Carta de leyes de privacidad

Fecha de lanzamiento: 01/01/2020

Última modificación: 12/06/2023

Aplicabilidad:

Este documento (“Requisitos”) forma parte integral y legalmente vinculante de cualquier Acuerdo Marco de Servicios, Declaración de Trabajo u otro contrato (“Acuerdo”) entre Shaip (“Compañía”) y el proveedor de servicios (“Proveedor/autónomo/consultor”).

1. Definiciones

Para los efectos de estos Requisitos, los siguientes términos tendrán los significados que a continuación se establecen:

  • “Leyes de protección de datos aplicables” significa todas las leyes, normas y regulaciones internacionales, federales, estatales y locales aplicables al procesamiento de datos personales, incluidos, entre otros, el RGPD, el RGPD del Reino Unido, la CCPA/CPRA, la HIPAA, la PIPEDA y la LGPD.
  • “Datos de la empresa” Se refiere a todos los datos, información y materiales, en cualquier formato o medio, proporcionados al Proveedor por o en nombre de la Compañía, o recopilados, generados, derivados, seudonimizados, anonimizados (si es posible la reversibilidad) o procesados ​​por el Proveedor en nombre de la Compañía. Esto incluye los Datos del Proyecto y cualquier Dato Personal.
  • “Violación de datos” significa cualquier violación real o sospechada de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos de la Compañía.
  • "El PIB es" significa el Reglamento General de Protección de Datos (UE) 2016/679.
  • "Información personal" significa cualquier información relacionada con una persona física identificada o identificable (“Sujeto de Datos”) contenida en los Datos de la Compañía.
  • “Datos personales sensibles” significa cualquier categoría de datos considerados sensibles según las Leyes de Protección de Datos Aplicables, incluyendo pero no limitado a origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
  • "Tratamiento" significa cualquier operación realizada sobre los Datos de la Compañía, como la recopilación, registro, organización, almacenamiento, adaptación, recuperación, uso, divulgación, difusión o destrucción.
  • “Datos del proyecto” significa los datos específicos (por ejemplo, voz, imagen, texto) recopilados o creados por el Proveedor como parte de los servicios prestados a la Compañía.
  • “Subprocesador” significa cualquier tercero contratado por el Proveedor para Procesar Datos de la Compañía.

2. Rol y obligaciones del proveedor

2.1 Rol como Encargado/Subencargado del Tratamiento. El Proveedor reconoce que, al procesar los Datos de la Empresa, actúa como «Encargado del Tratamiento» o «Subencargado del Tratamiento» en nombre de la Empresa. El Proveedor no tiene propiedad ni derechos independientes sobre los Datos de la Empresa.

2.2 Procesamiento según instrucción. El Proveedor procesará los datos de la Compañía únicamente de acuerdo con las instrucciones documentadas y legales de la Compañía, incluidas las establecidas en el Acuerdo y las Declaraciones de Trabajo pertinentes. El Proveedor tiene expresamente prohibido procesar datos de la Compañía para sus propios fines o para cualquier propósito no indicado explícitamente por la Compañía. Las instrucciones deberán incluir requisitos de retención y eliminación de datos. Si el Proveedor considera que una instrucción infringe la legislación aplicable en materia de protección de datos, deberá informar inmediatamente a la Compañía.

2.3 Cumplimiento de las Leyes. El Proveedor garantiza y declara que cumplirá con todas las Leyes de Protección de Datos Aplicables en la ejecución del Acuerdo y notificará de inmediato a la Compañía si alguna ley impide el cumplimiento o requiere la divulgación de los Datos de la Compañía (por ejemplo, solicitudes de acceso del gobierno).

3. Medidas de seguridad técnicas y organizativas

3.1 Normas de seguridad. El Proveedor implementará y mantendrá medidas de seguridad técnicas y organizativas adecuadas para proteger los Datos de la Empresa contra cualquier Violación de Datos. Estas medidas serán proporcionales al nivel de riesgo y a la naturaleza de los datos e incluirán, como mínimo:

  1. Encriptación: Cifrado de todos los datos de la empresa en reposo y en tránsito.
  2. Control de acceso: Controles de acceso estrictos basados ​​en el mínimo privilegio, garantizando que solo el personal autorizado tenga acceso a los datos de la empresa.
  3. Minimización de datos: Recopilar y procesar sólo la cantidad mínima de Datos Personales necesarios para el proyecto especificado.
  4. Entornos seguros: Garantizar que todos los sistemas utilizados para procesar datos de la empresa estén configurados, parcheados, registrados y monitoreados de forma segura.
  5. Eliminación segura: Implementar procesos para la eliminación segura y permanente de los Datos de la Compañía según las instrucciones de la Compañía, incluida la eliminación de las copias de seguridad.
  6. Seguridad física: Proteger todas las ubicaciones físicas y dispositivos donde se almacenan o se accede a los datos de la empresa.
  7. Pruebas y monitoreo: Pruebas de penetración periódicas, evaluaciones de vulnerabilidad y monitoreo continuo.
  8. Continuidad del negocio: Mantener planes de respuesta a incidentes, recuperación ante desastres y continuidad del negocio.

4. Subprocesamiento

4.1 Se requiere consentimiento previo. El Proveedor no contratará a ningún Subprocesador para Procesar Datos de la Compañía sin el consentimiento previo y específico por escrito de la Compañía.

4.2 Flujo descendente de obligaciones. Si se otorga el consentimiento, el Proveedor debe celebrar un acuerdo escrito con el Subprocesador que le imponga obligaciones de protección de datos iguales o más estrictas que las que le imponen estos Requisitos.

