Términos y políticas

Vigente: 18 de septiembre de 2025

PARA PROVEEDORES DE SOFTWARE INDEPENDIENTES (“ISV” o “Procesador”)

 ESTA ADENDA DE PROCESAMIENTO DE DATOS SE APLICA SI USTED SE HA REGISTRADO PARA PROPORCIONAR SERVICIOS NITRO COMO ISV BAJO UN ACUERDO DE PROVEEDOR DE SOFTWARE INDEPENDIENTE (TAL COMO SE DEFINE EN LA SECCIÓN 2 A CONTINUACIÓN) Y EL GDPR DE LA UE SE APLICA AL PROCESAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DEL ACUERDO.

1. ÁMBITO; ROLES DE LAS PARTES

Nitro recibirá y procesará Datos Personales en nombre del ISV al proporcionar los Servicios, de acuerdo con las instrucciones y propósitos definidos en los Detalles del Procesamiento de Datos. Mediante este Anexo de Procesamiento de Datos, las Partes desean establecer sus acuerdos específicos con respecto al procesamiento de Datos Personales dentro del marco del Contrato.

Por defecto, Nitro actuará como Sub-Procesador y el ISV actuará como Procesador respecto a los Servicios proporcionados por Nitro al ISV. Nitro reconoce que el ISV actúa en nombre del Controlador para el procesamiento de Datos Personales. Esta Adenda de Procesamiento de Datos reemplaza y sustituye todos los acuerdos previos realizados (si los hubiera) respecto al procesamiento de Datos Personales y la protección de datos entre las Partes relacionadas con los Servicios ofrecidos por Nitro bajo el Acuerdo.

Esta Adenda de Procesamiento de Datos complementa y forma parte del Acuerdo, y juntos el Acuerdo y esta Adenda de Procesamiento de Datos constituyen un único acuerdo legal entre las Partes. En caso de discrepancias o contradicciones entre esta Adenda de Procesamiento de Datos y el Acuerdo, prevalecerá la Adenda de Procesamiento de Datos.

2. DEFINICIONES

“Acuerdo” significa el Acuerdo de Proveedor de Software Independiente, cualquier Anexo adjunto al mismo, el Formulario de Pedido de ISV de Nitro y cualquier información incorporada por referencia en el mismo desde el Portal de Socios de Nitro (si corresponde);

“Anexo” significa cualquier anexo a la presente Adenda de Procesamiento de Datos;

“Controlador” significa el cliente del Procesador (que se considera el Cliente Final en relación con el Acuerdo) al que el Procesador (es decir, el ISV) proporciona la Solución Integrada (que incluye los Servicios proporcionados por Nitro al Procesador);

“Detalles de Procesamiento de Datos” significa el Anexo 1 de la presente Adenda de Procesamiento de Datos, que incluye más detalles sobre las instrucciones del Controlador sobre el procesamiento de Datos Personales, transmitidas por el Procesador a Nitro, como el propósito, objeto y naturaleza del procesamiento y el tipo de Datos Personales que están siendo procesados;

“GDPR de la UE” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y sobre la libre circulación de dichos datos, y derogando la Directiva 95/46/CE (Reglamento General de Protección de Datos);

“Cláusulas Contractuales Tipo de la UE” o “CCT” significa las cláusulas contractuales tipo para la transferencia de datos personales a terceros países adoptadas por la Comisión Europea bajo la Decisión de Ejecución de la Comisión (UE) 2021/914 del 4 de junio de 2021, incluyendo las CCT de Procesador a Procesador y el texto del Módulo 3 de tales cláusulas contractuales tipo y no cualquier otro módulo y no incluyendo ninguna cláusula marcada como opcional en las cláusulas, según enmendadas o reemplazadas de vez en cuando por una autoridad competente bajo las leyes de protección de datos pertinentes. Donde el Parlamento Europeo y el Consejo adopten un conjunto de cláusulas contractuales tipo de la UE actualizadas, “Cláusulas Contractuales Tipo de la UE” se entenderá como la adaptación más reciente;

