Política de condiciones

Anexo de procesamiento de datos global/EE. UU. predeterminado

APÉNDICE SOBRE PROCESAMIENTO DE DATOS GLOBAL/EE.UU.
ESTE ACUERDO DE PROCESAMIENTO DE DATOS SE APLICA SI SE HA REGISTRADO EN LOS SERVICIOS DE NITRO COMO CLIENTE EMPRESARIAL SEGÚN LOS TÉRMINOS DE SERVICIO DE NITRO A MENOS QUE EL GDPR DE LA UE, EL GDPR DEL REINO UNIDO O EL FADP (SUIZO) SE APLICEN AL PROCESAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DE EL CONTRATO, EN CUYO CASO SERÁ DE APLICACIÓN EL CORRESPONDIENTE ADENDA SOBRE TRATAMIENTO DE DATOS. EN CASO DE QUE SE REGISTRE COMO INDIVIDUO, VISITE LA POLÍTICA DE PRIVACIDAD DE NITRO PARA OBTENER MÁS INFORMACIÓN SOBRE CÓMO PROCESA NITRO SUS DATOS PERSONALES.

En consideración de las obligaciones mutuas establecidas en este Anexo de procesamiento de datos y todos los Anexos y Anexos del mismo (el “Anexo de procesamiento de datos”), cuya suficiencia se reconoce, Nitro (como se define en la Sección 2 de los Términos de servicio de Nitro ) y la entidad legal identificada en el Formulario de pedido como el cliente (“Cliente”) celebran este contrato vinculante entre ellos y aplicable a todos los Servicios (como se define en la Sección 2 de los Términos de servicio de Nitro) disponibles por Nitro. Nitro y el Cliente podrán ser denominados en el presente en conjunto como las "Partes" o individualmente como una "Parte".

1. ALCANCE; FUNCIONES DE LAS PARTES

Nitro recibirá y procesará Información personal en beneficio y en nombre del Cliente al proporcionar los Servicios, de acuerdo con las instrucciones y el propósito definido por el Cliente en los Detalles del procesamiento de datos. Este Anexo de procesamiento de datos establece los acuerdos específicos de las Partes con respecto al procesamiento de Información personal dentro del marco de este Anexo de procesamiento de datos y el Acuerdo.

De forma predeterminada, Nitro actuará como Procesador y el Cliente actuará como Controlador con respecto a los Servicios proporcionados por Nitro al Cliente de conformidad con los Términos de servicio de Nitro. Este Anexo de procesamiento de datos reemplaza y reemplaza todos los acuerdos anteriores celebrados (si los hubiera) con respecto al procesamiento de información personal y la protección de datos entre las Partes relacionadas con los Servicios ofrecidos por Nitro.

Este Anexo de procesamiento de datos complementa y forma parte de los Términos de servicio, y juntos los Términos de servicio y este Anexo de procesamiento de datos constituyen un acuerdo legal único entre las Partes. En caso de discrepancias o contradicciones entre este Anexo de Procesamiento de Datos y los Términos de Servicio, prevalecerá el Anexo de Procesamiento de Datos.

2. DEFINICIONES

“Anexo” significa cualquier anexo del presente Anexo de Procesamiento de Datos;

"Controlador " se refiere al Cliente tal como se identifica en los Términos de Servicio y el Formulario de Pedido aplicable;

“Detalles del procesamiento de datos” significa el Anexo 1 del presente Anexo de procesamiento de datos que describe las instrucciones del Cliente sobre el procesamiento de Información personal, como el propósito, el objeto y la naturaleza del procesamiento y el tipo de Información personal que se procesa;

“Sujeto de datos” o cualquier término equivalente (como “individuo”) tiene el significado establecido en la legislación de protección de datos aplicable, o cuando no se apliquen dichas leyes, significa una persona física identificada o identificable que se relaciona con el Cliente;

