Proton

Acuerdo para el tratamiento de datos

Última modificación: 23 de septiembre de 2024

Este Acuerdo para el Procesamiento de Datos ("Acuerdo") forma parte del Contrato de Servicios según los Términos y Condiciones de Proton AG (el “Acuerdo Principal”) entre Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Suiza, número de identificación de la empresa CHE-354.686.492 (denominado como el "Procesador") y la Empresa que utiliza los servicios de Proton (denominada como la "Empresa").

Este Acuerdo regula los requisitos específicos de las Leyes de Protección de Datos en la medida en que el uso de los Servicios de Proton por parte de la Empresa implique el procesamiento de Datos Personales sujetos a las Leyes de Protección de Datos.

Este Acuerdo es complementario a nuestra Política de Privacidad, que sirve como la referencia principal para nuestras prácticas y medidas de protección de datos.

El término de este Acuerdo seguirá el término del Acuerdo Principal. Los términos no definidos en este documento tendrán el significado establecido en el Acuerdo Principal.

CONSIDERANDO QUE:

A) La Empresa actúa como Controlador de Datos (el "Controlador").

B) La Empresa desea subcontratar ciertos Servicios (como se define a continuación), que implican el procesamiento de Datos Personales, a Proton AG, que actúa como el Procesador de Datos (el "Procesador").

C) Las Partes buscan implementar un acuerdo de procesamiento de datos que cumpla con los requisitos del marco legal vigente en relación con el procesamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento de Datos Personales y sobre la libre circulación de dichos datos, y derogando la Directiva 95/46/CE (Reglamento General de Protección de Datos) y otras leyes de protección de datos aplicables.

D) Las Partes desean establecer sus derechos y obligaciones.

SE ACUERDA LO SIGUIENTE:

1. Definiciones e Interpretación

A menos que se defina lo contrario en este documento, los términos y expresiones escritos en mayúsculas utilizados en este DPA tendrán el siguiente significado:

1.1) "Acuerdo" se refiere a este Acuerdo de Procesamiento de Datos y todos los Anexos;

1.2) "Datos Personales de la Empresa" se refiere a cualquier Dato Personal relacionado con la Empresa o los clientes o empleados de la Empresa Procesado en relación con el Acuerdo Principal;

1.3) "Procesador Contratado" se refiere a un Subprocesador;

1.4) "Leyes de Protección de Datos" se refiere a las Leyes de Protección de Datos de la UE y, en la medida aplicable, las leyes de protección o privacidad de los datos de cualquier otro país;

1.5) "EEE" se refiere al Espacio Económico Europeo;

1.6) "Leyes de Protección de Datos de la UE" se refiere a la Directiva de la UE 95/46/CE, según se transponga a la legislación nacional de cada Estado Miembro y según sea modificada, reemplazada o sustituida periódicamente por el RGPD y las leyes que implementan o complementan el RGPD, entre otros;

1.7) "RGPD" se refiere al Reglamento General de Protección de Datos de la UE 2016/679;

1.8) "Transferencia de Datos" se refiere a lo siguiente:

  • 1.8.1) una transferencia de Datos Personales de la Empresa del Controlador al Procesador o a un Procesador Contratado; o
  • 1.8.2) una transferencia posterior de Datos Personales de la Empresa del Procesador a un Subprocesador, o entre dos establecimientos de un Subprocesador;

1.9) "Servicios" se refiere a los servicios seguros en línea proporcionados por el Procesador, tales como correo electrónico, calendario, drive y otros servicios desarrollados por el Procesador. Los detalles y precios de los Servicios se pueden encontrar en el sitio web del Procesador.

1.10) "Subprocesador" se refiere a cualquier persona nombrada por o en nombre del Procesador para procesar Datos Personales en nombre del Controlador en relación con el Acuerdo.

Los términos, "Comisión", "Controlador", "Sujeto de Datos", "Estado Miembro", "Datos Personales", "Vulneración de Datos Personales", "Procesamiento" y "Autoridad de Supervisión" tendrán el mismo significado que en el RGPD o en otra Ley de Protección de Datos aplicable, y sus términos relacionados se interpretarán en consecuencia.

2. Procesamiento de Datos Personales de la Empresa

El Procesador deberá:

2.1) cumplir con todas las Leyes de Protección de Datos aplicables en el Procesamiento de Datos Personales de la Empresa;

2.2) y no procesar los Datos Personales de la Empresa fuera de las instrucciones documentadas del Controlador en la sección 2.

El Controlador instruye al Procesador a fin de procesar los Datos Personales de la Empresa para:

2.3) proporcionar los Servicios y el soporte técnico relacionado;

2.4) cumplir con obligaciones legales o resolver disputas;

2.5) realizar cualquier tarea interna destinada a optimizar la seguridad, privacidad, confidencialidad y funcionalidades de los Servicios;

2.6) realizar informes internos, informes financieros y otras tareas internas similares.