“Lista de sub-procesadores de Nitro” refiere a la lista de sub-procesadores de Nitro que Nitro pone a disposición en línea y que incluye los sub-procesadores de Nitro contratados por Nitro para la provisión de los Servicios y el cumplimiento de la obligación de Nitro bajo el Acuerdo en general. Nitro puede actualizar la Lista de subprocesadores de Nitro de vez en cuando de acuerdo con el proceso establecido en este Anexo de Procesamiento de Datos;

“Subprocesador de Nitro” se refiere a cualquier procesador de terceros contratado por Nitro para el procesamiento de Datos Personales relacionados con la provisión de los Servicios al Procesador;

“Datos Personales” se refiere a los datos personales tal como se definen bajo el RGPD de la UE que Nitro procesa en nombre del Procesador al proporcionar los Servicios según las instrucciones y el propósito definidos en los Detalles de Procesamiento de Datos;

“SCC de Procesador a Procesador” se refiere al Módulo 3 de las Cláusulas Contractuales Estándar de la UE;

“Procesador” se refiere al ISV tal como se identifica en el Acuerdo y/o el correspondiente Formulario de Pedido de Nitro ISV;

“Subprocesador” se refiere a Nitro Software Inc., proveedor de los Servicios al Procesador.

Todos los demás términos y definiciones escritos en letras mayúsculas y que no estén definidos expresamente en este Anexo de Procesamiento de Datos, se definen según lo establecido en la legislación aplicable de protección de datos o en el Acuerdo.

3. OBJETO DE ESTE ANEXO DE PROCESAMIENTO DE DATOS

3.1  Este Anexo de Procesamiento de Datos determina las condiciones del procesamiento por parte de Nitro de Datos Personales en nombre del Procesador en el contexto del Acuerdo. La naturaleza y el propósito del procesamiento, una lista y el tipo de Datos Personales así como las categorías de los Sujetos de Datos se enumeran en los Detalles de Procesamiento de Datos (Anexo 1).

3.2  El procesamiento tendrá lugar en nombre del Procesador que actúa en nombre del Controlador y para los fines definidos en los Detalles de Procesamiento de Datos. Nitro informará de inmediato al Procesador si, en su opinión, una instrucción infringe la legislación (de protección de datos) aplicable. Nitro solo procesará los Datos Personales de acuerdo con las instrucciones documentadas del Controlador, transmitidas a Nitro por el Procesador, según lo establecido en este Anexo de Procesamiento de Datos y no utilizará estos Datos Personales para su propio propósito, a menos que se permita explícitamente en los Términos de Servicio. Si Nitro está legalmente obligado a proceder con cualquier procesamiento de Datos Personales, Nitro, a menos que esto infrinja las normas obligatorias aplicables, informará al Procesador de tal obligación. El Procesador puede transmitir tal información al Controlador.

3.3  El Procesador garantiza que este Anexo de Procesamiento de Datos refleja los acuerdos entre el Procesador y el Controlador y el Procesador también garantiza de manera continua que el Controlador ha autorizado el compromiso del Procesador con Nitro como Subprocesador y el compromiso de Nitro con subprocesadores de Nitro como se describe en la Sección 10.

4. PERÍODO

5. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

5.1  Nitro ofrece garantías adecuadas con respecto a la implementación de medidas técnicas y organizativas apropiadas (“TOMs”) para garantizar el procesamiento seguro de Datos Personales y así proteger los derechos del Sujeto de Datos. Las TOMs implementadas por Nitro se establecen en los Detalles de Procesamiento de Datos. Las TOMs pueden ser actualizadas por Nitro de vez en cuando, sin embargo Nitro asegurará no degradar la seguridad general que ha implementado en el momento de la ejecución del Anexo de Procesamiento de Datos. El Procesador reconoce que las TOMs proporcionan un nivel adecuado de seguridad apropiado al riesgo del procesamiento de Datos Personales en nombre del Procesador en el momento de firmar o aceptar este Anexo de Procesamiento de Datos.