"Violación de datos " o cualquier término equivalente (como "violación de datos personales", "incidente de seguridad") tiene el significado establecido en la legislación de protección de datos aplicable, o cuando no se apliquen dichas leyes, significa cualquier (i) acceso no autorizado a, o uso, divulgación u otro procesamiento de Información personal del Cliente bajo la custodia de Nitro, (ii) robo o adquisición no autorizada de dicha Información personal, (iii) incidente que comprometa la seguridad de dicha Información personal;

RGPD UE” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 abril 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre movimiento de dichos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos);

“Anexo” significa cualquier anexo del presente Anexo de Procesamiento de Datos;

FADP” significa la Ley federal suiza sobre protección de datos (según enmendada);

Información personal” o cualquier término equivalente (como “datos personales” o “información de identificación personal”) tiene el significado establecido en la legislación de protección de datos aplicable o, cuando no se apliquen dichas leyes, significa cualquier información que por sí sola o cuando se combina con Nitro puede utilizar otra información (como el número de teléfono o la dirección de correo electrónico) para identificar a una persona física específica;

Procesador” se refiere a Nitro Software Inc., proveedor de los Servicios al Cliente y como se identifica en los Términos de Servicio;

“Lista de Subprocesadores” se refiere a la lista de Subprocesadores puesta a disposición en línea por Nitro que incluye a los Subprocesadores contratados por Nitro para la prestación de los Servicios y el cumplimiento de las obligaciones de Nitro en virtud del

Acuerdo en general. Nitro puede actualizar la Lista de subprocesadores periódicamente según el proceso establecido en este Anexo de procesamiento de datos;

“Subprocesador” significa cualquier procesador externo contratado por Nitro para el procesamiento de Información personal relacionada con la prestación de los Servicios al Cliente;

RGPD del Reino Unido” significa el RGPD de la UE transpuesto a la legislación nacional del Reino Unido en virtud de la sección 3 de la Ley de Retiro de la Unión Europea 2018 y modificado por la Ley de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE). Reglamento 2019 (según enmendado).

Todos los demás términos y definiciones escritos con letras mayúsculas y que no estén definidos expresamente en este Anexo de procesamiento de datos, se definen según lo establecido en la legislación de protección de datos aplicable o en los Términos de servicio de Nitro.

3. OBJETIVO DE ESTE ACUERDO DE PROCESAMIENTO DE DATOS

3.1 Este Anexo de Procesamiento de Datos determina las condiciones del procesamiento por parte de Nitro de la Información Personal. La naturaleza y el propósito del procesamiento, una lista y el tipo de Información personal, así como las categorías de los Interesados, se enumeran en los Detalles del procesamiento de datos (Anexo 1).

4. TÉRMINO

4.1 Este Anexo de procesamiento de datos es aplicable a todo procesamiento de Información personal y se aplica siempre que Nitro procese Información personal en nombre del Cliente en el contexto del Acuerdo. Este Anexo de procesamiento de datos complementa los Términos de servicio de Nitro y tiene como objetivo garantizar el cumplimiento de las Partes con los requisitos impuestos por las leyes y regulaciones de protección de datos aplicables para el uso de los Servicios por parte del Cliente.

4.2 Este Anexo de procesamiento de datos finaliza automáticamente al finalizar el Acuerdo (o en el momento en que finaliza el procesamiento por parte de Nitro). Las disposiciones de este Anexo de procesamiento de datos que, expresa o implícitamente (dada su naturaleza), están destinadas a tener efecto después de la terminación del Anexo de procesamiento de datos sobrevivirán a la finalización del Acuerdo con respecto a la Información personal comunicada por o por iniciativa del Cliente en el contexto del Acuerdo.

5. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

5.1 Nitro ha implementado medidas técnicas y organizativas adecuadas (“TOM”) destinadas a proteger el procesamiento de información personal. Los TOM implementados por Nitro son los establecidos en los Detalles de procesamiento de datos y Nitro puede actualizarlos de vez en cuando; sin embargo, Nitro se asegurará de no degradar la seguridad general que ha implementado en el momento de la ejecución del Anexo de procesamiento de datos. El Cliente reconoce que los TOM son adecuados para el procesamiento de su Información Personal al momento de firmar o aceptar este Anexo de Procesamiento de Datos.

