CONDICIONES GENERALES DE LOS SERVICIOS EN LA NUBE DE DELIGHTED PARA VENTAS INDIRECTAS ("GTC")
1. | DEFINICIONES |
Los términos en mayúsculas utilizados en este documento se definen en el Glosario. | |
2. | DERECHOS Y RESTRICCIONES DE USO |
2.1 Concesión de derechos. | |
Sujeto a todos los honorarios pagados por el Socio a Delighted, Delighted concede al Cliente en nombre del Socio un derecho no exclusivo e intransferible a utilizar el Servicio en la nube (incluida su implementación y configuración), los Materiales en la nube y la Documentación únicamente para las operaciones comerciales internas del Cliente y sus Afiliadas. El Cliente podrá utilizar el Servicio en la nube en todo el mundo, excepto en los países o regiones en los que dicho uso esté prohibido por las Leyes de exportación o según se establezca en un Formulario de aceptación del CLUF. Los usos permitidos y las restricciones del Servicio en la nube también se aplican a los Materiales en la nube y a la Documentación. | |
2.2 Usuarios autorizados. | |
El Cliente puede permitir que los Usuarios Autorizados utilicen el Servicio en la Nube. El uso está limitado a las métricas de uso y a los volúmenes indicados en el formulario de aceptación del CLUF. Las credenciales de acceso al Servicio en la nube no podrán ser utilizadas por más de una persona, pero podrán transferirse de una persona a otra si el usuario original ya no está autorizado a utilizar el Servicio en la nube. El Cliente es responsable de los incumplimientos del Acuerdo causados por los Usuarios Autorizados. | |
2.3 Política de uso aceptable. | |
Con respecto al Servicio en la nube, el Cliente no: | |
(a) copiar, traducir, desensamblar, descompilar o realizar trabajos derivados o de ingeniería inversa del Servicio en la nube (o intentar cualquiera de los anteriores), | |
(b) introducir, almacenar o transferir cualquier contenido o dato en o a través del servicio en la nube que sea ilícito o infrinja cualquier derecho de propiedad intelectual, | |
(c) eludir o poner en peligro su funcionamiento o seguridad, o | |
(d) eliminar los avisos de copyright y autoría de Delighted. | |
2.4 Verificación del uso. | |
El Cliente supervisará su propio uso del Servicio en la nube e informará de cualquier uso que supere los Parámetros de uso y el volumen. Delighted podrá supervisar el uso para verificar el cumplimiento de los Parámetros de uso, el volumen y el Acuerdo. Delighted podrá enviar al Socio cualquier dato relativo a un uso que supere los Parámetros de uso o el volumen o que no cumpla el Acuerdo por parte del Cliente. | |
2.5 Suspensión del Servicio en la nube. | |
Delighted podrá suspender o limitar el uso del Servicio en la nube si el uso continuado puede resultar en un daño material para el Servicio en la nube o sus usuarios. Delighted notificará inmediatamente al Cliente la suspensión o limitación. Delighted limitará una suspensión o limitación en el tiempo y el alcance como sea razonablemente posible dadas las circunstancias. | |
2.6 Servicios de terceros Web . | |
A través del Servicio en la nube, el Cliente puede acceder a integraciones con servicios web puestos a disposición por terceros y sujetos a los términos y condiciones con dichos terceros. Estos servicios web de terceros no forman parte del Servicio en la nube y el Acuerdo no se aplica a ellos. | |
3. | RESPONSABILIDADES ENCANTADAS |
3.1 Aprovisionamiento. | |
Delighted proporciona acceso al Servicio en la nube tal y como se describe en el Acuerdo. | |
3.2 Apoyo. | |
Delighted proporciona soporte para el Servicio en la nube tal y como se menciona en el Formulario de aceptación del CLUF o en la Documentación. | |
3.3 Seguridad. | |
Delighted implementará y mantendrá las medidas técnicas y organizativas adecuadas para proteger los datos personales procesados por Delighted como parte del Servicio en la Nube, tal y como se describe en el Acuerdo de Procesamiento de Datos adjunto como Anexo A ("APD"), de conformidad con la legislación aplicable en materia de protección de datos. | |
3.4 Modificaciones. | |
Sin perjuicio de lo dispuesto en la Sección 3.4(b) siguiente, el Servicio en la nube podrá ser modificado por Delighted en cualquier momento. Las modificaciones podrán incluir nuevas funciones opcionales para el Servicio en la nube, que el Cliente podrá utilizar con sujeción al Suplemento y la Documentación vigentes en ese momento. | |
3.5 Análisis. | |
Delighted or Delighted’s Affiliates may create analyses utilizing, in part, Customer Data and information derived from Customer’s use of the Cloud Service and Professional Services, as set forth below (“Analyses”). Delighted will anonymize and aggregate information included in Analyses. | |
Los datos personales contenidos en los Datos del Cliente sólo se utilizan para proporcionar el Servicio en la Nube y los Servicios Profesionales al Cliente y a sus Usuarios Autorizados. Los análisis podrán utilizarse para los siguientes fines: | |
a) mejora de productos (en particular, características y funcionalidad de los productos, flujos de trabajo e interfaces de usuario) y desarrollo de nuevos productos y servicios Delighted , | |
b) mejorar la asignación y el apoyo de recursos, | |
c) planificación interna de la demanda, | |
d) formación y desarrollo de algoritmos de aprendizaje automático, | |
e) mejorar el rendimiento de los productos, | |
f) verificación de la seguridad e integridad de los datos | |
g) identification of industry trends and developments, creation of indices and anonymous benchmarking | |
4. | DATOS PERSONALES Y DE LOS CLIENTES |
4.1 Datos del cliente. | |
El Cliente es responsable de los Datos del Cliente y de introducirlos en el Servicio en la Nube. El Cliente concede a Delighted (incluidos los Afiliados y subcontratistas de Delighted) un derecho no exclusivo a procesar y utilizar los Datos del Cliente para proporcionar y dar soporte al Servicio en la Nube y según lo establecido en el Acuerdo. | |
4.2 Datos personales. | |
El Cliente recopilará y conservará todos los datos personales contenidos en los Datos del Cliente de conformidad con la legislación aplicable en materia de privacidad y protección de datos. | |
4.3 Seguridad. | |
El Cliente mantendrá unos estándares de seguridad razonables para el uso del Servicio en la nube por parte de sus Usuarios autorizados. El Cliente no realizará ni autorizará pruebas de penetración del Servicio en la nube sin la aprobación previa de Delighted. | |
4.4 Acceso a los datos de los clientes. | |
(a) Durante el Periodo de Suscripción, el Cliente puede acceder a sus Datos de Cliente en cualquier momento. El Cliente podrá exportar y recuperar sus Datos de Cliente en un formato estándar. La exportación y recuperación pueden estar sujetas a limitaciones técnicas, en cuyo caso Delighted y el Cliente encontrarán un método razonable para permitir el acceso del Cliente a los Datos del Cliente. | |
(b) Antes de que expire el Periodo de Suscripción, si está disponible, el Cliente podrá utilizar las herramientas de exportación de autoservicio de Delightedpara realizar una exportación final de los Datos del Cliente desde el Servicio en la Nube. Alternativamente, si las herramientas de exportación de autoservicio no están disponibles, el Cliente puede solicitar la exportación de datos a través de un ticket de soporte. | |
(c) Una vez finalizado el Contrato, Delighted eliminará los Datos del Cliente que permanezcan en los servidores que alojan el Servicio en la nube, a menos que la legislación aplicable exija su conservación. Los datos conservados estarán sujetos a las disposiciones de confidencialidad del Acuerdo. | |
(d) In the event of third party legal proceedings relating to the Customer Data, Delighted will cooperate with Customer and comply with applicable law (both at Customer’s expense) with respect to handling of the Customer Data. | |
5. | RELACIÓN DE PAREJA |
5.1 Impago por parte del socio | |
Delighted podrá, a su entera discreción, suspender el uso por parte del Cliente del Servicio en la Nube aplicable y/o rescindir el Contrato si el Socio no abona cualquier cuota u otro importe que deba pagar en su fecha de vencimiento. | |
5.2 Rescisión de la relación de socio o de los pedidos relativos al Cliente | |
Si (i) el Socio rescinde todos los pedidos relacionados con el Cliente o (ii) Delighted rescinde cualquiera de los pedidos del Socio relacionados con el Cliente por causa justificada o (iii) se rescinde la asociación entre Delighted y el Socio en relación con la venta de la suscripción a los Servicios en la nube, Delighted podrá (según la elección del Cliente): | |
(a) proporcionar directamente el Servicio en la nube afectado al Cliente de conformidad con los Términos y condiciones generales vigentes en ese momento de Delightedpara los Servicios en la nube de Delighted por unas tarifas de suscripción acordadas mutuamente; o bien | |
(b) recomendar al Cliente otros socios o terceros para la prestación del Servicio en la nube afectado. | |
5.3 Independencia del socio | |
El Socio no es un agente de Delighted. Es una entidad independiente sin autoridad para obligar a Delighted o para hacer representaciones o garantías en nombre de Delighted. Delighted no será responsable de confiar razonablemente en la exactitud y fiabilidad de la información escrita proporcionada por el Socio al tomar cualquier decisión que pudiera dar Delighted motivo para suspender el Servicio en la nube o rescindir el Contrato. | |
5.4 Ausencia de declaraciones y garantías | |
Delighted makes no representations or warranties as to such authorized distributor or reseller, or any other third party, related to the performance of the products or services of such entities, and fully disclaims any such warranties in accordance with Section 7. | |
6. | DURACIÓN Y RESCISIÓN |
6.1 Plazo. | |
El Plazo de Suscripción inicial es el establecido en el Formulario de Aceptación del CLUF. | |
6.2 Terminación. | |
(a) Una de las partes podrá rescindir el Acuerdo: | |
(1) previa notificación por escrito con 30 días de antelación del incumplimiento sustancial del Contrato por la otra parte (incluido, entre otros, el impago por parte del Cliente a Partner de cualquier cuota adeudada por el Servicio en la nube), a menos que el incumplimiento se subsane durante dicho período de 30 días, o bien | |
(2) inmediatamente, si la otra parte se declara en quiebra, se declara insolvente, o realiza una cesión en beneficio de los acreedores, o incumple de otro modo sustancialmente las Secciones 11 o 12.6. | |
(b) Delighted podrá rescindir el Contrato si los Servicios en la nube pertinentes a los que se refiere el presente Contrato han sido rescindidos entre Delighted y el Partner. | |
