy@monday.com dentro de los siete (7) días posteriores a la publicación de la Notificación de Subprocesador Nuevo, en la que el Cliente detallará los motivos de la objeción al uso de dicho Subprocesador Nuevo. Si el Cliente no envía su objeción dentro del periodo indicado y de la manera establecida anteriormente, se considerará que acepta al Subprocesador Nuevo. Si el Cliente se opone razonablemente a un Subprocesador Nuevo, según lo permitido arriba, el Procesador deberá hacer todos los esfuerzos razonables para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable a la configuración del Cliente o el uso de los Servicios para evitar el Procesamiento de Datos Personales por parte del Subprocesador Nuevo objetado sin cobrarle al Cliente de manera irrazonable. Si el Procesador no puede poner a disposición dicho cambio dentro de los treinta (30) días luego de recibida la objeción, el Cliente puede, como único recurso, rescindir el Acuerdo y este DPA con respecto solo a aquellos elementos de los Servicios que el Procesador no puede proporcionar sin el uso del Subprocesador Nuevo objetado, mediante notificación por escrito al Procesador. Los montos adeudados en virtud del Acuerdo antes de la fecha de rescisión con respecto al Procesamiento en cuestión se deben pagar en su totalidad al Procesador. Hasta que se tome una decisión con respecto al Subprocesador Nuevo, el Procesador puede suspender temporalmente el Procesamiento de los Datos Personales afectados o suspender el acceso a los Servicios. El Cliente no tendrá más reclamos contra el Procesador debido a la rescisión del Acuerdo (que incluyen, entre otros, la solicitud de reembolsos) y/o del DPA en la situación que se describe en este párrafo.

5.4  Acuerdos con los Subprocesadores. El Procesador o un Afiliado del Procesador ha celebrado un acuerdo por escrito con cada Subprocesador actual, y celebrará una cuerdo por escrito con cada Subprocesador Nuevo, que incluye las mismas obligaciones, o de similar naturaleza, sobre la protección de datos que se definen en este DPA, en particular las relacionadas con implementar las medidas técnicas y organizativas adecuadas garantías adecuadas para que el Procesamiento cumpla con los requisitos del RGPD. Cuando el Subprocesador no cumpla sus obligaciones de protección de datos aplicables a su Procesamiento de Datos Personales, el Procesador seguirá siendo completamente responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador.

6. SEGURIDAD Y AUDITORÍAS

6.1  Controles para la Protección de Datos Personales. El Procesador deberá mantener medidas técnicas y organizativas estándar de la industria para la protección de los Datos Personales procesados en virtud del presente (incluidas las medidas contra el Procesamiento no autorizado o ilegal y contra la destrucción, pérdida o alteración o daño accidental o ilegal, divulgación o acceso no autorizado a los Datos Personales, confidencialidad e integridad de los Datos Personales). Previa solicitud razonable por parte del Cliente, el Procesador deberá ayudar al Cliente, a costa del Cliente y con sujeción a las disposiciones de la Sección ‎11.1 a continuación, a garantizar el cumplimiento de las obligaciones en virtud de los artículos 32 a 36 del RGPD teniendo en cuenta la naturaleza del Procesamiento y la información disponible para el Procesador.