5.2 En caso de que el Cliente solicite que Nitro implemente medidas técnicas y organizativas específicas (que Nitro no ha implementado de forma predeterminada), el Cliente reembolsará a Nitro por implementar dichas medidas adicionales de acuerdo con la Sección 11 "Costos" de este Anexo de procesamiento de datos. .

6. RETENCIÓN

6.1 Nitro no conservará la Información personal más tiempo del necesario para procesar dicha Información personal en el contexto del Acuerdo. El Cliente no ordenará a Nitro que almacene ninguna Información personal más tiempo del necesario. El período de retención aplicable (según lo definido por el Cliente) se establece en los Detalles del procesamiento de datos.

6.2 Nitro eliminará o devolverá toda la Información personal al Cliente una vez finalizada la prestación de los Servicios y eliminará las copias existentes a menos que la ley aplicable exija el almacenamiento de la Información personal. El Cliente reconoce que los Servicios pueden incluir funciones de descarga a su disposición para permitirle descargar sus datos. En la medida en que dichas funcionalidades estén disponibles, el Cliente deberá utilizarlas para extraer o eliminar sus datos.

7. CONFIDENCIALIDAD

7.1 Las partes han acordado una cláusula de confidencialidad en los Términos de servicio que se aplica al procesamiento de Información personal en el contexto del Acuerdo.7.2 Nitro reconoce y acepta que solo aquellos empleados, contratistas o agentes de Nitro que estén involucrados en el procesamiento de Información personal pueden ser informados sobre la Información personal y solo en la medida que sea razonablemente necesaria para el cumplimiento del Acuerdo. Nitro garantiza que las personas autorizadas para procesar la Información personal estén comprometidas con la confidencialidad por contrato o tengan una obligación legal de confidencialidad adecuada.

8. DEBER DE NOTIFICAR

8.1 Al tener conocimiento de una vulneración de datos, Nitro, en la medida requerida por la ley aplicable o un Anexo de este Anexo de procesamiento de datos, notificará al Cliente sin demora indebida comunicándose con la persona de contacto indicada en el Acuerdo o en el Pedido correspondiente. Formulario (o, alternativamente, a través de la dirección de correo electrónico de notificación del Cliente o (si corresponde) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal de administración como contacto de privacidad). Puede comunicarse con la persona de contacto de Nitro para cualquier asunto relacionado con la protección de datos por correo electrónico: privacidad@gonitro.com.

9. SUBPROCESAMIENTO

9.1 El Cliente autoriza expresamente a Nitro a contratar Subprocesadores para el procesamiento de Información personal para la ejecución del Acuerdo y para facilitar la prestación de los Servicios en general. En esta medida, el Cliente otorga una autorización general por escrito a Nitro para decidir con qué Subprocesador(es) coopera Nitro para el cumplimiento de sus obligaciones en virtud del Acuerdo. Nitro publica una Lista de Subprocesadores que hace referencia a los Subprocesadores contratados por Nitro.

10. DERECHO DE AUDITORÍA

10.1 El Cliente tiene derecho a realizar auditorías sobre el cumplimiento por parte de Nitro de sus obligaciones en virtud de este Anexo de Procesamiento de Datos y la legislación de protección de datos aplicable. Nitro hará todos los esfuerzos razonables para cooperar con dichas auditorías y poner a disposición toda la información necesaria para demostrar el cumplimiento de su obligación. El Cliente deberá notificar a Nitro de dicha auditoría al menos un (1) mes antes de la fecha en la que se realizará la auditoría, mediante notificación por escrito a Nitro a través de privacy@gonitro.com.