6.3 Efecto de la expiración o rescisión. | |
En la fecha efectiva de expiración o rescisión del Acuerdo: | |
(a) Finalizará el derecho del Cliente a utilizar el Servicio en la nube y toda la Información confidencial de Delighted , | |
(b) La Información Confidencial de la parte reveladora será retenida, devuelta o destruida según lo requiera el Acuerdo o la legislación aplicable, y | |
(c) La rescisión o expiración del Acuerdo no afecta a otros acuerdos entre las partes. | |
6.4 Supervivencia. | |
Sections 1, 5, 6.3, 6.4, 6.5, 8, 9, 10, 11, and 12 will survive the expiration or termination of the Agreement. | |
7. | GARANTÍAS |
7.1 Cumplimiento de la ley. | |
El Cliente garantiza el cumplimiento actual y continuado de todas las leyes y normativas que le sean de aplicación en relación con los Datos del cliente y el uso del Servicio en la nube por parte del Cliente. | |
7.2 Buenas prácticas de la industria. | |
Delighted garantiza que prestará el Servicio en la nube: | |
(a) el Servicio en la nube se ajustará sustancialmente a las especificaciones contenidas en la Documentación durante el Periodo de suscripción de los Servicios en la nube. | |
(b) el Servicio se ajustará materialmente a las especificaciones contenidas en la Documentación, el Formulario de Aceptación del CLUF, la declaración de trabajo, la descripción del despliegue u otra documentación que contenga el alcance y la descripción del servicio para el Servicio correspondiente en todos los casos acordados por Delighted en el momento en que Delighted preste el Servicio correspondiente, y prestará cualquier Servicio de manera profesional y con los recursos con las habilidades razonablemente necesarias para prestar dichos Servicios. | |
7.3 Remedio. | |
(a) Si el Cliente (y/o el Asociado en nombre del Cliente) notifica a Delighted por escrito una descripción específica de la no conformidad del Servicio en la nube o del Servicio con la garantía de la Sección 7.2 dentro del período de garantía sin demora indebida y Delighted valida la existencia de dicha no conformidad, Delighted , a su elección: | |
(1) con respecto a los Servicios en la nube: | |
(A) corregir el Servicio en la Nube deficiente, o | |
(B) si Delighted no corrige el Servicio en la nube deficiente tras realizar esfuerzos comerciales razonables, cancelar el acceso al Servicio en la nube deficiente. | |
(2) con respecto a los Servicios, corregir el Servicio deficiente. | |
(b) Esto no se aplica a los casos triviales o no materiales de deficiencia y es el único y exclusivo recurso del Cliente en virtud de la garantía de la Sección 7.2. La notificación por escrito de cualquier deficiencia por parte del Cliente (y/o Socio en nombre del Cliente) deberá incluir detalles suficientes para que Delighted pueda analizar la supuesta deficiencia. El Cliente deberá proporcionar una asistencia comercialmente razonable a Delighted para analizar y subsanar cualquier deficiencia del Servicio en la nube y del Servicio. | |
(c) Para mayor claridad, Delighted , | |
(1) con respecto a los Servicios en la nube: en todos los casos; y | |
(2) con respecto a los Servicios: si Delighted no corrige la deficiencia del Servicio tras realizar un esfuerzo comercial razonable, consultará con el Socio para definir una cantidad razonable (a) en la que el Socio podrá reducir las cuotas de suscripción o las cuotas del Servicio deficiente, en caso de que el Socio no las haya abonado ya, o (b) si el Socio ya ha abonado las cuotas de suscripción o las cuotas del Servicio deficiente, que Delighted reembolsará al Socio para reflejar la deficiencia. |
|
(d) Delighted podrá cumplir sus obligaciones de garantía frente al Socio o al Cliente. En la medida en que Delighted cumpla sus obligaciones de garantía frente al Socio, el Cliente no tendrá derecho a reclamar a Delighted por el incumplimiento de la garantía del apartado 7.2. | |
7.4 Exclusiones de garantía. | |
Las garantías de la sección 7.2 no se aplicarán si: | |
(a) el Servicio en la nube no se utiliza de conformidad con el Contrato o la Documentación, | |
(b) cualquier falta de conformidad sea causada por el Socio o el Cliente, o por cualquier producto o servicio no suministrado por Delighted, o | |
(c) el Servicio en la nube se prestó gratuitamente. | |
7.5 Descargo de responsabilidad. | |
Except as expressly provided in the Agreement, neither Delighted nor its subcontractors make any representation or warranties, express or implied, statutory or otherwise, regarding any matter, including the merchantability, suitability, originality, or fitness for a particular use or purpose, non-infringement or results to be derived from the use of or integration with any products or services provided under the Agreement, or that the operation of any products or services will be secure, uninterrupted or error free. Customer agrees that it is not relying on delivery of future functionality, public comments or advertising of Delighted or product roadmaps in obtaining subscriptions for any Cloud Service. | |
8. | RECLAMACIONES DE TERCEROS |
8.1 Reclamaciones presentadas contra el cliente. | |
(a) Delighted defenderá e indemnizará (según se establece en la siguiente frase) al Cliente frente a las reclamaciones presentadas contra el Cliente y sus Afiliadas por cualquier tercero que alegue que el uso del Servicio en la nube por parte del Cliente o sus Afiliadas infringe o se apropia indebidamente de una reclamación de patente, derechos de autor o derecho de secreto comercial. Delighted indemnizará al Cliente frente a todos los daños y perjuicios finalmente concedidos contra el Cliente (o el importe de cualquier acuerdo al que llegue Delighted ) con respecto a estas reclamaciones. | |
(b) Las obligaciones de Delighteden virtud de la Sección 8.1 no se aplicarán si la reclamación resulta de (i) un uso del Servicio en la nube no permitido en virtud del Contrato, (ii) un uso del Servicio en la nube junto con cualquier producto o servicio no proporcionado por Delighted, o (iii) un uso del Servicio en la nube proporcionado sin coste alguno. | |
(c) Si un tercero presenta una reclamación o, en opinión razonable de Delighted, es probable que la presente, Delighted podrá, a su entera discreción y a sus expensas (i) procurar al Cliente el derecho a seguir utilizando el Servicio en la nube con arreglo a los términos del Contrato, o (ii) sustituir o modificar el Servicio en la nube para que no infrinja los términos del Contrato sin una disminución sustancial de su funcionalidad. Si estas opciones no están razonablemente disponibles, Delighted podrá cancelar la suscripción del Cliente al Servicio en la nube afectado mediante notificación por escrito. | |
8.2 Reclamaciones presentadas contra Delighted. | |
El Cliente defenderá e indemnizará (como se establece en la siguiente frase) a Delighted frente a las reclamaciones presentadas contra Delighted y sus Afiliadas y subcontratistas por cualquier tercero relacionado con los Datos del Cliente. | |
El Cliente indemnizará a Delighted por todos los daños y perjuicios finalmente concedidos contra Delighted y sus Afiliadas y subcontratistas (o el importe de cualquier acuerdo que el Cliente suscriba) con respecto a estas reclamaciones. | |
8.3 Procedimiento de reclamación a terceros. | |
Todas las reclamaciones de terceros en virtud de la Sección 8 se llevarán a cabo de la siguiente manera: | |
(a) La parte contra la que se interponga una demanda de terceros (la "Parte Indemnizada") notificará oportunamente a la otra parte (la "Parte Indemnizadora") por escrito cualquier demanda. La Parte Indemnizada cooperará razonablemente en la defensa y podrá comparecer (a sus expensas) a través de un abogado razonablemente aceptable para la Parte Indemnizadora con sujeción a lo dispuesto en la Sección 8.3(b). | |
(b) La Parte Indemnizadora tendrá derecho a controlar plenamente la defensa. | |
(c) Ninguna resolución de una reclamación incluirá una obligación financiera o de cumplimiento específico por parte de la Parte Indemnizada, ni la admisión de responsabilidad por su parte. | |
(d) Las obligaciones de la Parte Indemnizadora no se aplicarán si el hecho de que la Parte Indemnizada no notifique oportunamente por escrito a la Parte Indemnizadora cualquier reclamación de este tipo perjudica a la Parte Indemnizadora. | |
8.4 Recurso exclusivo. | |
The provisions of Section 8 state the sole, exclusive, and entire liability of the parties and their Affiliates, Business Partners and subcontractors to the other party, and is the other party’s sole remedy, with respect to covered third party claims and to the infringement or misappropriation of third party intellectual property rights. | |
9. | LIMITACIÓN DE RESPONSABILIDAD |
9.1 Responsabilidad ilimitada. | |
La responsabilidad de ninguna de las partes está limitada por los daños resultantes de: | |
(a) las obligaciones de las partes en virtud de la Sección 8.1(a) y 8.2, | |
(b) muerte o lesiones corporales derivadas de negligencia grave o dolo de cualquiera de las partes, o | |
(c) el uso no autorizado por parte del Cliente de cualquier Servicio en la nube o el impago por parte del Cliente de cualquier cuota debida en virtud del Contrato. | |
9.2 Límite de responsabilidad | |
A excepción de lo establecido en la Sección 9.1, la responsabilidad total máxima de cualquiera de las partes (o de sus respectivas Filiales o subcontratistas de Delighted) hacia la otra o hacia cualquier otra persona o entidad por todos los eventos (o series de eventos conectados) que surjan en cualquier período de 12 meses no excederá las tarifas anuales pagadas por el Cliente al Partner por el Servicio en la Nube o Servicio Profesional aplicable asociado con los daños para ese período de 12 meses. Cualquier "periodo de 12 meses" comienza en la fecha de inicio del Periodo de Suscripción o en cualquiera de sus aniversarios anuales. | |
9.3 Exclusión de daños y perjuicios. | |
En ningún caso: | |
(a) cualquiera de las partes (o sus respectivas filiales o subcontratistas de Delighted) sea responsable ante la otra parte por daños especiales, incidentales, consecuentes o indirectos, pérdida de fondo de comercio o de beneficios empresariales, paralización del trabajo o por daños ejemplares o punitivos; o | |
(b) Delighted be liable for any damages caused by any Cloud Service provided for no fee. | |
10. | DERECHOS DE PROPIEDAD INTELECTUAL |
10.1 Delighted Propiedad. | |
A excepción de los derechos expresamente concedidos al Cliente en virtud del Contrato, Delighted, las Filiales de Delightedo los licenciantes son propietarios de todos los derechos de propiedad intelectual relacionados con el Servicio en la nube, los Materiales en la nube, la Documentación, los Servicios profesionales, las contribuciones de diseño, los conocimientos o procesos relacionados y cualquier obra derivada de los mismos. | |