3. Personal del Procesador

El Procesador deberá tomar medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales de la Empresa, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesitan conocer / acceder a los Datos Personales de la Empresa relevantes, según sea estrictamente necesario para los fines del Acuerdo Principal, y/o para cumplir con las Leyes de Protección de Datos y otra legislación relevante en el contexto de las obligaciones de ese individuo hacia el Procesador Contratado, asegurando que todos esos individuos estén sujetos a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.

4. Seguridad

De acuerdo con el Artículo 32 (1) del RGPD, el Procesador deberá implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo, teniendo en cuenta el estado de la técnica, los costos de implementación, y la naturaleza, el alcance, el contexto y los propósitos del procesamiento. Estas medidas deberán estar diseñadas para proteger los derechos y libertades de las personas físicas, considerando los riesgos de probabilidad y gravedad variables, incluyendo el riesgo de una Vulneración de Datos Personales.

El Procesador también deberá evaluar los riesgos asociados con las actividades de procesamiento y aplicar medidas que sean consistentes con los requisitos establecidos en el Artículo 32 (1) del RGPD, garantizando la seguridad de los Datos Personales de la Empresa en todo momento.

5. Subprocesamiento

Sujeto a este Acuerdo, la Empresa otorga autorización general al Procesador para involucrar Subprocesadores y divulgar o transferir los Datos Personales de la Empresa a ellos. La Empresa reconoce y aprueba la lista de Subprocesadores descrita en la Política de Privacidad del Procesador, entendiendo que esta lista puede ser actualizada regularmente por el Procesador, en cuyo caso la empresa será informada por el Procesador de acuerdo con el proceso de notificación de la Política de Privacidad. Además, la Empresa autoriza al Procesador a divulgar y transferir Datos Personales a cualquier empresa dentro de su grupo corporativo.

El Procesador asegura que los Subprocesadores están sujetos a un acuerdo con el Procesador no menos restrictivo y protector que el presente Acuerdo con respecto a la protección de los Datos Personales de la Empresa en la medida que sea aplicable a la naturaleza de los servicios prestados por el Subprocesador.

6. Derechos de los Sujetos de Datos

Teniendo en cuenta la naturaleza del procesamiento, el Procesador deberá asistir razonablemente a la Empresa en el cumplimiento de las obligaciones de la Empresa para responder a solicitudes a fin de ejercer los derechos de los Sujetos de Datos según las Leyes de Protección de Datos.

El Procesador deberá:

6.1) notificar de inmediato a la Empresa si recibe una solicitud de un Sujeto de Datos según cualquier Ley de Protección de Datos en relación con los Datos Personales de la Empresa; y

6.2) garantizar que no responde a esa solicitud excepto según las instrucciones documentadas del Controlador o según lo exijan las Leyes Aplicables a las que el Procesador esté sujeto, en cuyo caso el Procesador, en la medida permitida por las Leyes Aplicables, informará al Controlador de ese requisito legal antes de que el Procesador Contratado responda a la solicitud.

7. Vulneración de Datos Personales

El Procesador deberá gestionar cualquier Vulneración de Datos Personales en cumplimiento de las Leyes de Protección de Datos aplicables y sus procedimientos internos de Vulneración de Datos Personales. En el caso de una Vulneración de Datos Personales que afecte a los Datos Personales de la Empresa, el Procesador deberá notificar a la Empresa sin demora, proporcionando información suficiente para permitir que la Empresa cumpla con sus obligaciones según las Leyes de Protección de Datos, incluyendo informar a los Sujetos de Datos según sea necesario. En tales casos, el Procesador deberá proporcionar a la Empresa información suficiente para permitir que la Empresa cumpla con cualquier obligación de reportar o informar a los Sujetos de Datos de la Vulneración de Datos Personales según las Leyes de Protección de Datos.

El Procesador deberá cooperar con la Empresa y tomar medidas comerciales razonables según sean indicadas por la Empresa para ayudar en la investigación, mitigación y corrección de cada Vulneración de Datos Personales.

Cada parte asumirá los costos de la investigación, corrección, mitigación y otros costos relacionados en la medida en que una Vulneración de Datos sea causada por tal parte.

Cada parte asumirá los costos de multas, penalizaciones, daños u otros montos relacionados impuestos por un organismo regulador autorizado, agencia gubernamental o tribunal de jurisdicción competente en la medida en que resulten de la vulneración por parte de tal parte de sus obligaciones según el presente Acuerdo.

8. Evaluación de Impacto en la Protección de Datos y Consulta Previa

El Procesador deberá proporcionar asistencia razonable a la Empresa con cualquier evaluación de impacto en la protección de datos y consulta previa con Autoridades de Supervisión u otras autoridades de privacidad de datos competentes, que el Controlador considere razonablemente que se requieren según el artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de los Datos Personales de la Empresa por parte de, y tomando en cuenta la naturaleza del Procesamiento y la información disponible para, los Procesadores Contratados.