10.2 En caso de que se esté realizando una auditoría, todas las partes involucradas deberán firmar primero un acuerdo de confidencialidad específico emitido por Nitro con respecto a dicha auditoría y los resultados de la auditoría antes del inicio de la misma. Al realizar cualquier auditoría de este tipo, se deben tener en cuenta las obligaciones de confidencialidad de las Partes con respecto a terceros. Tanto las Partes como sus auditores deben mantener en secreto la información recopilada en relación con una auditoría y utilizarla exclusivamente para verificar su cumplimiento con este Anexo de Procesamiento de Datos y las leyes y regulaciones aplicables con respecto a la protección de datos. El Cliente tiene la opción de realizar la auditoría por sí mismo o de asignar un auditor independiente, sin embargo dicho auditor independiente deberá firmar debidamente el acuerdo de confidencialidad a que se refiere esta Sección.

10.3 Ambas Partes y, cuando corresponda, sus representantes, cooperarán razonablemente, previa solicitud, con cualquier regulador competente en relación con la auditoría.

10.4 El Cliente reembolsará a Nitro por la asistencia brindada por Nitro en relación con las auditorías de acuerdo con la Sección 11 "Costos" de este Anexo de procesamiento de datos. Entendiéndose que dicho reembolso no aplicará en caso (i) la auditoría sea resultado de una Violación de Datos demostrada atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no exceda las cuatro (4) horas de trabajo durante el plazo del Acuerdo.

11. COSTOS

11.1 La asistencia que se realizará en virtud de este Anexo de procesamiento de datos por la cual Nitro puede cobrar al Cliente, se cobrará en función de las horas trabajadas y las tarifas por hora estándar aplicables de Nitro ( 295USD /hora excluidos los impuestos). Nitro facturará estos importes mensualmente, pero también tiene derecho a solicitar un anticipo por adelantado.

11.2 El pago por parte del Cliente a Nitro por la asistencia y los servicios profesionales proporcionados por Nitro en virtud de este Anexo de Procesamiento de Datos se realizará de acuerdo con lo dispuesto en los Términos de Servicio.

12. RESPONSABILIDAD

12.1 Sujeto al alcance máximo permitido por la ley aplicable, las disposiciones de los Términos de servicio relativas a la limitación de responsabilidad también se aplican a este Anexo de procesamiento de datos y a los daños que surjan del mismo.

13. MISCELÁNEAS

13.1 Las disposiciones de los Términos de Servicio relativas a cambios, acuerdo completo, divisibilidad, ley aplicable y tribunales competentes son aplicables a este Anexo de Procesamiento de Datos.

13.2 Este Anexo de procesamiento de datos se complementa con los términos específicos de la CCPA contenidos en el Anexo 1 del presente documento, en la medida requerida según lo establecido en el Anexo 1.

Anexo predeterminado 1 - Detalles del procesamiento de datos

DESCRIPCIÓN DEL TRATAMIENTO

1) OBJETO DEL TRATAMIENTO DE LOS DATOS PERSONALES

El tema lo determina el Cliente según lo establecido en el Acuerdo y el Formulario de pedido correspondiente.

2) LA NATURALEZA Y FINALIDAD DEL TRATAMIENTO DE INFORMACIÓN PERSONAL

La naturaleza y el propósito del procesamiento los determina el Cliente según lo establecido en el Acuerdo y el Formulario de pedido correspondiente.

De forma predeterminada, dicho procesamiento tendrá como propósito poner a disposición del Servicio, incluidas todas sus características y funcionalidades, el Cliente y sus Usuarios y, más en general, permitir que Nitro cumpla con sus obligaciones contractuales en virtud del Acuerdo. Dicho propósito puede ser poner a disposición los Servicios en la nube (por ejemplo, entre otros, poner a disposición el portal en la nube del cliente, servicios de firma electrónica, servicios de análisis, etc.), así como el suministro de Soporte.

La naturaleza del procesamiento incluirá, entre otras instrucciones dadas por el Cliente en el Acuerdo y el Formulario de pedido correspondiente, el procesamiento, recopilación, almacenamiento, comunicación y transferencia de Información personal.