10.2 Propiedad del cliente. | |
El Cliente conserva todos los derechos relativos a los Datos del Cliente. Delighted podrá utilizar las marcas comerciales proporcionadas por el Cliente únicamente para proporcionar y dar soporte al Servicio en la nube. | |
11. | CONFIDENCIALIDAD |
11.1 Uso de la información confidencial. | |
(a) La parte receptora deberá: | |
(1) mantener toda la Información Confidencial de la parte reveladora en estricta confidencialidad, tomando medidas para proteger la Información Confidencial de la parte reveladora sustancialmente similares a las medidas que la parte receptora toma para proteger su propia Información Confidencial, y que no serán inferiores a un nivel razonable de diligencia; | |
(2) no revelará ninguna Información Confidencial de la parte reveladora a ninguna persona distinta de sus Representantes cuyo acceso sea necesario para permitirle ejercer sus derechos o cumplir sus obligaciones en virtud del Acuerdo y que estén sujetos a obligaciones de confidencialidad sustancialmente similares a las de la Sección 11; | |
(3) no utilizará ni reproducirá ninguna Información Confidencial de la parte reveladora para ningún fin ajeno al ámbito del Acuerdo; y | |
(4) conservar todos y cada uno de los avisos o leyendas confidenciales, internos o de propiedad que aparezcan en el original y en cualquier reproducción. | |
(b) La Información Confidencial de cualquiera de las partes revelada antes de la ejecución del Acuerdo estará sujeta a la Sección 11. | |
(c) La parte receptora podrá revelar la Información Confidencial de la parte reveladora en la medida exigida por la ley, reglamento, orden judicial o agencia reguladora, con la condición de que la parte receptora obligada a realizar dicha revelación realice esfuerzos razonables para notificar a la parte reveladora con una antelación razonable de dicha revelación exigida (en la medida en que la ley lo permita) y proporcione asistencia razonable para impugnar la revelación exigida, a petición y coste de la parte reveladora. La parte receptora y sus Representantes realizarán esfuerzos comercialmente razonables para divulgar únicamente la parte de la Información Confidencial cuya divulgación se solicite legalmente y solicitarán que toda la Información Confidencial así divulgada reciba un tratamiento confidencial. | |
11.2 Excepciones. | |
Las restricciones de uso o divulgación de Información Confidencial no se aplicarán a ninguna Información Confidencial que: | |
(a) sea desarrollada de forma independiente por la parte receptora sin referencia a la Información Confidencial de la parte reveladora, | |
(b) haya pasado a ser de conocimiento general o a estar a disposición del público sin que medie acción u omisión alguna por parte de la parte receptora, | |
(c) en el momento de la divulgación, era conocido por la parte receptora libre de restricciones de confidencialidad, | |
(d) sea adquirida legalmente libre de restricciones por la parte receptora de un tercero que tenga derecho a suministrar dicha Información Confidencial, o | |
(e) la parte reveladora acepte por escrito que está libre de restricciones de confidencialidad. | |
11.3 Destrucción de información confidencial: | |
A petición de la parte reveladora, la parte receptora destruirá o devolverá sin demora la Información Confidencial de la parte reveladora, incluidas las copias y reproducciones de la misma. La obligación de destruir o devolver la Información Confidencial no será de aplicación: | |
(a) si un procedimiento judicial relacionado con la Información Confidencial prohíbe su devolución o destrucción, hasta que se resuelva el procedimiento o se dicte sentencia firme; | |
(b) a la Información Confidencial conservada en sistemas de archivo o copia de seguridad en virtud de políticas generales de archivo o copia de seguridad de sistemas; o | |
(c) a la Información Confidencial que la parte receptora esté legalmente obligada a conservar. | |
12. | VARIOS |
12.1 Divisibilidad. | |
Si alguna de las disposiciones del Acuerdo se considera total o parcialmente inválida o inaplicable, la invalidez o inaplicabilidad no afectará a las demás disposiciones del Acuerdo. | |
12.2 No renuncia. | |
La renuncia a cualquier incumplimiento del Acuerdo no se considerará una renuncia a cualquier otro incumplimiento. | |
12.3 Contrapartidas. | |
El Acuerdo podrá firmarse por duplicado, cada uno de los cuales será un original y constituirá un único Acuerdo. Las firmas electrónicas que cumplan la legislación aplicable se considerarán firmas originales. |
|
12.4 Conformidad comercial. | |
(a) Delighted y el Cliente deberán cumplir las Leyes de Exportación en la ejecución del presente Contrato. DelightedLa Información Confidencial del Cliente está sujeta a las Leyes de Exportación. El Cliente no exportará, reexportará, liberará o transferirá, directa o indirectamente, Información Confidencial que infrinja las Leyes de Exportación. El Cliente es el único responsable del cumplimiento de las Leyes de Exportación relacionadas con los Datos del Cliente, incluida la obtención de cualquier autorización de exportación requerida para los Datos del Cliente. El Cliente no utilizará el Servicio en la nube desde Cuba, Irán, la República Popular de Corea (Corea del Norte), Siria, la República Popular de Donetsk (DNR), la República Popular de Luhansk (LNR) o las regiones de Crimea/Sevastopol. | |
(b) A petición de Delighted, el Cliente proporcionará información y documentos que respalden la obtención de una autorización de exportación. Previa notificación por escrito al Cliente, Delighted podrá cancelar inmediatamente la suscripción del Cliente al Servicio en la nube afectado si: | |
(1) la autoridad competente no concede dicha autorización de exportación en un plazo de 18 meses; o | |
(2) Las Leyes de Exportación prohíben a Delighted proporcionar el Servicio en la Nube o los Servicios Profesionales al Cliente. | |
12.5 Notificaciones. | |
Todas las notificaciones se realizarán por escrito y se entregarán a: (a) en el caso de Delighted, notice@qualtrics.com con copia física a Qualtrics, Attn: Legal, 333 W River Park Dr., Provo, UT 84604, USA, o, (b) en el caso del Cliente, a la dirección de correo electrónico o física indicada en un Formulario de Aceptación del CLUF. Las notificaciones de Delighted al Cliente podrán realizarse en forma de notificación electrónica al representante autorizado o administrador del Cliente. Delighted podrá proporcionar notificaciones del sistema e información relativa al funcionamiento, alojamiento o soporte del Servicio en la nube dentro del Servicio en la nube o poner dichas notificaciones a disposición a través del portal de soporte Delighted . El Cliente mantendrá actualizada la información de contacto para notificaciones dentro del Servicio en la nube. | |
12.6 Asignación. | |
Sin el consentimiento previo por escrito de Delighted, el Cliente no podrá ceder, delegar ni transferir el Contrato (ni ninguno de sus derechos u obligaciones) a ninguna parte. Delighted podrá ceder el Contrato a las filiales de Delighted. | |
12.7 Subcontratación. | |
Delighted puede subcontratar partes del Servicio en la nube o de los Servicios profesionales a terceros. Delighted es responsable de los incumplimientos del Contrato causados por sus subcontratistas. | |
12.8 Relación de las Partes. | |
Las partes son contratistas independientes, y el Acuerdo no crea ninguna relación de asociación, franquicia, empresa conjunta, agencia, fiduciaria o laboral entre las partes. | |
12.9 Fuerza mayor. | |
Cualquier retraso en el cumplimiento (distinto del pago de las cantidades adeudadas) causado por circunstancias ajenas al control razonable de la parte cumplidora no constituye un incumplimiento del Acuerdo. El plazo de cumplimiento se prorrogará por un periodo igual a la duración de las condiciones que impidan el cumplimiento. | |
12.10 Ley aplicable. | |
El Contrato y cualquier reclamación que surja de o en relación con este Contrato y su objeto se regirán e interpretarán según las leyes del Estado de Utah, sin referencia a sus conflictos de principios legales. Las partes se someten a la jurisdicción exclusiva de los tribunales ubicados en Salt Lake City, Utah. Las partes renuncian a cualquier objeción sobre el lugar o las jurisdicciones identificadas en esta disposición. El lugar, sede o foro obligatorio, único y exclusivo para cualquier litigio derivado del Acuerdo (incluido cualquier litigio relativo a la existencia, validez o rescisión del Acuerdo) será Salt Lake City, Utah. Cada una de las partes renuncia a cualquier derecho que pueda tener a un juicio con jurado por cualquier reclamación o causa de acción que surja de o en relación con el Acuerdo. Cada parte renuncia a cualquier derecho que pueda tener a un juicio con jurado por cualquier reclamación o causa de acción en relación con el Acuerdo. La Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías y la Ley Uniforme de Transacciones de Información por Ordenador (donde se haya promulgado) no se aplicarán al Acuerdo. Cualquiera de las partes deberá iniciar una causa de acción por cualquier reclamación(es) relacionada(s) con el Acuerdo y su objeto en el plazo de un año a partir de la fecha en que la parte tuvo conocimiento, o debería haber tenido conocimiento tras una investigación razonable, de los hechos que dieron lugar a la(s) reclamación(es). | |
12.11 Acuerdo completo. | |
El Contrato constituye la declaración completa y exclusiva del acuerdo entre Delighted y el Cliente en lo que respecta a la relación comercial de las partes relacionada con el objeto del Contrato. Todas las representaciones, discusiones y escritos anteriores (incluyendo cualquier acuerdo de confidencialidad) se fusionan y son sustituidos por el Acuerdo y las partes renuncian a cualquier confianza en ellos. El Contrato sólo podrá modificarse por escrito y con la firma de ambas partes, salvo en los casos permitidos por el Contrato . Los términos y condiciones de cualquier orden de compra emitida por el Cliente, que no tendrán fuerza ni efecto, incluso si Delighted acepta o no rechaza de otro modo la orden de compra. | |
12.12 Opinión. | |
El Cliente podrá, a su entera discreción, proporcionar a Delighted Opinión , en cuyo caso, los Afiliados de Delighted podrán conservar y utilizar libremente dicho Opinión sin restricción, compensación o atribución a la fuente del Opinión. | |
12.13 Acuerdo de procesamiento de datos. | |
The DPA will govern the processing of any personal data in the Cloud Service. | |