4.3 Lista de subprocesadores. El Proveedor mantendrá una lista actualizada de Subencargados del Tratamiento y la proporcionará a la Compañía cuando esta la solicite. La Compañía se reserva el derecho de oponerse a cualquier Subencargado del Tratamiento en cualquier momento.

4.4 Responsabilidad total. El Proveedor seguirá siendo completamente responsable ante la Compañía por el cumplimiento de las obligaciones del Subprocesador y por cualquier acto u omisión del Subprocesador.

5. Notificación y gestión de violaciones de datos

5.1 Notificación inmediata. El Proveedor deberá notificar a la Compañía por escrito sin demora indebida y en ningún caso más tarde de veinticuatro (24) horas después de tener conocimiento por primera vez de cualquier Violación de Datos.

5.2 Detalles de la infracción. La notificación deberá, como mínimo:

  1. Describa la naturaleza de la violación de datos, incluidas las categorías y el número aproximado de sujetos de datos y registros de datos afectados.
  2. Proporcionar el nombre y los datos de contacto del responsable de protección de datos del Proveedor u otro punto de contacto relevante.
  3. Describa las posibles consecuencias de la violación de datos.
  4. Describa las medidas adoptadas o propuestas por el Proveedor para abordar la violación de datos y mitigar sus efectos.

5.3 Actualizaciones continuas. El Proveedor proporcionará actualizaciones periódicas hasta que el incidente se resuelva por completo.

5.4 Cooperación. El Proveedor cooperará plenamente con la Compañía en la investigación, remediación y notificación de cualquier Violación de Datos. El Proveedor asumirá todos los costos asociados con una Violación de Datos en la medida en que sea causada por el incumplimiento de estos Requisitos.

6. Transferencias internacionales de datos

6.1 El Proveedor no transferirá los Datos de la Empresa a otros países sin su consentimiento previo por escrito. El Proveedor debe especificar todos los países en los que procesará los Datos de la Empresa.

6.2 Cuando sea necesario, el Proveedor acepta celebrar Cláusulas Contractuales Estándar (SCCs), Reglas Corporativas Vinculantes (BCRs), el Anexo del Reino Unido o cualquier otro mecanismo exigido por la Compañía para garantizar transferencias de datos legales.

6.3 El proveedor deberá cumplir con los requisitos de residencia de datos locales cuando corresponda.

7. Auditorías e Inspecciones

La Compañía, o su auditor externo designado, tendrá derecho a realizar auditorías, a su propio costo, para verificar el cumplimiento de estos Requisitos por parte del Proveedor. El Proveedor deberá proporcionar toda la información, documentación y acceso necesarios a las instalaciones y al personal.

El Proveedor deberá someterse a certificaciones periódicas de terceros (por ejemplo, ISO 27001, SOC 2) y/o autoevaluaciones, y remediar rápidamente cualquier deficiencia identificada en auditorías o evaluaciones dentro de un plazo acordado mutuamente.

8. Asistencia sobre los derechos del titular de los datos

El Proveedor notificará a la Compañía, sin demora y en un plazo máximo de cuarenta y ocho (48) horas, cualquier solicitud recibida de un Titular de Datos para ejercer sus derechos (por ejemplo, acceso, rectificación, supresión o portabilidad). El Proveedor no responderá directamente a dichas solicitudes a menos que la Compañía lo indique y brindará toda la asistencia necesaria para que esta pueda responder.

9. Devolución y eliminación de datos

Tras la rescisión del Acuerdo o a solicitud de la Compañía, el Proveedor deberá, a elección de esta, eliminar de forma segura o devolver todos los Datos de la Compañía en un plazo de treinta (30) días. El Proveedor garantizará la eliminación de las copias de seguridad y proporcionará certificación escrita de dicha eliminación.

10. Categorías especiales de datos

10.1 Datos de atención médica (HIPAA): Si el Proveedor procesa Información Médica Protegida (PHI), reconoce ser un "Socio Comercial" (o subcontratista de un Socio Comercial) según la HIPAA. El Proveedor debe cumplir con los requisitos de la HIPAA y firmar el Acuerdo de Socio Comercial (BAA) de la Compañía.

10.2 Otros datos sensibles: Para proyectos que involucren datos personales confidenciales (incluidos datos biométricos o datos de niños), el Proveedor debe obtener la aprobación de la Compañía y cumplir con protocolos de seguridad y manejo intensificados según lo especificado por la Compañía.

11. Indemnización y responsabilidad

El Proveedor acepta defender, indemnizar y eximir de responsabilidad a la Compañía, sus afiliados, funcionarios y clientes de y contra todos y cada uno de los reclamos, responsabilidades, daños, pérdidas, multas, sanciones y gastos (incluidos los honorarios razonables de abogados) que surjan de o estén relacionados con cualquier incumplimiento de estos Requisitos por parte del Proveedor, sus empleados o sus Subprocesadores.

La responsabilidad no tendrá límite en el caso de infracciones que impliquen violaciones de datos, multas regulatorias, mala conducta intencional o fraude.

12. Disposiciones Generales

12.1 Primacía. En caso de conflicto entre los términos del Acuerdo y estos Requisitos, estos Requisitos prevalecerán con respecto a la protección de datos.

12.2 Modificación. Estos Requisitos sólo podrán modificarse mediante enmienda escrita firmada por representantes autorizados de ambas partes.

12.3 Supervivencia. Las obligaciones relativas a la confidencialidad, la eliminación de datos, la responsabilidad y los derechos de auditoría sobrevivirán a la terminación del Acuerdo.

12.4 Ley aplicable. Estos Requisitos se regirán e interpretarán de conformidad con la legislación aplicable establecida en el Acuerdo.