3) INFORMACIÓN PERSONAL PROCESADA

Dependiendo de las funcionalidades utilizadas dentro de los Servicios (por ejemplo, portal del cliente, servicios de firma electrónica, servicios de análisis, etc.) y el contenido de la Información personal cargada por el Cliente y sus Usuarios en los Servicios, Nitro procesa diferentes tipos de Información personal. En general, la Información Personal procesada por Nitro incluye, entre otros:

  • Detalles de identificación (por ejemplo, detalles de usuario y uso)
  • Datos del documento (por ejemplo, información personal incluida en los documentos PDF procesados)

    Una descripción detallada del tipo de Información personal que se procesa al utilizar los Servicios está disponible a través del Centro de confianza de Nitro: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data

4) CATEGORÍA DE INTERESADOS

Las siguientes categorías de Sujetos de Datos tienen su alcance por defecto:

  • Todos los Usuarios que tienen acceso a los Servicios (que incluyen usuarios administradores, usuarios generales o usuarios invitados, como los firmantes).
  • Todos los Sujetos de datos incluidos en los Datos del Cliente cargados en los Servicios por el Cliente o sus Usuarios.

El Cliente confirma que esos interesados serán considerados por defecto una de las siguientes categorías:

  • personal del cliente
  • clientes del cliente
  • perspectivas del cliente
  • proveedores del cliente

5) SUBPROCESADORES

Nitro contrata a Subprocesadores para garantizar que todas las funcionalidades estén disponibles dentro de los Servicios. Los Subprocesadores aplicables dependen de los Servicios utilizados y de las funcionalidades y configuraciones solicitadas por el Cliente. Una lista detallada de los Subprocesadores contratados por Nitro (incluido el procedimiento que aplicamos cuando contratamos nuevos Subprocesadores) está disponible a través de nuestro Centro de confianza: https://www.gonitro.com/trust-center/data-protection/subprocessors - y subcontratistas

6) MEDIDAS TÉCNICAS Y ORGANIZATIVAS (TOM)

Nitro implementa medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada al utilizar los Servicios. Estamos actualizando continuamente dichas medidas. Una descripción detallada de las medidas tomadas está disponible a través de nuestro Centro de confianza en nuestra sección de Seguridad: https://www.gonitro.com/trust-center/security y en nuestra Política de Seguridad de la Información. Nuestro Centro de confianza también enumera las certificaciones que posee Nitro en la sección Cumplimiento: https://www.gonitro.com/trust-center/compliance.

7) PERIODO DE RETENCIÓN

Nitro no almacenará Información personal más tiempo del necesario para la prestación de los Servicios. Dependiendo de los Servicios y las funcionalidades que esté utilizando como Cliente, los períodos de retención aplicables pueden diferir. Cada Cliente puede solicitar a Nitro que configure períodos de retención específicos en su entorno (en la medida en que sea técnicamente posible).

En caso de que no se hayan configurado períodos de retención específicos, Nitro almacenará la Información personal de forma predeterminada hasta que la elimine el Cliente o hasta la terminación del Acuerdo entre Nitro y el Cliente (más un máximo de 30

días), cualquiera de ambas situaciones ocurra primero. Una descripción detallada de los períodos de retención está disponible a través de nuestro Centro de confianza: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.

8) DETALLES DE CONTACTO DEL EQUIPO DE PRIVACIDAD DE NITRO

privacidad@gonitro.com
Nitro Software Inc.447 Sutter St, STE 405 #1015, San Francisco, CA 94108 Estados Unidos

ANEXO 1 – TÉRMINOS ESPECÍFICOS DE LA CCPA

1. En la medida en que Nitro reciba Información personal del Cliente o en su nombre y esa información esté sujeta a la CCPA, se aplicarán las siguientes disposiciones. En la medida de cualquier conflicto entre este Anexo 1 y el Anexo de procesamiento de datos, prevalecerá el primero.