Glosario | |
1.1 | "Afiliada" significa cualquier entidad jurídica en la que el Cliente o Delighted's Parent Company, directa o indirectamente, posea más del 50% de las acciones o derechos de voto de la entidad. Cualquier entidad jurídica se considerará Afiliada mientras se mantenga dicha participación. |
1.2 | "Acuerdo" significa un Formulario de Aceptación de CLUF y los documentos incorporados a un Formulario de Aceptación de CLUF, incluidos estos TCG. |
1.3 | "Usuario autorizado" hace referencia a cualquier persona física a la que el Cliente conceda autorización de acceso para utilizar el Servicio en la nube que sea empleado, agente, contratista o representante de |
(a) Cliente, | |
(b) las filiales del cliente, o | |
(c) Socios comerciales del Cliente y sus filiales. | |
1.4 | "Socio comercial" hace referencia a una entidad jurídica que requiere el uso de un Servicio en la nube en relación con las operaciones comerciales internas del Cliente y sus Filiales. Estos pueden incluir consultores, distribuidores, proveedores de servicios o proveedores del Cliente y sus Filiales. |
1.5 | "Servicio en la nube" hace referencia a cualquier solución distinta, basada en suscripción, alojada, soportada y operada bajo demanda proporcionada por Delighted en nombre del Partner al Cliente en virtud de un Formulario de Aceptación del CLUF. |
1.6 | "Materiales en la Nube" se refiere a cualquier material proporcionado o desarrollado por Delighted (de forma independiente o con la cooperación del Socio y/o el Cliente) en el curso de la ejecución en virtud del Contrato, incluidos los Análisis y los materiales proporcionados o desarrollados en la prestación de cualquier servicio de asistencia o Servicios Profesionales al Cliente. Los Materiales en la Nube no incluyen los Datos del Cliente, la Información Confidencial del Cliente ni el Servicio en la Nube. |
1.7 | "Información confidencial" significa toda la información que la parte divulgadora protege contra la divulgación sin restricciones a terceros que (a) la parte divulgadora o sus representantes designan como confidencial, interna o de propiedad en el momento de la divulgación, o (b) debería entenderse razonablemente como confidencial en el momento de la divulgación dada la naturaleza de la información y las circunstancias que rodean su divulgación. |
1.8 | "Datos del Cliente" significa cualquier contenido, material, dato e información que los Usuarios Autorizados introduzcan en el sistema de producción de un Servicio en la Nube o que el Cliente derive de su uso y almacene en el Servicio en la Nube (por ejemplo, informes específicos del Cliente). Los Datos del Cliente y sus derivados no incluirán la Información Confidencial de Delighted. |
1.9 | "Documentación" hace referencia a la documentación técnica y funcional de Delightedvigente en ese momento, incluida cualquier descripción de funciones y responsabilidades relacionada con los Servicios en la nube que Delighted ponga a disposición del Cliente en virtud del Contrato. |
1.10 | "Formulario de aceptación del CLUF" hace referencia al Formulario de aceptación del CLUF firmado entre Delighted y el Cliente que hace referencia a estos TCG. |
1.11 | "Leyes de exportación" se refiere a todas las leyes de importación, control de exportaciones y sanciones aplicables, incluidas las leyes de los Estados Unidos. |
1.12 | "Opinión" se refiere a aportaciones, comentarios o sugerencias sobre la dirección empresarial y tecnológica de Delightedy la posible creación, modificación, corrección, mejora o perfeccionamiento del Servicio en la nube o los Materiales en la nube. |
1.13 | "Socio" significa la entidad identificada como Socio en el Formulario de Aceptación del CLUF. |
1.14 | "Servicios profesionales" se refiere a servicios de implementación, servicios de consultoría u otros servicios relacionados prestados en virtud de un Formulario de aceptación del CLUF. |
1.15 | "Delighted Sociedad matriz" significa SAP SE, accionista mayoritario de Delighted. |
1.16 | "Representantes" significa los Afiliados, empleados, contratistas, subcontratistas, representantes legales, contables u otros asesores profesionales de una parte. |
1.17 | "Plazo de Suscripción" significa el plazo de una suscripción al Servicio en la Nube cuyo plazo inicial se identifica en el Formulario de Aceptación del CLUF aplicable, incluidas todas las renovaciones. |
1.18 | "Suplemento" significa, según corresponda, los términos y condiciones suplementarios que se aplican al Servicio en la nube y que se incorporan en un Formulario de aceptación del CLUF. |
1.19 | “Usage Metric” means the standard of measurement for determining the permitted use for a Cloud Service as set forth in a EULA Acceptance Form. |
Anexo A | |
Acuerdo de procesamiento de datos | |
ACUERDO DE TRATAMIENTO DE DATOS PERSONALES PARA LOS SERVICIOS EN LA NUBE DELIGHTED | |
El presente apéndice sobre el tratamiento de datos ("APD") se celebra | |
ENTRE | |
(1) Cliente; y | |
(2) Delighted. | |
1. | DEFINICIONES |
1.1. | "Responsable del tratamiento" significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de los Datos Personales; a los efectos del presente APD, cuando el Cliente actúe como encargado del tratamiento para otro responsable del tratamiento, se considerará, en relación con Delighted , como Responsable del tratamiento adicional e independiente con los respectivos derechos y obligaciones de responsable del tratamiento en virtud del presente APD. |
1.2. | "Ley de Protección de Datos" se refiere a la legislación aplicable que protege los derechos y libertades fundamentales de las personas físicas y su derecho a la privacidad con respecto al tratamiento de Datos Personales en virtud del Acuerdo. |
1.3. | "Interesado" se refiere a una persona física identificada o identificable según la definición de la Ley de Protección de Datos. |
1.4. | "EEE" significa el Espacio Económico Europeo, es decir, los Estados miembros de la Unión Europea junto con Islandia, Liechtenstein y Noruega. |
1.5. | "Cláusulas Contractuales Tipo de la UE" significa las cláusulas contractuales tipo no modificadas, publicadas por la Comisión Europea, referencia 2021/914 o cualquier versión final posterior de las mismas adoptada por Delighted. Para evitar dudas, los Módulos 2 y 3 se aplicarán según lo establecido en la Sección 8.3. |
1.6. | "GDPR" significa el Reglamento General de Protección de Datos 2016/679. |
1.7. | "Nueva transferencia relevante de SCC" significa una transferencia (o una transferencia ulterior) a un Tercer País de Datos Personales que está sujeta al GDPR o a la Ley de Protección de Datos aplicable y donde cualquier medio de adecuación requerido en virtud del GDPR o la Ley de Protección de Datos aplicable se puede cumplir mediante la suscripción de las Cláusulas Contractuales Tipo de la UE. |
1.8. | "Datos Personales" significa cualquier información relativa a un Sujeto de Datos que esté protegida por la Ley de Protección de Datos. A efectos de la LOPD, incluye únicamente los datos personales que sean: |
a) introducidos por el Cliente o sus Usuarios Autorizados o derivados de su uso del Servicio en la nube; o | |
b) suministrados a Delighted o a sus Subprocesadores, o a los que éstos tengan acceso, con el fin de prestar asistencia en virtud del Contrato. Los Datos Personales son un subconjunto de los Datos del Cliente (tal y como se definen en el Acuerdo). | |
1.9. | Por "violación de datos personales" se entiende una confirmada: |
a) destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso no autorizado de terceros a los Datos Personales; o | |
b) un incidente similar que afecte a Datos Personales, en cada caso para el que un Responsable del Tratamiento esté obligado en virtud de la Ley de Protección de Datos a notificarlo a las autoridades competentes en materia de protección de datos o a los Sujetos de los Datos. | |
1.10. | "Encargado del tratamiento": persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento, ya sea directamente como encargado del tratamiento de un responsable del tratamiento o indirectamente como subencargado del tratamiento de un encargado que trate datos personales por cuenta del responsable del tratamiento. |
1.11. | "SAP" significa SAP SE, empresa matriz de Delighted . |
1.12. | "Anexo" significa el Anexo numerado con respecto a las Cláusulas Contractuales Tipo de la UE. |
1.13. | "Subencargado del tratamiento" o "subencargado del tratamiento" se refiere a Delighted Afiliadas, SAP, Afiliadas de SAP y terceros contratados por Delighted, Delighted's Afiliadas en relación con el Servicio en la Nube y que tratan Datos Personales de conformidad con la presente DPA. |
1.14. | "Medidas Técnicas y Organizativas" se refiere a las medidas técnicas y organizativas para el Servicio en la Nube correspondiente establecidas en el Anexo 2. |
1.15. | "Tercer país" significa cualquier país, organización o territorio no reconocido por la Unión Europea en virtud del artículo 45 del GDPR como país seguro con un nivel adecuado de protección de datos. |
2. | ANTECEDENTES |
2.1. | Objetivo y aplicación |
2.1.1. | Este documento ("DPA") se incorpora al Acuerdo y forma parte de un contrato escrito (incluso en formato electrónico) entre Delighted y el Cliente. |
2.1.2. | Esta DPA se aplica a los Datos Personales procesados por Delighted y sus Subprocesadores en relación con su prestación del Servicio en la Nube. |
2.1.3. | Esta DPA no se aplica a los entornos no productivos del Servicio en la Nube si dichos entornos son puestos a disposición por Delighted. El Cliente no almacenará Datos Personales en dichos entornos. |
2.2. | Estructura |
Los anexos 1, 2 y 3 se incorporan al presente APD y forman parte del mismo. En ellos se establece el objeto acordado, la naturaleza y la finalidad del tratamiento, el tipo de datos personales, las categorías de interesados (anexo 1), las medidas técnicas y organizativas aplicables (anexo 2) y el anexo del Reino Unido a las cláusulas contractuales tipo de la UE, si procede (anexo 3). | |
2.3. | Gobernanza |
2.3.1. | Delighted actúa como Encargado del Tratamiento y el Cliente y las entidades a las que permite utilizar el Servicio en la Nube actúan como Responsables del Tratamiento con arreglo a la DPA. |