5.2  Nitro tomará todas las medidas técnicas y organizativas apropiadas como se refiere en el artículo 32 RGPD de la UE para garantizar un nivel adecuado de seguridad apropiado al riesgo.

5.3  Si Nitro estuviera obligado a procesar Datos Personales sensibles, según se refiere en los artículos 9 y 10 RGPD de la UE en el contexto del Acuerdo, el Procesador notificará a Nitro por escrito a través de privacy@gonitro.com.

5.4  En caso de que el Procesador (o el Controlador) solicite medidas técnicas y organizativas específicas que deben ser implementadas por Nitro (las cuales Nitro no ha implementado por defecto), el Procesador reembolsará a Nitro por la implementación de dichas medidas adicionales según la Sección 14 “Costos” de este Anexo de Procesamiento de Datos.

5.5  La adhesión de Nitro a un código de conducta aprobado como se refiere en el artículo 40 RGPD de la UE, o un mecanismo de certificación aprobado como se refiere en el artículo 42 RGPD de la UE puede ser utilizado como un elemento de prueba de garantías suficientes según se refiere en el RGPD de la UE.

6. RETENCIÓN

6.1  Nitro no conservará Datos Personales más tiempo del necesario para el procesamiento de dichos Datos Personales en el contexto del Acuerdo. El Procesador no instruirá a Nitro para almacenar Datos Personales más tiempo del necesario. El período de retención aplicable está establecido en los Detalles de Procesamiento de Datos.

6.2  A elección del Procesador, Nitro eliminará o devolverá todos los Datos Personales al Procesador al finalizar la provisión de Servicios y deberá eliminar las copias existentes a menos que la legislación de la Unión o del Estado Miembro requiera el almacenamiento de los Datos Personales, que podrán ser transmitidos al Controlador por el Procesador. El Procesador reconoce que los Servicios pueden incluir funcionalidades de descarga a disposición del Controlador para permitir que el Controlador descargue sus datos. En la medida en que tales funcionalidades estén disponibles, el Procesador deberá asegurarse de que el Controlador utilice tales funcionalidades para extraer o eliminar sus datos.

7. DERECHOS DEL SUJETO DE DATOS

7.1. Teniendo en cuenta la naturaleza del procesamiento, Nitro utilizará todos los esfuerzos razonables, tomando medidas técnicas y organizativas apropiadas, para asistir al Controlador, a solicitud del Procesador, en el cumplimiento de la obligación del Controlador de responder a solicitudes de los Sujetos de Datos.

7.2  Por toda asistencia realizada por Nitro en el contexto del tratamiento de tales solicitudes de los Sujetos de Datos, el Procesador reembolsará a Nitro de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Dicho reembolso por parte del Procesador no se aplicará (i) en caso de que el Sujeto de Datos invocara sus derechos debido a una violación de Datos Personales probablemente atribuible a Nitro o (ii) en caso de que dicha asistencia por parte de Nitro no exceda cuatro (4) horas de trabajo durante la vigencia del Acuerdo.

8. OBLIGACIÓN DE NOTIFICAR

8.1  Al tener conocimiento de una violación de Datos Personales, Nitro notificará al Procesador sin demora indebida contactando a la persona de contacto indicada en el Acuerdo (o alternativamente a través de la dirección de correo electrónico de notificación del Procesador o (si corresponde) cualquier otra dirección de correo electrónico que el Procesador haya compartido en el Portal de Socios de Nitro). La persona de contacto de Nitro para cualquier asunto relacionado con la protección de datos puede ser contactada por correo electrónico: privacy@gonitro.com.

8.2  A solicitud del Procesador, Nitro informará al Procesador sobre cualquier nuevo desarrollo con respecto a cualquier violación de Datos Personales y las medidas tomadas para limitar sus consecuencias y prevenir la repetición de dicha violación de Datos Personales. Es responsabilidad del Procesador transmitir la información recibida de Nitro al Controlador para permitir que el Controlador cumpla con su obligación de informar sobre cualquier violación de Datos Personales a la Autoridad Supervisora o a los Sujetos de Datos, según sea requerido.