6.2 Auditorías e Inspecciones. Previa solicitud por escrito con 14 días de antelación por parte del Cliente en intervalos razonables (pero no más de una vez cada 12 meses), y sujeto a estrictos compromisos de confidencialidad por parte del Cliente, el Procesador deberá poner a disposición del Cliente que no sea un competidor del Procesador (o de un auditor independiente, de buena reputación y externo del Cliente que no sea un competidor del Procesador y no está en conflicto con el Procesador, sujeto a compromisos de confidencialidad y no competencia) toda la información necesaria para demostrar el cumplimiento de este DPA y permitir las auditorías y contribuir con ellas, incluidas las inspecciones realizadas. El Procesador podrá cumplir sus obligaciones en virtud de esta sección respondiendo a las auditorías del Cliente basadas en cuestionarios o proporcionando al Cliente declaraciones, certificaciones y resúmenes de informes de auditoría realizadas por auditores externos acreditados únicamente en relación con el cumplimiento por parte del Procesador de este DPA. Toda información relacionada con auditorías, inspecciones y los resultados de estas, incluidos los documentos que reflejan el resultado de aquellas, las usará el Cliente únicamente para evaluar el cumplimiento del Procesador de este DPA, y no deberán usarse con ningún otro fin o divulgarse a ningún tercero sin la aprobación previa y por escrito del Procesador. A solicitud del Procesador, el Cliente le transferirá inmediatamente todos los registros o la documentación proporcionada por el Procesador o recolectada y/o generada por el Cliente (o cualquiera de sus auditores asignados) en el contexto de la auditoría y/o inspección correspondiente.

6.3 En caso de auditoría o inspección según se indica más arriba, el Cliente garantizará que dicha auditoría o inspección (y cada uno de sus auditores responsables) no causarán (o si es imposible evitarlo, minimizarán) cualquier daño, lesión o interrupción a las operaciones, instalaciones, equipos, personal y negocio del Procesador, según corresponda, mientras se llevan a cabo dichas auditorías o inspecciones.

6.4 Los derechos de auditoría establecidos en la sección ‎6.2 anterior aplicarán solamente si el Acuerdo no otorga al Cliente otros derechos de auditoría que cumplan los requisitos relevantes de las Leyes de Protección de Datos (incluidos, según corresponda, el artículo 28(3)(h) del RGPD o del RGPD del RU). Si las Cláusulas Contractuales Estándar aplican, y solo en ese caso, ninguna parte de esta Sección 6 varía o modifica las Cláusulas Contractuales Estándar ni afecta los derechos de la Autoridad Supervisora o de los Sujetos de Datos en virtud de las Cláusulas Contractuales Estándar.

7. NOTIFICACIÓN Y GESTIÓN DE INCIDENTES DATOS

7.1 El Procesador mantiene políticas y procedimientos para la gestión de incidentes de seguridad internos y, según lo requerido por las Leyes de Protección de Datos aplicables, el Procesador deberá informar al Cliente de inmediato en caso de destrucción, pérdida o alteración accidental o ilegal, o divulgación no autorizada de los Datos Personales procesados por el Procesador o en representación del Cliente o en caso de acceso no autorizado a estos (un “Incidente de Datos”). El Procesador hará los esfuerzos razonables para identificar y tomar as medidas que el Procesador considere necesarias y razonables para reparar y/o mitigar la causa de dicho Incidente de Datos en la medida en que tal reparación o mitigación se encuentre dentro del control razonable del Procesador. Las obligaciones aquí establecidas no aplicarán a Incidentes de Datos causados por el Cliente, sus Usuarios o cualquiera que use los Servicios en nombre del Cliente.

7.2 El Cliente no llevará a cabo, divulgará, revelará o publicará ningún hallazgo, admisión de responsabilidad, comunicación, notificación, comunicado de prensa o informe respecto de un Incidente Datos que identifique directa o indirectamente al Procesador (incluido cualquier procedimiento legal o en cualquier notificación a autoridades normativas o de supervisión u personas afectadas) sin la aprobación previa y por escrito del Procesador, salvo y exclusivamente en caso de que el Cliente se vea obligado a hacerlo en virtud de las Leyes de Protección de Datos aplicables. En el último caso, salvo que lo prohíban dichas leyes, el Cliente proporcionará al Procesador una notificación escrita para darle la oportunidad de objetar dicha divulgación y, en cualquier caso, el Cliente limitará la divulgación al alcance mínimo requerido por dichas leyes.

8. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS PERSONALES

Tras la rescisión del Acuerdo y finalización de la prestación de los Servicios, a elección del Cliente (según lo informado a través de la Plataforma o en una notificación por escrito al Procesador), el Procesador deberá eliminar o devolver al Cliente todos los Datos Personales que procese en nombre del Cliente como se describe en el Acuerdo, salvo que las leyes aplicables al Procesador requieran o autoricen lo contrario.