2.3.2. | El Cliente actúa como único punto de contacto y obtendrá todas las autorizaciones, consentimientos y permisos pertinentes para el tratamiento de Datos Personales de conformidad con la presente DPA, incluida, en su caso, la aprobación de los Responsables del tratamiento para utilizar Delighted como Encargado del tratamiento. Cuando el Cliente proporcione autorizaciones, consentimientos, instrucciones o permisos, estos se proporcionarán no solo en nombre del Cliente, sino también en nombre de cualquier otro Responsable del tratamiento que utilice el Servicio en la nube. Cuando Delighted informe o notifique al Cliente, dicha información o notificación se considerará recibida por aquellos Responsables del tratamiento autorizados por el Cliente a utilizar el Servicio en la nube. El Cliente remitirá dicha información y notificaciones a los Responsables del tratamiento pertinentes. |
3. | SEGURIDAD DEL TRATAMIENTO |
3.1. | Aplicabilidad de las medidas técnicas y organizativas |
Delighted ha implementado y aplicará las Medidas Técnicas y Organizativas. El Cliente ha revisado dichas medidas y acepta que, en lo que respecta al Servicio en la Nube seleccionado por el Cliente en el Formulario de Aceptación del CLUF, las medidas son adecuadas teniendo en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del tratamiento de los Datos Personales. | |
3.2. | Cambios |
3.2.1. | Delighted aplica las Medidas técnicas y organizativas a toda la base de clientes de Delightedalojados en el mismo centro de datos o que reciben el mismo Servicio en la nube. Delighted podrá modificar las Medidas técnicas y organizativas en cualquier momento y sin previo aviso siempre que mantenga un nivel de seguridad comparable o superior. Las medidas individuales pueden ser sustituidas por nuevas medidas que sirvan al mismo propósito sin disminuir el nivel de seguridad que protege los Datos Personales. |
3.2.2. | Delighted publicará versiones actualizadas de las Medidas Técnicas y Organizativas en https://app.delighted.com/terms. |
4. | OBLIGACIONES ENCANTADAS |
4.1. | Instrucciones del cliente |
Delighted procesará los Datos Personales únicamente de conformidad con las instrucciones documentadas del Cliente. El Acuerdo (incluido el presente APD) constituye dichas instrucciones iniciales documentadas y cada uso del Servicio en la nube constituye entonces otras instrucciones. Delighted hará todo lo posible por seguir cualquier otra instrucción del Cliente, siempre que lo exija la Ley de Protección de Datos, sea técnicamente viable y no requiera cambios en el Servicio en la nube. Si se aplica alguna de las excepciones antes mencionadas, o Delighted no puede cumplir de otro modo una instrucción o considera que una instrucción infringe la Ley de Protección de Datos, Delighted lo notificará inmediatamente al Cliente (correo electrónico permitido). | |
4.2. | Tratamiento por imperativo legal |
Delighted también podrá tratar Datos Personales cuando así lo exija la legislación aplicable. En tal caso, Delighted informará al Cliente de dicho requisito legal antes del tratamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público. | |
4.3. | Personal |
Para procesar Datos Personales, Delighted y sus Subencargados sólo concederán acceso a personal autorizado que se haya comprometido a mantener la confidencialidad. Delighted y sus Subencargados formarán periódicamente al personal que tenga acceso a Datos Personales en las medidas aplicables de seguridad y privacidad de datos. | |
4.4. | Cooperación |
4.4.1. | A petición del Cliente, Delighted cooperará razonablemente con el Cliente y los Responsables del tratamiento en la tramitación de las solicitudes de los Interesados o de las autoridades reguladoras en relación con el tratamiento de Datos Personales por parte de Delightedo con cualquier Vulneración de Datos Personales. |
4.4.2. | Si Delighted recibe una solicitud de un Sujeto de Datos en relación con el tratamiento de Datos Personales en virtud del presente documento, Delighted notificará de inmediato al Cliente (cuando el Sujeto de Datos haya proporcionado información para identificar al Cliente) por correo electrónico y no responderá a dicha solicitud por sí mismo, sino que pedirá al Sujeto de Datos que redirija su solicitud al Cliente. |
4.4.3. | En caso de litigio con un interesado en relación con el tratamiento de datos personales por parte de Delighteden virtud del presente Acuerdo, las partes se mantendrán mutuamente informadas y, cuando proceda, cooperarán razonablemente con el fin de resolver el litigio de forma amistosa con el interesado. |
4.4.4. | Delighted proporcionará una funcionalidad para los sistemas de producción que respalde la capacidad del Cliente para corregir, eliminar o anonimizar Datos Personales de un Servicio en la Nube, o restringir su procesamiento de acuerdo con la Ley de Protección de Datos. Cuando no se proporcione dicha funcionalidad, Delighted corregirá, eliminará o anonimizará cualquier Dato Personal, o restringirá su procesamiento, de acuerdo con las instrucciones del Cliente y la Ley de Protección de Datos. |
4.5. | Notificación de violación de datos personales |
Delighted notificará al Cliente sin demora indebida tras tener conocimiento de cualquier Vulneración de Datos Personales y proporcionará la información razonable que obre en su poder para ayudar al Cliente a cumplir con las obligaciones del Cliente de notificar una Vulneración de Datos Personales tal y como exige la Ley de Protección de Datos. Delighted podrá proporcionar dicha información por fases a medida que esté disponible. Dicha notificación no se interpretará como una admisión de culpa o responsabilidad por parte de Delighted. | |
4.6. | Evaluación de impacto de la protección de datos |
Si, de conformidad con la Ley de Protección de Datos, el Cliente (o sus Controladores) deben realizar una evaluación de impacto sobre la protección de datos o una consulta previa a un regulador, a petición del Cliente, Delighted proporcionará los documentos que estén generalmente disponibles para el Servicio en la Nube (por ejemplo, esta DPA, el Acuerdo, los informes de auditoría y las certificaciones). Las Partes acordarán mutuamente cualquier asistencia adicional. | |
5. | EXPORTACIÓN Y SUPRESIÓN DE DATOS |
5.1. | Exportación y recuperación por cliente |
Durante el Periodo de Suscripción y con sujeción al Acuerdo, el Cliente puede acceder a sus Datos Personales en cualquier momento. El Cliente podrá exportar y recuperar sus Datos Personales en un formato estándar. La exportación y recuperación pueden estar sujetas a limitaciones técnicas, en cuyo caso Delighted y el Cliente encontrarán un método razonable que permita al Cliente acceder a los Datos Personales. | |
5.2. | Supresión |
Antes de que expire el Plazo de Suscripción, el Cliente podrá utilizar las herramientas de exportación de autoservicio de Delighted(según estén disponibles) para realizar una exportación final de los Datos Personales del Servicio en la Nube (lo que constituirá una "devolución" de los Datos Personales). Al finalizar el Periodo de Suscripción, el Cliente da instrucciones a Delighted para que elimine los Datos Personales que permanezcan en los servidores que alojan el Servicio en la Nube en un plazo razonable de acuerdo con la Ley de Protección de Datos (no superior a 6 meses), a menos que la legislación aplicable exija su conservación. | |
6. | CERTIFICACIONES Y AUDITORÍAS |
6.1. | Auditoría de clientes |
El Cliente o su auditor independiente razonablemente aceptable para Delighted (que no incluirá a ningún auditor externo que sea competidor de Delighted o que no esté debidamente cualificado o sea independiente) podrá auditar el entorno de control y las prácticas de seguridad de Delighteden relación con los Datos Personales tratados por Delighted únicamente si: | |
a) Delighted no ha aportado pruebas suficientes de su cumplimiento de las Medidas Técnicas y Organizativas que protegen los sistemas de producción del Servicio en la Nube mediante la presentación de: (i) documentación de seguridad de cara al público en la que se detallen las medidas técnicas y organizativas; (ii) una certificación de cumplimiento de la norma ISO 27001 u otras normas (alcance definido en el certificado); o (iii) un informe válido de auditoría ISAE3402 o ISAE3000 u otro informe de certificación SOC1-3. A petición del Cliente, los informes de auditoría o las certificaciones ISO están disponibles a través del auditor externo o Delighted; | |
b) se ha producido una violación de los datos personales; | |
c) la autoridad de protección de datos del cliente solicita formalmente una auditoría; o | |
d) en virtud de la legislación obligatoria sobre protección de datos que confiere al Cliente un derecho de auditoría directa y siempre que el Cliente sólo realice una auditoría en cada período de 12 meses, a menos que la legislación obligatoria sobre protección de datos exija auditorías más frecuentes. | |
6.2. | Otra auditoría del interventor |
Cualquier otro Responsable del tratamiento podrá asumir los derechos del Cliente en virtud del apartado 6.1 únicamente si se aplica directamente al Responsable del tratamiento y si el Cliente permite y coordina dicha auditoría. El Cliente utilizará todos los medios razonables para combinar las auditorías de varios otros Responsables del tratamiento para evitar auditorías múltiples, a menos que la auditoría deba ser realizada por el propio otro Responsable del tratamiento en virtud de la Ley de protección de datos. Si varios Controladores cuyos Datos Personales son procesados por Delighted sobre la base del Acuerdo requieren una auditoría, el Cliente utilizará todos los medios razonables para combinar las auditorías y evitar auditorías múltiples. | |
6.3. | Alcance de la auditoría |
El Cliente deberá notificar cualquier auditoría con una antelación mínima de 60 días, a menos que la Ley de Protección de Datos o una autoridad competente en materia de protección de datos exijan una notificación con menor antelación. La frecuencia y el alcance de cualquier auditoría se acordarán mutuamente entre las partes, actuando de forma razonable y de buena fe. Las auditorías de los clientes se limitarán en el tiempo a un máximo de 3 días laborables. Más allá de dichas restricciones, las partes utilizarán certificaciones actuales u otros informes de auditoría para evitar o minimizar las auditorías repetitivas. El Cliente facilitará los resultados de cualquier auditoría a Delighted. | |
6.4. | Coste de las auditorías |
El Cliente correrá con los gastos de cualquier auditoría, a menos que dicha auditoría revele un incumplimiento sustancial del presente APD por parte de Delighted , en cuyo caso Delighted correrá con sus propios gastos de auditoría. Si una auditoría determina que Delighted ha incumplido sus obligaciones en virtud del APD, Delighted subsanará sin demora el incumplimiento a su costa. | |
7. | SUBPROCESADORES |
7.1. | Uso permitido |
Delighted se le concede una autorización general para subcontratar el tratamiento de Datos Personales a Subencargados del Tratamiento, siempre que: | |