9. SUBPROCESAMIENTO

9.1  El Procesador garantiza que Nitro está expresamente autorizado por el Controlador para contratar subprocesadores de Nitro para el procesamiento de Datos Personales para la ejecución del Acuerdo y para facilitar la provisión de los Servicios en general. A este respecto, el Procesador concede una autorización general por escrito a Nitro para decidir con qué subprocesador(es) de Nitro colabora para el cumplimiento de sus obligaciones bajo el Acuerdo. Nitro publica una Lista de Subprocesadores de Nitro que se refiere a los subprocesadores de Nitro.

9.2  Nitro informará al Procesador sobre cualquier cambio previsto en relación con la adición o reemplazo de subprocesadores de Nitro a través de la persona de contacto del Procesador indicada en el Acuerdo (o a través de la dirección de correo de Notificación del Procesador o (si corresponde) cualquier otra dirección de correo electrónico que el Procesador haya compartido en el Portal de Socios de Nitro). El Procesador tendrá derecho a oponerse a la adición o reemplazo dirigiéndose a Nitro por escrito donde el Controlador se opondría a tal adición o reemplazo. Las Partes discutirán en tal caso la adición, reemplazo o alternativa de buena fe y tan pronto como sea razonablemente posible después de la notificación escrita de objeción del Procesador.

9.3  Cuando Nitro contrate a un subprocesador de Nitro para llevar a cabo actividades de procesamiento específicas, las mismas o similares obligaciones de protección de datos establecidas en este Anexo de Procesamiento de Datos se impondrán a ese subprocesador de Nitro mediante un acuerdo por escrito, en particular proporcionando suficientes garantías para implementar medidas técnicas y organizativas apropiadas (y cumpliendo con las medidas técnicas y organizativas relevantes). Cuando un subprocesador de Nitro no cumpla con sus obligaciones de protección de datos, Nitro seguirá siendo completamente responsable ante el Procesador por el rendimiento de tales obligaciones del subprocesador de Nitro.

10. TRANSFERENCIAS INTERNACIONALES DE DATOS

10.1  El Procesador reconoce que Nitro está establecido en los Estados Unidos de América, y autoriza las transferencias internacionales de datos personales para los fines de proporcionar los Servicios. Tal transferencia internacional de datos se considera una instrucción del Controlador, transmitida a Nitro por el Procesador.

10.2  Si, en algún momento durante la vigencia de este Anexo de Procesamiento de Datos, Nitro está certificado bajo el Marco de Privacidad de Datos UE-EE.UU. (el “Marco”) para los Servicios, entonces las Partes reconocen que no se requieren medidas de protección adecuadas con respecto a las transferencias entre el Procesador y Nitro.

10.3  Cuando las condiciones establecidas en la Sección 2 no se apliquen, el Procesador (como "exportador de datos") y Nitro (como "importador de datos") a partir de la fecha de inicio de la transferencia relevante celebran por la presente los SCC de Procesador a Procesador. El Anexo 1 de los SCC de Procesador a Procesador se considerará pre-poblado con las secciones relevantes del Anexo 1 de este Anexo de Procesamiento de Datos. El Anexo 2 de los SCC de Procesador a Procesador se considerará pre-poblado con la información contenida en la Sección 5 de este Anexo de Procesamiento de Datos, y:

• en la Cláusula 7, la cláusula de acoplamiento opcional no se aplicará;
• en la Cláusula 9, se aplicará la opción 2, y el período de tiempo será de 30 días;
• en la Cláusula 11, el lenguaje de reparación opcional no se aplicará;
• en la Cláusula 13(a) se incluirá lo siguiente: Cuando el exportador de datos esté establecido en un Estado Miembro de la UE: La autoridad supervisora con responsabilidad para garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 respecto a la transferencia de datos, tal como se indica en el Anexo I.C de este Anexo de Procesamiento de Datos, actuará como autoridad supervisora competente.
  Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3(2) y haya nombrado un representante de conformidad con el artículo 27(1) del Reglamento (UE) 2016/679:] La autoridad supervisora del Estado Miembro en el que se establezca el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente.
  Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3(2) sin embargo sin tener que nombrar un representante de conformidad con el artículo 27(2) del Reglamento (UE) 2016/679: La autoridad supervisora de uno de los Estados Miembros en los que se encuentren los sujetos de datos cuyos datos personales son transferidos bajo estas Cláusulas en relación con la oferta de bienes o servicios para ellos, o cuyo comportamiento se monitorea, están ubicados, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente.
• en la Cláusula 17, se aplicará la Opción 1, y las Cláusulas Contractuales Estándar de la UE estarán gobernadas por las leyes del exportador de datos; y 
• en la Cláusula 18(b), las disputas se resolverán ante los tribunales del exportador de datos. 