9. TRANSFERENCIAS INTERNACIONALES DE DATOS

9.1  Transferencias desde el EEE, Suiza y el Reino Unido a países que ofrecen un nivel adecuado de protección de datos. Los Datos Personales pueden transferirse desde los Estados Miembro de la UE, y Noruega, Islandia y Liechtenstein (en conjunto, el “EEE”), Suiza y el Reino Unido (“RU”) a países que ofrecen un nivel adecuado de protección de datos en virtud de las decisiones de adecuación publicadas por las autoridades relevantes del EEE, Suiza y/o el RU según corresponda (“Decisiones de Adecuación”), sin que sea necesario aplicar ninguna otra medida de seguridad.

9.2  Transferencias desde el EEE, Suiza y el Reino Unido a otros países. Si el Procesamiento de los Datos Personales por parte del Procesador incluye una transferencia (ya sea directamente o a través de una posterior transferencia):

(i) desde el EEE a otros países que no estén sujetos a una Decisión de Adecuación relevante y que no se realice a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (que adopte el Procesador a su entera discreción)  (“Transferencia desde el EEE”), aplicarán los términos establecidos en las SCC de la UE;

(ii)   desde el RU a otros países que no estén sujetos a una Decisión de Adecuación relevante y que no se realice a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (que adopte el Procesador a su entera discreción)  (“Transferencia desde el RU”), aplicarán los términos del Apéndice de las SCC del RU;

(iii) desde Suiza a otros países que no estén sujetos a una Decisión de Adecuación relevante y que no se realice a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (que adopte el Procesador a su entera discreción) (“Transferencia desde Suiza”), aplicarán los términos del Apéndice de las SCC de Suiza;

(iv)  los términos establecidos en el Anexo V de las SCC de la UE (Medidas de Seguridad Adicionales) aplicarán a todas las Transferencias desde el EEE, a las Transferencias desde el RU y a las Transferencias desde Suiza, donde se aplican las Cláusulas Contractuales Estándar.

9.3 Transferencias desde otros países: Si el Procesamiento de los Datos Personales por parte del Procesador incluye una transferencia de Datos Personales de parte del Cliente y/o indicada por este a un Procesador de cualquier otra jurisdicción donde se requiera la fijación de un mecanismo de cumplimiento particular para la transferencia legítima de dichos datos, el Cliente notificará al Procesador de dichos requisitos aplicables, y las Partes harán las enmiendas necesarias a este DPA de conformidad con las disposiciones de la Sección 11.2 a continuación.

10. AFILIADOS AUTORIZADOS

10.1  Relación Contractual. Las Partes reconocen y aceptan que, al suscribir este DPA, el Cliente celebra el DPA en nombre propio y, según corresponda, en nombre y en representación de sus Afiliados Autorizados, en cuyo caso cada Afiliado Autorizado acepta estar obligado por las obligaciones del Cliente en virtud de este DPA, si y en la medida que el Procesador procese Datos Personales en nombre de dichos Afiliados Autorizados, habilitándolos como “Controladores” respecto de los Datos Personales procesados en su nombre. Todo acceso y uso de los Servicios por Afiliados Autorizados debe cumplir los términos y condiciones del Acuerdo y este DPA, y toda violación de sus términos y condiciones por un Afiliado Autorizado se considerará una violación por parte del Cliente.

10.2  Comunicación. El Cliente seguirá siendo responsable de coordinar todas las comunicaciones con el Procesador en virtud del Acuerdo y este DPA y tendrá derecho a realizar y recibir toda comunicación en relación con este DPA en nombre de sus Afiliados Autorizados.