a) Delighted o las filiales de Delighted en su nombre contratarán a Subencargados del Tratamiento en virtud de un contrato escrito (incluso en formato electrónico) que se ajuste a los términos del presente APD en relación con el tratamiento de Datos Personales por parte del Subencargado del Tratamiento. Delighted será responsable de cualquier incumplimiento por parte del Subencargado del Tratamiento de conformidad con los términos del presente Acuerdo; | |
b) Delighted evaluará las prácticas de seguridad, privacidad y confidencialidad de un Subencargado del Tratamiento antes de su selección para determinar si es capaz de proporcionar el nivel de protección de los Datos Personales exigido por la presente APD; y | |
Delighted c) Delightedpublica la lista de Subprocesadores existentes en la fecha de entrada en vigor del Contrato en https://www.delighted.com/subprocessor-list o Delighted la pondrá a disposición del Cliente previa solicitud, incluyendo el nombre, la dirección y la función de cada Subprocesador que Delighted utilice para prestar el Servicio en la nube. | |
7.2. | Nuevos subprocesadores |
Delightedqueda a su discreción, siempre que: | |
a) Delighted informará al Cliente con antelación (por correo electrónico o mediante publicación en el Servicio en la nube) de cualquier adición o sustitución prevista en la lista de Subprocesadores, incluidos el nombre, la dirección y la función del nuevo Subprocesador; y | |
b) El Cliente podrá oponerse a dichos cambios según lo establecido en la Sección 7.3. | |
7.3. | Objeciones a los nuevos subprocesadores |
7.3.1. | Si el Cliente tiene un motivo legítimo en virtud de la Ley de Protección de Datos para oponerse al tratamiento de los Datos Personales por parte de los nuevos Subencargados del Tratamiento, el Cliente podrá rescindir el Contrato (limitado al Servicio en la Nube para el que se pretende utilizar el nuevo Subencargado del Tratamiento) mediante notificación por escrito a Delighted. Dicha rescisión surtirá efecto en el momento que determine el Cliente, que no será posterior a 30 días a partir de la fecha de la notificación de Delightedal Cliente informándole del nuevo Subencargado del Tratamiento. Si el Cliente no rescinde en este plazo de 30 días, se considerará que ha aceptado al nuevo Subprocesador. |
7.3.2. | Dentro del plazo de 30 días a partir de la fecha de notificación de Delightedal Cliente informándole del nuevo Subprocesador, el Cliente podrá solicitar que las partes discutan de buena fe una solución a la objeción. Dichas conversaciones no ampliarán el plazo de rescisión y no afectarán al derecho de Delighteda utilizar el nuevo Subencargado del tratamiento una vez transcurrido el plazo de 30 días. |
7.3.3. | Cualquier rescisión en virtud de esta Sección 7.3 se considerará sin falta por cualquiera de las partes y estará sujeta a los términos del Acuerdo. |
7.4 | Sustitución de emergencia |
Delighted podrá sustituir a un Subencargado del tratamiento sin previo aviso cuando el motivo del cambio esté fuera del control razonable de Delightedy se requiera una sustitución rápida por motivos de seguridad u otros motivos urgentes. En este caso, Delighted informará al Cliente del Subencargado de tratamiento sustituto lo antes posible tras su nombramiento. El apartado 7.2 se aplicará en consecuencia. | |
8. | PROCESAMIENTO INTERNACIONAL |
8.1. | Condiciones para el tratamiento internacional |
Delighted tendrá derecho a procesar Datos Personales, incluso mediante el uso de Subprocesadores, de conformidad con este APD fuera del país en el que se encuentra el Cliente, según lo permitido por la Ley de Protección de Datos. | |
8.2. | Aplicabilidad de las cláusulas contractuales tipo de la UE |
Las Secciones 8.3 a 8.6 se aplican con respecto a una transferencia (o una transferencia ulterior) a un Tercer País de Datos Personales que esté sujeta al GDPR o a la Ley de Protección de Datos aplicable y cuando cualquier medio de adecuación requerido en virtud del GDPR o la Ley de Protección de Datos aplicable pueda cumplirse mediante la suscripción de las Cláusulas Contractuales Tipo de la UE, según puedan modificarse de conformidad con la Ley de Protección de Datos aplicable. | |
8.3. | Aplicabilidad de las cláusulas contractuales tipo de la UE cuando Delighted no está situado en un tercer país |
Cuando Delighted no esté situado en un Tercer País y actúe como exportador de datos, Delighted habrá suscrito las Cláusulas Contractuales Tipo de la UE con cada Subencargado del Tratamiento como importador de datos. El módulo 3 (de Encargado del tratamiento a Encargado del tratamiento) de las Cláusulas Contractuales Tipo de la UE se aplicará a dichas transferencias. | |
8.4. | Aplicabilidad de las cláusulas contractuales tipo de la UE cuando Delighted está situado en un tercer país |
8.4.1. | Cuando Delighted se encuentre en un Tercer País, o en un país que requiera el uso de las Cláusulas Contractuales Tipo de la UE para las transferencias de Datos Personales a dicho país, Delighted y el Cliente suscriben por la presente las Cláusulas Contractuales Tipo de la UE con el Cliente como exportador de datos y Delighted como importador de datos de la siguiente manera: |
a) El módulo 2 (Responsable del tratamiento a encargado del tratamiento) se aplicará cuando el Cliente sea un Responsable del tratamiento; y | |
b) El Módulo 3 (de Encargado del Tratamiento a Encargado del Tratamiento) se aplicará cuando el Cliente sea Encargado del Tratamiento. Cuando el Cliente actúe como Encargado del Tratamiento con arreglo al Módulo 3 (de Encargado del Tratamiento a Encargado del Tratamiento) de las Cláusulas Contractuales Tipo de la UE, Delighted reconoce que el Cliente actúa como Encargado del Tratamiento siguiendo las instrucciones de su(s) Responsable(s). | |
Otros Controladores o Procesadores cuyo uso de los Servicios en la nube haya sido autorizado por el Cliente en virtud del Acuerdo también podrán suscribir las Cláusulas Contractuales Tipo de la UE con Delighted del mismo modo que el Cliente, de conformidad con la Sección 8.4.1 anterior. En tal caso, el Cliente suscribe las Cláusulas Contractuales Tipo de la UE en nombre de otros Controladores o Procesadores. | |
8.4.2. | Cuando el Cliente esté ubicado en un Tercer País y actúe como importador de datos en virtud del Módulo 2 o el Módulo 3 de las Cláusulas Contractuales Tipo de la UE y Delighted actúe como subencargado del tratamiento del Cliente, el exportador de datos respectivo tendrá el siguiente derecho de tercero beneficiario: |
En caso de que el Cliente haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente (en todos los casos sin una entidad sucesora que haya asumido las obligaciones legales del Cliente por contrato o por ministerio de la ley), el exportador de datos respectivo tendrá derecho a cancelar el Servicio Delighted afectado únicamente en la medida en que se procesen los Datos Personales del exportador de datos. En tal caso, el exportador de datos correspondiente también dará instrucciones a Delighted para que borre o devuelva los Datos Personales. | |
8.4.3. | A petición de un Sujeto de Datos, el Cliente podrá poner a disposición de los Sujetos de Datos una copia del Módulo 2 o 3 de las Cláusulas Contractuales Tipo de la UE suscritas entre el Cliente y Delighted (incluidos los Anexos correspondientes). |
8.5. | Aplicabilidad de las Cláusulas Contractuales Tipo de la UE cuando la Ley de Protección de Datos aplicable exija una modificación de las Cláusulas Contractuales Tipo de la UE |
Sin perjuicio de lo dispuesto en los apartados 8.2 a 8.4, cuando la Ley de Protección de Datos aplicable exija una variación de las Cláusulas Contractuales Tipo de la UE, éstas se interpretarán como sigue: | |
8.5.1. | En relación con la Ley suiza de protección de datos ("FDPA"): |
a) se considerará que las referencias a un "Estado miembro" en las cláusulas contractuales tipo de la UE incluyen a Suiza; | |
b) las referencias al Derecho de la Unión Europea o de un Estado miembro en las Cláusulas Contractuales Tipo de la UE se entenderán hechas al DFPA; | |
c) el Comisario Federal Suizo de Protección de Datos e Información será la única autoridad competente en materia de protección de datos o, en caso de que tanto la FDPA como el GDPR se apliquen a dicha transferencia, una de ellas, en virtud de las Cláusulas Contractuales Tipo de la UE; | |
d) los términos utilizados en las cláusulas contractuales tipo de la UE que se definen en la FDPA se interpretarán en el sentido de la FDPA; y | |
e) cuando la FDPA proteja a personas jurídicas como interesados, se aplicarán las cláusulas contractuales tipo de la UE a los datos relativos a personas jurídicas identificadas o identificables. | |
8.5.2. | En relación con la Ley de Protección de Datos de 2018 del Reino Unido ("GDPR del Reino Unido"), a partir del 21 de septiembre de 2022, las Cláusulas Contractuales Tipo de la UE se interpretarán e interpretarán de conformidad con las Cláusulas Obligatorias de la Adenda Aprobada, siendo la plantilla de la Adenda B.1.0 emitida por la OIC y presentada ante el Parlamento de conformidad con s119A de GDPR del Reino Unido el 2 de febrero de 2022, ya que se revisa en virtud de la Sección 18 de dichas Cláusulas Obligatorias, y se adjunta en el Anexo 3 (la "Adenda Aprobada"). En los anexos 1 y 2 figura la información correspondiente a la parte 1, cuadros, del apéndice aprobado. |
8.6. | Relación de las cláusulas contractuales tipo con el acuerdo |
Nada de lo dispuesto en el Acuerdo se interpretará en el sentido de que prevalece sobre cualquier cláusula contradictoria de las Cláusulas Contractuales Tipo de la UE. Para evitar dudas, cuando el presente APD especifique además normas de auditoría y subencargados del tratamiento, dichas especificaciones también se aplicarán en relación con las Cláusulas Contractuales Tipo de la UE. | |
9. | DOCUMENTACIÓN; REGISTROS DE TRATAMIENTO |
Each party is responsible for its compliance with its documentation requirements, in particular maintaining records of processing where required under Data Protection Law. Each party shall reasonably assist the other party in its documentation requirements, including providing the information the other party needs from it in a manner reasonably requested by the other party (such as using an electronic system), in order to enable the other party to comply with any obligations relating to maintaining records of processing. | |
Schedule 1 Description of the Processing | |
Este Anexo 1 se aplica para describir el Tratamiento de Datos Personales a efectos de las Cláusulas Contractuales Tipo de la UE y la Ley de Protección de Datos aplicable. | |