10.4  El Procesador reconoce que los subprocesadores de Nitro autorizados bajo la cláusula 9 también pueden procesar Datos Personales en terceros países. Nitro puede llevar a cabo tales transferencias, sujeto a que Nitro tome todas las medidas necesarias para garantizar que tales transferencias cumplan con las disposiciones del Capítulo V del RGPD de la UE y otras leyes de protección de datos aplicables.

10.5  En caso de que la transferencia de Datos Personales a un tercer país o una organización internacional sea obligatoria bajo la legislación de la UE o del Estado Miembro a la que Nitro está sujeto, Nitro podrá realizar dicha transferencia e informará al Procesador de ese requisito legal antes de dicho Procesamiento, a menos que dicha ley prohíba tal información por motivos de importancia pública. El Procesador puede transmitir tal información al Controlador.

11. EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA

11.1  Si el Controlador realiza una Evaluación de Impacto en la Protección de Datos (“DPIA”) (artículo 35 RGPD de la UE) o una consulta previa (artículo 36 RGPD de la UE) vinculada al procesamiento de Datos Personales en el contexto del cumplimiento del Acuerdo, Nitro, a solicitud por escrito del Procesador, asistirá razonablemente al Controlador. El Procesador reembolsará a Nitro por la asistencia proporcionada de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Dicho reembolso de costos no se aplicará en caso de que (i) la asistencia solicitada a Nitro sea de menos de cuatro (4) horas laborales durante la vigencia del Acuerdo, o (ii) la DPIA o la consulta previa sean provocadas por una violación de Datos Personales probada atribuible a Nitro. 

12. DERECHO DE AUDITORÍA

12.1  A solicitud del Procesador, Nitro permitirá auditorías por parte del Procesador sobre el cumplimiento de Nitro con sus obligaciones bajo este Anexo de Procesamiento de Datos y la legislación de protección de datos aplicable. Nitro utilizará sus esfuerzos razonables para cooperar con tales auditorías y poner a disposición toda la información necesaria para demostrar su cumplimiento con su obligación. El Procesador notificará a Nitro de tal auditoría al menos un (1) mes antes de la fecha en que se llevará a cabo la auditoría, mediante aviso por escrito a Nitro a través de privacy@gonitro.com.

12.2  En caso de que se realice una auditoría, todas las partes involucradas deberán firmar primero un acuerdo específico de no divulgación emitido por Nitro con respecto a dicha auditoría y los resultados de la auditoría antes del inicio de la auditoría. Tras la realización de tal auditoría, deberán tenerse en cuenta las obligaciones de confidencialidad de las Partes con respecto a terceros. Tanto las Partes como sus auditores deberán mantener en secreto la información recopilada en relación con una auditoría y utilizarla exclusivamente para verificar su cumplimiento con este Anexo de Procesamiento de Datos y las leyes y regulaciones aplicables en materia de protección de datos. El Procesador tiene la opción de realizar la auditoría por sí mismo o asignar a un auditor independiente, sin embargo, dicho auditor independiente debe firmar debidamente el acuerdo de no divulgación referido en esta Sección. El Controlador tiene los mismos derechos de auditoría que el Procesador en virtud de esta Cláusula.

12.3  Ambas Partes, y cuando sea aplicable sus representantes, deberán cooperar razonablemente, a pedido, con la Autoridad Supervisora en el desempeño de sus funciones.