11. OTRAS DISPOSICIONES

11.1  Evaluación del Impacto de la Protección de Datos y Consulta Previa. Previa solicitud razonable por el Cliente, el Procesador deberá proporcionar al Cliente, a costo del Cliente, la cooperación y asistencia razonables necesarias para cumplir la obligación del Cliente en virtud del RGPD o del RGPD del RU (según corresponda) para llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso de los Servicios por el Cliente, en la medida que el Cliente no tenga acceso a la información relevante y que dicha información esté disponible para el Procesador. El Procesador deberá proporcionar, a costo del Cliente, asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Control en el cumplimiento de sus tareas relacionadas con esta cláusula 11.1, en la medida que lo exija el RGPD o el RGPD del RU, según corresponda.

11.2  Modificaciones. Cada Parte puede, con notificación de al menos cuarenta y cinco (45) días calendario a la otra Parte, solicitar por escrito cualquier variación a este DPA que se requiere a causa de un cambio en las Leyes de Protección de Datos para permitir que el Procesamiento de los Datos Personales del Cliente se haga (o se siga haciendo) sin violar dichas Leyes de Protección de Datos. De conformidad con tal notificación, las Partes harán todos los esfuerzos comercialmente razonables para adaptarse a dicha modificación requerida y negociarán de buena fe para aceptar e implementar los cambios diseñados para cumplir con los requisitos en virtud de las Leyes de Protección de Datos aplicables identificados en la notificación del Cliente o del Procesador lo antes posible según sea posible implementarlos. Además, el Procesador podrá enmendar este DPA oportunamente sin mediar notificación, siempre que dichos cambios no vayan sustancialmente en contra de los derechos del Cliente o de las obligaciones del Procesador (por ejemplo, corrección de errores de escritura, ajustes técnicos u otras modificaciones que el Procesador considere necesarias). Para mayor claridad, si el Procesador hace un cambio que vaya en contra de los derechos del Cliente o de las obligaciones del Procesador, este notificará al Cliente mediante la publicación de un anuncio en el sitio, a través de los Servicios y/o de un e-mail.

ANEXO 1 – DETALLES DEL PROCESAMIENTO

Naturaleza y propósito del tratamiento

1. Prestar los Servicios al Cliente;
2. Ejecutar el Acuerdo, este DPA y/u otros contratos celebrados por y entre las Partes;
3. Actuar según las instrucciones del Cliente, cuando dichas instrucciones sean coherentes con los términos del Acuerdo;
4. Compartir Datos Personales con terceros en virtud de las instrucciones del Cliente o de conformidad con el uso de los Servicios por parte del Cliente (por ejemplo, integraciones entre los Servicios y cualquier servicio de terceros, según estén configuradas por el Cliente o en su nombre para facilitar el intercambio de Datos Personales entre los Servicios y dichos servicios de terceros);
5. Cumplir las leyes y normativas correspondientes;
6. Todas las tareas relacionadas con cualquiera de las anteriores.

Duración del tratamiento

Sujeto a cualquier cláusula del DPA y/o del Acuerdo que establezca la duración del Procesamiento y las consecuencias del vencimiento o la rescisión de este, el Procesador procesará los Datos Personales mientras dure el Acuerdo y la prestación de los Servicios en virtud del presente, salvo que se acuerde lo contrario por escrito.

Tipo de Datos Personales

El Cliente puede enviar Datos Personales a los Servicios, del tipo y con el alcance que determine y controle el Cliente a su exclusivo criterio.

Categorías de Sujetos de Datos

Las Categorías de Sujetos de Datos en relación con los Datos Personales que procesará el Procesador dependen del Cliente y pueden incluir, a título enunciativo, cualquiera de las siguientes categorías:

• Empleados, agentes, asesores, freelancers del Cliente (que sean personas físicas).
• Clientes potenciales y actuales, partners comerciales y proveedores del Cliente (que sean personas físicas).
• Empleados o personas de contacto de clientes potenciales, clientes actuales, partners comerciales y proveedores del Cliente.
• Cualquier otra persona externa con la que el Cliente decida comunicarse a través de los Servicios.