1. | Cláusulas facultativas de las cláusulas contractuales tipo de la UE |
1.1. | Salvo que la legislación aplicable en materia de protección de datos exija una modificación de las Cláusulas Contractuales Tipo de la UE, la legislación aplicable a las Cláusulas Contractuales Tipo de la UE será la legislación alemana. |
1.2. | No se aplicarán las cláusulas opcionales 7 y la opción de la cláusula 11a de las Cláusulas Contractuales Tipo de la UE. |
1.3. | La opción 2, Autorización general por escrito de la cláusula 9, se aplicará de conformidad con los plazos de notificación establecidos en la sección 7 de la presente DPA. |
2. | LISTA DE PARTIDOS |
2.1. | En virtud de las cláusulas contractuales tipo de la UE |
2.1.1. | Módulo 2: Transferir el controlador al procesador |
Cuando Delighted esté situado en un Tercer País, el Cliente sea el Responsable del Tratamiento y Delighted sea el Encargado del Tratamiento, entonces el Cliente será el exportador de datos y Delighted será el importador de datos. | |
2.1.2. | Módulo 3: Transferencia de procesador a procesador |
Si Delighted está situado en un Tercer País, el Cliente es un Encargado del Tratamiento y Delighted es un Encargado del Tratamiento, entonces el Cliente es el exportador de datos y Delighted es el importador de datos. | |
3. | DESCRIPCIÓN DE LA TRANSFERENCIA |
3.1. | Sujetos de los datos |
A menos que el exportador de datos disponga lo contrario, los Datos Personales transferidos se refieren a las siguientes categorías de Sujetos de Datos: empleados, contratistas, socios comerciales u otros individuos que tengan Datos Personales almacenados en el Servicio en la Nube, transmitidos a, puestos a disposición de, accedidos a o procesados de otro modo por el importador de datos. | |
3.2. | Categorías de datos |
Los Datos Personales transferidos se refieren a las siguientes categorías de datos: | |
El Cliente determina las categorías de datos y/o los campos de datos que podrían transferirse por cada Servicio en la nube suscrito. El Cliente puede configurar los campos de datos durante la implementación del Servicio en la nube o según lo dispuesto por el Servicio en la nube. Los Datos Personales transferidos suelen estar relacionados con las siguientes categorías de datos: nombre, números de teléfono, dirección de correo electrónico, dirección, datos de acceso/uso/autorización del sistema, nombre de la empresa, datos contractuales, datos de facturación, además de cualquier dato específico de la aplicación que los Usuarios Autorizados hayan transferido o introducido en el Servicio en la Nube. | |
3.3. | Categorías especiales de datos (si se acuerda) |
3.3.1. | Los Datos Personales transferidos pueden incluir categorías especiales de datos personales establecidas en el Acuerdo ("Datos Sensibles"). Delighted ha adoptado Medidas Técnicas y Organizativas según lo establecido en el Anexo 2 para garantizar un nivel de seguridad adecuado para proteger también los Datos Sensibles. |
3.3.2. | La transferencia de Datos Sensibles puede desencadenar la aplicación de las siguientes restricciones o salvaguardias adicionales si es necesario para tener en cuenta la naturaleza de los datos y el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas (si procede): |
a) formación del personal; | |
b) cifrado de datos en tránsito y en reposo; | |
c) registro de acceso al sistema y registro de acceso a datos generales. | |
3.3.3. | Además, los Servicios en la nube proporcionan medidas para el tratamiento de Datos sensibles, tal como se describe en la Documentación. |
3.4. | Finalidad de la transferencia y tratamiento posterior de los datos; naturaleza del tratamiento |
3.4.1. | Los Datos Personales transferidos están sujetos a las siguientes actividades básicas de tratamiento: |
a) uso de los Datos Personales para configurar, operar, supervisar y prestar el Servicio en la Nube (incluido el soporte operativo y técnico); | |
b) mejora continua de las características y funcionalidades de servicio proporcionadas como parte del Servicio en la Nube, incluida la automatización, el procesamiento de transacciones y el aprendizaje automático; | |
c) prestación de servicios profesionales; | |
d) comunicación a los Usuarios Autorizados; | |
e) almacenamiento de Datos Personales en centros de datos dedicados (arquitectura multiarrendatario); | |
f) publicación, desarrollo y carga de cualquier corrección o actualización del Servicio en la nube; | |
g) copia de seguridad y restauración de los Datos Personales almacenados en el Servicio en la Nube; | |
h) tratamiento informático de Datos Personales, incluyendo transmisión de datos, recuperación de datos, acceso a datos; | |
i) acceso a la red para permitir la transferencia de Datos Personales; | |
j) supervisión, resolución de problemas y administración de la infraestructura y la base de datos subyacentes del servicio en nube; | |
k) supervisión de la seguridad, apoyo a la detección de intrusiones en la red, pruebas de penetración; y | |
l) ejecución de las instrucciones del Cliente de conformidad con el Acuerdo. | |
3.4.2. | El propósito de la transferencia es proporcionar y dar soporte al Servicio en la Nube. Delighted y sus Subprocesadores pueden dar soporte a los centros de datos del Servicio en la Nube de forma remota. Delighted y sus Subprocesadores proporcionan soporte cuando un Cliente envía un ticket de soporte tal y como se establece en el Acuerdo. |
3.5. | Descripción adicional de las cláusulas contractuales tipo de la UE: |
3.5.1. | El propósito de la transferencia es proporcionar y dar soporte al Servicio en la Nube correspondiente. Delighted y sus Subprocesadores pueden proporcionar o dar soporte al Servicio en la Nube de forma remota. |
3.5.2. | Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento: |
En lo que respecta a las cláusulas contractuales tipo de la UE, las transferencias a los subencargados del tratamiento se realizarán sobre la misma base que la establecida en la DPA. | |
3.5.3. | La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua). |
Los Datos Personales se transferirán de forma continuada mientras dure el Acuerdo. | |
3.5.4. | El periodo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho periodo. |
Los Datos Personales se conservarán mientras dure el Acuerdo y estarán sujetos a la Sección 5 de la DPA. | |
4. | AUTORIDAD SUPERVISORA COMPETENTE |
4.1. | Con respecto a las cláusulas contractuales tipo de la UE: |
4.1.1. | Módulo 2: Transferir el controlador al procesador |
4.1.2. | Módulo 3: Transferencia de procesador a procesador |
4.2. | Where Customer is the data exporter, the supervisory authority shall be the competent supervisory authority that has supervision over the Customer in accordance with Clause 13 of the EU Standard Contractual Clauses. |
Programa 2 Medidas técnicas y organizativas | |
Este Anexo 2 se aplica para describir las medidas técnicas y organizativas aplicables a efectos de las Cláusulas Contractuales Tipo de la UE y la Ley de Protección de Datos aplicable. | |
Delighted aplicará y mantendrá las Medidas Técnicas y Organizativas. | |
En la medida en que la prestación del Servicio en la Nube incluya Nuevas Transferencias Relevantes para la CSC, las Medidas Técnicas y Organizativas establecidas en el Anexo 2 describen las medidas y salvaguardas que se han tomado para tener plenamente en cuenta la naturaleza de los datos personales y los riesgos que entrañan. Si las leyes locales pueden afectar al cumplimiento de las cláusulas, esto puede desencadenar la aplicación de salvaguardias adicionales aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino (si procede: cifrado de datos en tránsito, cifrado de datos en reposo, anonimización, seudonimización). | |
1. | MEDIDAS TÉCNICAS Y ORGANIZATIVAS |
Las siguientes secciones definen las medidas técnicas y organizativas actuales de Delighted. Delighted podrá modificarlas en cualquier momento sin previo aviso siempre que mantenga un nivel de seguridad comparable o superior. Las medidas individuales pueden ser sustituidas por nuevas medidas que sirvan al mismo propósito sin disminuir el nivel de seguridad que protege los Datos Personales. | |
1.1 | Control de acceso físico. Se impide que personas no autorizadas accedan físicamente a los locales, edificios o salas donde se encuentran los sistemas de tratamiento de datos que procesan y/o utilizan Datos Personales. |
Medidas: | |
- Delighted protege sus activos e instalaciones utilizando los medios adecuados basados en la política de seguridad de Delighted . | |
- En general, los edificios se protegen mediante sistemas de control de acceso (por ejemplo, sistema de acceso con tarjeta inteligente). | |
- Como requisito mínimo, los puntos de entrada más exteriores del edificio deben estar equipados con un sistema de llaves certificado que incluya una gestión de llaves moderna y activa. | |
- Dependiendo de la clasificación de seguridad, los edificios, las zonas individuales y los locales circundantes pueden protegerse aún más con medidas adicionales. Entre ellas figuran perfiles de acceso específicos, videovigilancia, sistemas de alarma contra intrusos y sistemas biométricos de control de acceso. | |
- Los derechos de acceso se conceden a las personas autorizadas de forma individual de acuerdo con las medidas de control de acceso al sistema y a los datos (véanse los apartados 1.2 y 1.3). Esto también se aplica al acceso de visitantes. Los invitados y visitantes de los edificios de Delighted deben registrar sus nombres en recepción y deben ir acompañados por personal autorizado de Delighted . | |
- Los empleados de Delighted y el personal externo deben llevar sus tarjetas de identificación en todos los lugares de Delighted . | |
Medidas adicionales para los Centros de Datos: | |
- Todos los Centros de Datos se adhieren a estrictos procedimientos de seguridad aplicados por guardias, cámaras de vigilancia, detectores de movimiento, mecanismos de control de acceso y otras medidas para evitar que los equipos y las instalaciones del Centro de Datos se vean comprometidos. Sólo los representantes autorizados tienen acceso a los sistemas y la infraestructura dentro de las instalaciones del Centro de Datos. Para proteger su correcto funcionamiento, los equipos de seguridad física (por ejemplo, detectores de movimiento, cámaras, etc.) se someten a un mantenimiento periódico. | |
- Delighted y todos los proveedores externos de Centros de Datos registran los nombres y horarios del personal autorizado que entra en las zonas privadas de Delighteddentro de los Centros de Datos. | |