12.4  El Procesador reembolsará a Nitro la asistencia proporcionada por Nitro en relación con auditorías de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Se entiende que dicho reembolso no se aplicará en caso de que (i) la auditoría sea resultado de una violación de Datos Personales probablemente atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no exceda cuatro (4) horas de trabajo durante la vigencia del Acuerdo.

13. COSTOS

13.1  La asistencia a realizar en virtud de este Anexo de Procesamiento de Datos por la que Nitro puede cobrar al Procesador, se cobrará sobre la base de las horas trabajadas y las tarifas horarias estándar aplicables de Nitro (USD 295/hora sin impuestos). Nitro facturará estos montos mensualmente, pero también tiene el derecho de solicitar un pago anticipado.

13.2. El pago por parte del Procesador a Nitro por la asistencia y los servicios profesionales proporcionados por Nitro en virtud de este Anexo de Procesamiento de Datos se llevará a cabo de acuerdo con las disposiciones del Acuerdo.

14. RESPONSABILIDAD

15. DIVERSOS

ANEXO 1 – DETALLES DEL PROCESAMIENTO DE DATOS

A. LISTA DE PARTES

1. Exportador (es) de datos:

Nombre: ISV, tal como se identifica en el Acuerdo (y/o Formulario de Pedido de Nitro ISV correspondiente).

Dirección: La dirección del exportador de datos se establece en el Acuerdo (y/o Formulario de Pedido de Nitro ISV correspondiente).

Nombre, posición y datos de contacto de la persona de contacto: Los datos de contacto de la persona de contacto del exportador de datos se establecen en el Acuerdo, (y/o el Formulario de Pedido de Nitro ISV correspondiente) o en el Portal de Socios de Nitro.

Actividades relevantes para los datos transferidos: Las actividades que son relevantes para los datos transferidos bajo estas Cláusulas Contractuales Estándar de la UE se describen a continuación en la Sección B “Descripción del procesamiento/transferencia”.

Firma y fecha: Al firmar o aceptar el Acuerdo, se considerará que el exportador de datos ha firmado este Anexo I.

Rol (controlador/procesador): Procesador

2. Importador (es) de datos:

Nombre: Nitro Software Inc.

Dirección: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.

Nombre, posición y datos de contacto de la persona de contacto: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.

Actividades relevantes para los datos transferidos: Las actividades que son relevantes para los datos transferidos bajo estas Cláusulas Contractuales Estándar de la UE se describen a continuación en la Sección B “Descripción del procesamiento/transferencia”.

Firma y fecha: Al firmar o aceptar el Acuerdo, se considerará que el exportador de datos ha firmado este Anexo I.

Rol (controlador/procesador): Procesador

B. DESCRIPCIÓN DEL PROCESAMIENTO/TRANSFERENCIA

El asunto es determinado por el Procesador como se establece en el Acuerdo (y/o el Formulario de Pedido de Nitro ISV correspondiente).

La naturaleza y los fines del procesamiento son determinados por el Procesador como se establece en el Acuerdo (y/o el Formulario de Pedido de Nitro ISV correspondiente).

Por defecto, dicho procesamiento tendrá como propósito poner disponibles los Servicios, incluyendo todas sus características y funcionalidades al Procesador (quien las pondrá a disposición del Controlador) y más en general permitir a Nitro cumplir con sus obligaciones contractuales bajo el Acuerdo. Este propósito puede ser poner a disposición los Servicios Cloud a través de integraciones (API) (por ejemplo, pero sin limitación, poner a disposición los servicios de firma electrónica, o flujos de trabajo PDF particulares, etc.) así como la provisión de Soporte.

La naturaleza del procesamiento incluirá, entre otras instrucciones proporcionadas por el Procesador en el Acuerdo (y/o el Formulario de Pedido de Nitro ISV correspondiente), el procesamiento, recopilación, almacenamiento, comunicación y transferencia de Datos Personales.