1.1 CCPA. En la medida en que (a) Nitro reciba Información personal del Cliente o en su nombre para procesarla en nombre del Cliente para proporcionar los Servicios, y (b) esa Información personal esté sujeta a la CCPA ("PI del cliente "), Nitro deberá (i) cumplir con todas las obligaciones aplicables a Nitro según la CCPA y brindará el mismo nivel de protección de privacidad y seguridad que exige la CCPA; (ii) no vender ni compartir la PI del cliente; (iii) no retener, usar ni divulgar la PI del Cliente (a) para ningún propósito que no sea los Propósitos Comerciales especificados en este Anexo de Procesamiento de Datos o el Acuerdo (incluyendo retener, usar o divulgar la PI del Cliente para un Propósito Comercial distinto del Propósito comercial especificado en este Acuerdo de procesamiento de datos o el Acuerdo) o según lo permita la CCPA, o (b) fuera de la relación comercial directa entre el Cliente y Nitro; (iv) en la medida en que el Cliente revele o ponga a disposición de Nitro Datos no identificados, Nitro (a) tomará medidas razonables para garantizar que los Datos no identificados no puedan asociarse con un individuo o un hogar, (b) se comprometerá públicamente a mantener y utilizar la información en forma no identificada y no intentar reidentificar la información, y (c) obligar contractualmente a cualquier destinatario adicional a cumplir con todas las disposiciones de este subpárrafo (iv); (v) no combinar la PI del Cliente con respecto a un individuo que Nitro recibe de, o en nombre de, el Cliente con Información Personal que recibe de, o en nombre de, otra persona, o recopila de la propia interacción de Nitro con el individuo, siempre que Nitro puede combinar la PI del Cliente para realizar cualquier Propósito Comercial según se define en cualquier regulación relevante adoptada de conformidad con la CCPA; (vi) notificar al Cliente si contrata a algún subcontratista para procesar la PI del Cliente y divulgar la PI del Cliente a dicho subcontratista de conformidad con un contrato escrito que incluya términos que proporcionen el mismo nivel de protección de dicha PI que los requeridos por la CCPA; (vii) implementar medidas organizativas y técnicas adecuadas a la naturaleza de la PI del Cliente para proteger la seguridad de la PI del Cliente y sus sistemas contra el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación; (viii) notificar al Cliente si Nitro determina que ya no puede cumplir con sus obligaciones según la CCPA; (ix) notificar al Cliente si Nitro recibe una solicitud para ejercer derechos de privacidad de un individuo en relación con el IP del Cliente de ese individuo (una "Solicitud "). Nitro no se comunicará de otro modo con una persona con respecto a su Solicitud a menos que el Cliente le indique a Nitro que lo haga o que Nitro deba comunicarse con una persona según la ley aplicable. Nitro, de manera consistente con la naturaleza y funcionalidad de los servicios proporcionados bajo este DPA y el rol de Nitro como Proveedor de Servicios, brindará soporte razonable al Cliente para permitirle responder y cumplir con una Solicitud bajo la CCPA; y no más de una vez al año, poner a disposición del Cliente, previa solicitud, la información razonablemente necesaria para demostrar el cumplimiento de esta Sección 1, incluso proporcionando resúmenes de las políticas de privacidad y seguridad aplicables para fines de revisión y auditoría.

1.2 Certificación. En la medida en que Nitro sea un Contratista, Nitro certifica que comprende y cumplirá con las restricciones establecidas en la Subsección 1.1.

1.3 Uso de PI por parte del cliente. En la medida en que el Cliente revele, comparta o de otro modo ponga a disposición la PI del Cliente a Nitro, el Cliente lo hace para el Propósito comercial específico establecido en este Anexo de procesamiento de datos. El Cliente puede tomar medidas razonables y apropiadas para garantizar que Nitro utilice la PI del Cliente transferida a Nitro de manera consistente con las obligaciones del Cliente según la CCPA. El Cliente puede, previa notificación razonable a Nitro, tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de la PI del Cliente.

1.4 Definiciones. Los términos en mayúscula utilizados en esta Sección 1 que no estén definidos de otro modo en este Anexo de procesamiento de datos tendrán el significado que se les asigna según la CCPA. A los efectos de esta Sección 1, “CCPA” significa la Ley de Privacidad del Consumidor de California y cualquier reglamento de implementación emitido al respecto, cada uno con sus modificaciones (incluida la Ley de Derechos de Privacidad de California y cualquier reglamento promulgado al respecto).