9. Eliminación o devolución de los Datos Personales de la Empresa

En caso de cese de cualquier Servicio que implique el Procesamiento de Datos Personales de la Empresa, el Procesador deberá eliminar todos los Datos Personales de la Empresa en la medida permitida por las leyes aplicables y de acuerdo con los Términos y Condiciones y la Política de Privacidad del Procesador. Si la Empresa requiere una copia de sus datos, debe solicitarla antes de la eliminación de su cuenta; ya no se podrán considerar las solicitudes realizadas después de que la cuenta se haya eliminado.

10. Derechos de Auditoría

Sujeto a esta sección 10, el Procesador deberá poner a disposición de la Empresa, a petición, toda la información necesaria para demostrar el cumplimiento con este Acuerdo, y deberá permitir y contribuir a auditorías, incluyendo inspecciones, por parte de la Empresa o un auditor encomendado por la Empresa en relación con el Procesamiento de los Datos Personales de la Empresa por parte de los Procesadores Contratados. La Empresa no ejercerá sus derechos de auditoría más de una vez por año calendario, excepto tras una Vulneración de Datos Personales o una instrucción de una autoridad regulatoria. La Empresa deberá dar al Procesador al menos sesenta (60) días de aviso previo por escrito de su intención de auditar al Procesador conforme a este Acuerdo. La auditoría se llevará a cabo durante el horario comercial del Procesador, no deberá interrumpir las operaciones del Procesador y deberá garantizar la protección de los Datos Personales de la Empresa, del Procesador y de otros Sujetos de Datos. El Procesador y la Empresa acordarán mutuamente por anticipado la fecha, el alcance, la duración y los controles de seguridad y confidencialidad aplicables a la auditoría. La Empresa reconoce que la firma de un acuerdo de confidencialidad puede ser requerida por el Controlador antes de la realización de la auditoría.

Los derechos de información y auditoría de la Empresa solo surgen según la sección 10 en la medida en que el Acuerdo no les otorgue, de otro modo, derechos de información y auditoría que cumplan con los requisitos relevantes de la Ley de Protección de Datos.

11. Transferencia de Datos

En la medida de lo posible, el Procesador deberá transferir o autorizar la transferencia de Datos únicamente a Suiza, a países dentro de la UE y/o a países sujetos a una decisión de adecuación, según lo estipulan el artículo 45 del RGPD y el artículo 16 de la LFPD suiza. Si los Datos Personales procesados según este Acuerdo se transfieren desde Suiza o cualquier país dentro de la UE o cualquier país sujeto a una decisión de adecuación hasta un país fuera de este ámbito, las Partes deberán garantizar que se protejan adecuadamente los Datos Personales. Para lograr esto, las Partes dependerán, a menos que se acuerde lo contrario, de cláusulas contractuales estándar aprobadas y vigentes de Suiza, y/o la UE, y/o el Reino Unido para la transferencia de Datos Personales u otros mecanismos de transferencia tal como lo proporcionan las Leyes de Protección de Datos. El Procesador estará autorizado a realizar tales transferencias a Subprocesadores siempre que se implementen garantías adecuadas con respecto a la naturaleza de la transferencia.

12. Términos Generales

Cumplimiento de las Leyes Aplicables. El Procesador procesará los Datos Personales de la Empresa de conformidad con este Acuerdo y las Leyes de Protección de Datos aplicables a su rol según este Acuerdo. El Procesador no es responsable del, ni está obligado al, cumplimiento de las Leyes de Protección de Datos que sean únicamente aplicables a la Empresa en virtud de su negocio o industria.

Confidencialidad. Cada parte debe mantener la confidencialidad de toda información que reciba sobre la otra parte y su negocio en relación con este Acuerdo (“Información Confidencial”) y no debe usar ni divulgar tal Información Confidencial sin el consentimiento previo por escrito de la otra parte, excepto en la medida en que:

(a) la divulgación es requerida por la ley;

(b) la información relevante ya está en el dominio público sin culpa de las Partes.

Notificaciones. Todas las notificaciones y comunicaciones dadas según este Acuerdo deben ser por escrito y se enviarán por correo electrónico. El Controlador será notificado por correo electrónico enviado a la dirección relacionada con su uso de los Servicios según el Acuerdo Principal. El Procesador será notificado por correo electrónico enviado a la dirección: [email protected].

Ley Aplicable y Jurisdicción. Este Acuerdo se regirá por la ley suiza, sin tener en cuenta las disposiciones de elección o conflicto de leyes de cualquier jurisdicción que indique lo contrario, y las disputas, acciones, reclamaciones o causas de acción que surjan o estén relacionadas con este Acuerdo, un formulario de pedido, cualquier documento incorporado por referencia, la tecnología de Proton, o los Servicios estarán sujetos a la jurisdicción exclusiva de Ginebra, Suiza.