Dependiendo de las funcionalidades usadas dentro de los Servicios (por ej., servicios de firma electrónica, flujos de trabajo PDF, etc.) y el contenido de los Datos de Clientes Finales que califican como Datos Personales, subidos por el Procesador o el Controlador en los Servicios, Nitro procesa diferentes tipos de Datos Personales. En general, los Datos Personales procesados por Nitro incluyen, sin limitación:

• Detalles de identificación (por ejemplo, respecto a Sujetos de Datos que utilizan los Servicios - y detalles de uso) 
• Datos de documentos (por ejemplo, Datos Personales incluidos en documentos PDF procesados)

Un resumen detallado de los tipos de Datos Personales que se procesan al usar los Servicios está disponible a través del Centro de Confianza de Nitro: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

El conjunto de datos podría incluir Datos Personales sensibles en los Datos Personales de acuerdo con la Sección 5.3 de este Anexo de Procesamiento de Datos. Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que consideren completamente la naturaleza de los datos y los riesgos involucrados, tales como, por ejemplo, estrictas limitaciones de propósito, restricciones de acceso (incluido el acceso solo para el personal que ha seguido una capacitación especializada), llevar un registro de acceso a los datos, restricciones para transferencias posteriores u otras medidas de seguridad adicionales: se hace referencia a las TOMs como se enumeran o hacen referencia en los Detalles de Procesamiento de Datos a continuación.

Las siguientes categorías de Sujetos de Datos están por defecto en el alcance:

• Todos los Sujetos de Datos que tienen acceso a los Servicios (lo que incluye usuarios administradores, usuarios generales o usuarios invitados como firmantes).
• Agregar Sujetos de Datos incluidos en los Datos de Clientes Finales que califiquen como Datos Personales subidos a los Servicios por el Procesador o el Controlador. 

El Procesador confirma que esos Sujetos de Datos serán considerados por defecto como una de las siguientes categorías:

• Usuarios de los Servicios 
• Clientes del Procesador 
  
  

Nitro contrata subprocesadores de Nitro para garantizar que todas las funcionalidades estén disponibles dentro de los Servicios. Qué subprocesadores de Nitro son aplicables depende de los Servicios utilizados y las funcionalidades y configuraciones solicitadas por el Procesador o el Controlador. Un listado detallado de los subprocesadores de Nitro (incluido el procedimiento que aplicamos al contratar nuevos subprocesadores de Nitro) está disponible a través de nuestro Centro de Confianza: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

Nitro implementa medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada al usar los Servicios. Estamos continuamente actualizando tales medidas. Un resumen detallado de las medidas tomadas está disponible a través de nuestro Centro de Confianza en nuestra sección de Seguridad: https://www.gonitro.com/security-compliance/security y en nuestra Política de Seguridad de la Información. Nuestro Centro de Confianza también enumera las certificaciones que Nitro posee en la sección de Cumplimiento: https://www.gonitro.com/security-compliance/compliance

Nitro no almacenará Datos Personales más tiempo del necesario para la provisión de los Servicios. Dependiendo de los Servicios y funcionalidades que el Procesador o el Controlador esté utilizando, los períodos de retención aplicables pueden diferir. El Procesador, actuando en nombre del Controlador, puede solicitar a Nitro que configure períodos de retención específicos en su entorno (en la medida de lo posible técnicamente).

En caso de que no se hayan configurado períodos de retención específicos, los Datos Personales serán almacenados por defecto por Nitro hasta su eliminación por el Procesador o el Controlador o hasta la terminación del Acuerdo entre Nitro y el Procesador (más un máximo de 30 días), lo que ocurra primero. Un resumen detallado de los períodos de retención está disponible a través de nuestro Centro de Confianza: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

De manera continua, según sea necesario para proporcionar los Servicios al Procesador.

C. AUTORIDAD SUPERVISORA COMPETENTE

Identifique la autoridad supervisora competente conforme a la Cláusula 13 de las Cláusulas Contractuales Estándar de la UE: La autoridad supervisora competente es la autoridad supervisora aplicable al Procesador (o, donde corresponda, aplicable al representante del Procesador).