1.2 | Control de acceso al sistema. Debe impedirse que los sistemas de procesamiento de datos utilizados para prestar el Servicio en la nube se utilicen sin autorización. |
Medidas: | |
- Se utilizan múltiples niveles de autorización cuando se concede acceso a sistemas sensibles, incluidos los que almacenan y procesan Datos Personales. Las autorizaciones se gestionan mediante procesos definidos de acuerdo con la política de seguridad de Delighted . | |
- Todo el personal accede a los sistemas de Delightedcon un identificador único (ID de usuario). | |
- Delighted dispone de procedimientos para que los cambios de autorización solicitados se apliquen únicamente de conformidad con la política de seguridad de Delighted (por ejemplo, no se conceden derechos sin autorización). En caso de que el personal abandone la empresa, se revocan sus derechos de acceso. | |
- Delighted ha establecido una política de contraseñas que prohíbe compartirlas, regula las respuestas a la revelación de contraseñas y exige que éstas se cambien periódicamente y que se modifiquen las contraseñas predeterminadas. Se asignan identificadores de usuario personalizados para la autenticación. Todas las contraseñas deben cumplir unos requisitos mínimos definidos y se almacenan de forma encriptada. En el caso de las contraseñas de dominio, el sistema obliga a cambiarlas cada seis meses en cumplimiento de los requisitos de contraseñas complejas. Cada ordenador dispone de un salvapantallas protegido por contraseña. | |
- La red de la empresa está protegida de la red pública por cortafuegos. | |
- Delighted utiliza software antivirus actualizado en los puntos de acceso a la red de la empresa (para las cuentas de correo electrónico), así como en todos los servidores de archivos y todas las estaciones de trabajo. | |
- La gestión de los parches de seguridad se realiza de forma regular y periódica. | |
- actualizaciones de seguridad. El acceso remoto completo a la red corporativa y a la infraestructura crítica de Delightedestá protegido por una autenticación robusta. | |
1.3 | Control de acceso a los datos. Las personas autorizadas a utilizar los sistemas de tratamiento de datos sólo tienen acceso a los Datos Personales a los que tienen derecho a acceder, y los Datos Personales no deben ser leídos, copiados, modificados o eliminados sin autorización en el curso de su tratamiento, uso y almacenamiento. |
Medidas: | |
- Como parte de la política de seguridad de Delighted , los datos personales requieren al menos el mismo nivel de protección que la información "confidencial" según la norma de clasificación de la información Delighted . | |
- El acceso a los datos personales se concede en función de la necesidad de conocerlos. El personal tiene acceso a la información que necesita para cumplir con su deber. Delighted utiliza conceptos de autorización que documentan los procesos de concesión y las funciones asignadas por cuenta (ID de usuario). Todos los datos de los clientes están protegidos de acuerdo con la política de seguridad de Delighted . | |
- Todos los servidores de producción funcionan en los Centros de Datos o en salas de servidores seguras. Las medidas de seguridad que protegen las aplicaciones que procesan Datos Personales se comprueban periódicamente. A tal fin, Delighted lleva a cabo controles de seguridad internos y externos y pruebas de penetración en sus sistemas informáticos. | |
- La norma de seguridad Delighted regula cómo se borran o destruyen los datos y soportes de datos cuando ya no son necesarios. | |
1.4 | Control de la transmisión de datos. Salvo en la medida en que sea necesario para la prestación de los Servicios en la Nube de conformidad con el Acuerdo, los Datos Personales no deben ser leídos, copiados, modificados o eliminados sin autorización durante su transferencia. Cuando los soportes de datos se transporten físicamente, se aplicarán las medidas adecuadas en Delighted para proporcionar los niveles de servicio acordados (por ejemplo, cifrado y contenedores revestidos de plomo). |
Medidas: | |
- Los datos personales transferidos a través de las redes internas de Delighted están protegidos de acuerdo con la política de seguridad de Delighted . | |
- Cuando se transfieren datos entre Delighted y sus clientes, las medidas de protección de los Datos Personales transferidos se acuerdan mutuamente y forman parte del acuerdo pertinente. Esto se aplica tanto a la transferencia física de datos como a la basada en la red. En cualquier caso, el Cliente asume la responsabilidad de cualquier transferencia de datos una vez que se encuentre fuera de los sistemas controlados por Delighted(por ejemplo, datos que se transmiten fuera del cortafuegos del Centro de Datos de Delighted ). | |
1.5 | Control de la introducción de datos. Será posible examinar retrospectivamente y determinar si se han introducido, modificado o eliminado Datos Personales de los sistemas de tratamiento de datos de Delighted y quién lo ha hecho. |
Medidas: | |
- Delighted sólo permite que el personal autorizado acceda a los Datos Personales cuando sea necesario en el desempeño de sus funciones. | |
- Delighted ha implementado un sistema de registro para la introducción, modificación y eliminación o bloqueo de Datos Personales por parte de Delighted o sus subprocesadores dentro del Servicio en la Nube en la medida en que sea técnicamente posible. | |
1.6 | Control del trabajo. Los Datos Personales que se procesan por encargo (es decir, los Datos Personales procesados en nombre de un cliente) se procesan únicamente de conformidad con el Acuerdo y las instrucciones relacionadas del cliente. |
Medidas: | |
- Delighted utiliza controles y procesos para supervisar el cumplimiento de los contratos entre Delighted y sus clientes, subprocesadores u otros proveedores de servicios. | |
- Como parte de la política de seguridad de Delighted , los datos personales requieren al menos el mismo nivel de protección que la información "confidencial" según la norma de clasificación de la información Delighted . | |
- Todos los empleados de Delighted y los subprocesadores contractuales u otros proveedores de servicios están obligados contractualmente a respetar la confidencialidad de toda la información sensible, incluidos los secretos comerciales de los clientes y socios de Delighted . | |
1.7 | Control de disponibilidad. Los Datos Personales estarán protegidos contra la destrucción o pérdida accidental o no autorizada. |
Medidas: | |
- Delighted emplea procesos regulares de copia de seguridad para restaurar los sistemas críticos de la empresa cuando sea necesario. | |
- Delighted utiliza fuentes de alimentación ininterrumpida (por ejemplo: SAI, baterías, generadores, etc.) para proteger la disponibilidad de energía en los Centros de Datos. | |
- Delighted ha definido planes de contingencia empresariales para los procesos críticos para el negocio y puede ofrecer estrategias de recuperación ante desastres para los Servicios críticos para el negocio, tal y como se establece con más detalle en la Documentación o se incorpora en el Formulario de Aceptación del CLUF para el Servicio en la Nube correspondiente. | |
- Los procesos y sistemas de emergencia se prueban periódicamente. | |
1.8 | Control de separación de datos. |
Medidas: | |
- Delighted utiliza las capacidades técnicas del software desplegado (por ejemplo: multi-tenancy, system landscapes) para lograr la separación de datos entre los Datos Personales procedentes de múltiples clientes. | |
- El Cliente (incluidos sus Controladores) sólo tiene acceso a sus propios datos. | |
1.9 | Control de integridad de los datos. Los Datos Personales permanecerán intactos, completos y actualizados durante las actividades de tratamiento. |
Medidas: | |
Delighted ha implementado una estrategia de defensa multicapa como protección contra modificaciones no autorizadas. | |
En concreto, Delighted utiliza lo siguiente para aplicar las secciones de control y medida descritas anteriormente: | |
- Cortafuegos; | |
- Centro de Control de Seguridad; | |
- Software antivirus; | |
- Copia de seguridad y recuperación; | |
- Pruebas de penetración externas e internas; | |
• Regular external audits to prove security measures. | |
Anexo 3 - Adenda sobre transferencia internacional de datos a las cláusulas contractuales tipo de la UE: Cuadros | |
Cuadro 1: Partes |
Fecha de entrada en vigor del apéndice |
(a) el 21 de septiembre de 2022, cuando la fecha de entrada en vigor del Acuerdo sea anterior al 21 de septiembre de 2022; o (b) en caso contrario, en la fecha de entrada en vigor del Acuerdo. Sin perjuicio de la Fecha de entrada en vigor del presente Anexo, el Cliente reconoce que Delighted implementará el Anexo del Reino Unido con los subprocesadores dentro del plazo permitido por la legislación aplicable, y en la Fecha de entrada en vigor del presente Anexo, es posible que el Anexo del Reino Unido no esté implementado con los subprocesadores. |
|
Las Partes | Exportador (que envía la transferencia restringida) | Importador (que recibe la transferencia restringida) |
Datos de las partes | Cliente | Delighted |
Contacto clave | Véanse los detalles en el Anexo 1 de la DPA. El responsable de protección de datos u otro representante legal del cliente será el contacto clave. El cliente facilitará estos datos a petición de Delighted. | Véanse los detalles en el Anexo 1 de la DPA. DelightedEl responsable de protección de datos u otro representante legal del Cliente será el contacto clave. Delighted facilitará estos datos a petición del Cliente. |
Cuadro 2: SCC, módulos y cláusulas seleccionados
Adenda CCE UE | La versión de las CEC aprobadas de la UE, a la que se adjunta este apéndice, se detalla a continuación, incluida la información del apéndice: Fecha: Fecha de entrada en vigor del APD Referencia: las Cláusulas Contractuales Tipo de la UE a las que se hace referencia en el APD |
Cuadro 3: Información del apéndice
"Información del Apéndice" se refiere a la información que debe facilitarse para los módulos seleccionados según lo establecido en el Apéndice de las CEC aprobadas de la UE (distintas de las Partes), y que para el presente Addendum se establece en:
Anexo 1A: Lista de Partes: Véase el Anexo 1 del APD |
Anexo 1B: Descripción de la transferencia: Véase el Anexo 1 de la DPA |
Anexo II: Medidas técnicas y organizativas que incluyen medidas técnicas y organizativas para garantizar la seguridad de los datos: Véase el anexo 2 de la DPA |
Tabla 4: Finalización de este apéndice cuando cambie el apéndice aprobado
Finalización de esta Adenda cuando cambie la Adenda aprobada | Las Partes podrán poner fin al presente Addendum según lo establecido en la Sección 19: Importador Exportador Ninguna de las Partes |