Términos y políticas

1. ÁMBITO; ROLES DE LAS PARTES

Nitro recibirá y procesará Datos Personales en nombre del ISV al proporcionar los Servicios, de acuerdo con las instrucciones y propósitos definidos en los Detalles del Procesamiento de Datos. Esta Adenda de Procesamiento de Datos establece los acuerdos específicos de las Partes respecto al procesamiento de Datos Personales dentro del marco de esta Adenda de Procesamiento de Datos y el Acuerdo.

Por defecto, Nitro actuará como Sub-Procesador y el ISV actuará como Procesador respecto a los Servicios proporcionados por Nitro al ISV. Nitro reconoce que el ISV actúa en nombre del Controlador para el procesamiento de Datos Personales. Esta Adenda de Procesamiento de Datos reemplaza y sustituye todos los acuerdos previos realizados (si los hubiera) respecto al procesamiento de Datos Personales y la protección de datos entre las Partes relacionadas con los Servicios ofrecidos por Nitro bajo el Acuerdo.

Esta Adenda de Procesamiento de Datos complementa y forma parte del Acuerdo, y juntos el Acuerdo y esta Adenda de Procesamiento de Datos constituyen un único acuerdo legal entre las Partes. En caso de discrepancias o contradicciones entre esta Adenda de Procesamiento de Datos y el Acuerdo, prevalecerá la Adenda de Procesamiento de Datos.

2. DEFINICIONES

“Acuerdo” significa el Acuerdo de Proveedor de Software Independiente, cualquier Anexo adjunto al mismo, los Formulario(s) de Pedido ISV de Nitro y cualquier información incorporada por referencia aquí desde el Portal de Socios de Nitro (si aplica);

“Anexo” significa cualquier anexo a la presente Adenda de Procesamiento de Datos;

“Controlador” se refiere al cliente del Procesador (que es considerado el Cliente Final en relación con el Acuerdo) al cual el Procesador (es decir, el ISV) proporciona la Solución Integrada (que incluye los Servicios proporcionados por Nitro al Procesador);

“Detalles del Procesamiento de Datos” significa el Anexo 1 a la presente Adenda de Procesamiento de Datos que describe las instrucciones del Controlador sobre el procesamiento de Datos Personales, transmitidas por el Procesador a Nitro, tales como el propósito, objeto y naturaleza del procesamiento y el tipo de Datos Personales que se están procesando;

“Sujeto de Datos” o cualquier término equivalente (como “individuo”) tiene el significado establecido en la legislación de protección de datos aplicable, o donde no se apliquen tales leyes, significa una persona natural identificada o identificable que se relaciona con el Controlador;

“Incumplimiento de Datos” o cualquier término equivalente (como “incumplimiento de datos personales”, “incidente de seguridad”) tiene el significado establecido en la legislación de protección de datos aplicable, o donde no se apliquen tales leyes, significa (i) acceso no autorizado, uso, divulgación u otro procesamiento de la Información Personal del ISV en custodia de Nitro, (ii) robo o adquisición no autorizada de dicha Información Personal, (iii) incidente que compromete la seguridad de dicha Información Personal;

“RGPD de la UE” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas naturales con respecto al procesamiento de datos personales y sobre la libre circulación de esos datos, y derogando la Directiva 95/46/CE (Reglamento General de Protección de Datos);

“Exhibición” significa cualquier exhibición a la presente Adenda de Procesamiento de Datos;

“FADP” significa la Ley Federal Suiza de Protección de Datos (según enmendada);

“Lista de sub-procesadores de Nitro” se refiere a la lista de sub-procesadores de Nitro disponible en línea por Nitro que incluye los sub-procesadores de Nitro contratados por Nitro para la provisión de los Servicios y el cumplimiento de las obligaciones de Nitro bajo el Acuerdo en general. Nitro puede actualizar la Lista de sub-procesadores de Nitro de vez en cuando según el proceso establecido en esta Adenda de Procesamiento de Datos;

“Sub-procesador de Nitro” significa cualquier procesador de terceros contratado por Nitro para el procesamiento de Datos Personales relacionados con la provisión de los Servicios al Procesador;

“Datos Personales” significa datos personales o cualquier término equivalente (como Información Personal) tiene el significado dado en la legislación de protección de datos aplicable, significa cualquier información que por sí misma o cuando se combina con otra información (por ejemplo, número de teléfono o dirección de correo electrónico) puede ser utilizada por Nitro para identificar a una persona natural específica que Nitro procesa en nombre del Procesador al proporcionar los Servicios de acuerdo con las instrucciones y propósito definidos en los Detalles del Procesamiento de Datos;

“Procesador” se refiere al ISV según se identifica en el Acuerdo y/o el correspondiente Formulario de Pedido ISV de Nitro (o cualquier término equivalente tiene el significado establecido en la legislación de protección de datos aplicable o donde no se apliquen tales leyes, significa la entidad que procesa Datos Personales en nombre del Controlador);

“Sub-Procesador” se refiere a Nitro Software Inc., proveedor de los Servicios al Procesador;

“RGPD del Reino Unido” significa el RGPD de la UE transpuesto a la ley nacional del Reino Unido en virtud de la sección 3 de la Ley de Retirada de la Unión Europea 2018 y según enmendada por la Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) Regulaciones de Salida de la UE 2019 (según enmendada).

Todos los demás términos y definiciones escritos con letras mayúsculas y que no están definidos expresamente en esta Adenda de Procesamiento de Datos, se definen como se establece en la legislación de protección de datos aplicable o el Acuerdo.

3. PROPÓSITO DE ESTE ACUERDO DE PROCESAMIENTO DE DATOS

3.1  Esta Adenda de Procesamiento de Datos determina las condiciones del procesamiento por parte de Nitro de Datos Personales en nombre del Procesador en el contexto del Acuerdo. La naturaleza y el propósito del procesamiento, una lista y el tipo de Datos Personales, así como las categorías de los Sujetos de Datos están listados en los Detalles del Procesamiento de Datos (Anexo 1).

4. PLAZO

4.1  Esta Adenda de Procesamiento de Datos es aplicable a todo procesamiento de Datos Personales y se aplica mientras Nitro procese Datos Personales en nombre del Procesador en el contexto del Acuerdo. Esta Adenda de Procesamiento de Datos complementa el Acuerdo. y está destinada a asegurar el cumplimiento de las Partes con los requisitos impuestos por las leyes y regulaciones de protección de datos aplicables.

4.2  Esta Adenda de Procesamiento de Datos termina automáticamente al finalizar el Acuerdo (o en el momento en que se termina el procesamiento por parte de Nitro). Las disposiciones de esta Adenda de Procesamiento de Datos que están explícita o implícitamente (dada su naturaleza) destinadas a tener efecto después de la terminación de la Adenda de Procesamiento de Datos sobrevivirán al final del Acuerdo con respecto a los Datos Personales procesados en nombre del Procesador en el contexto del Acuerdo.

5. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

5.1  Nitro ha implementado medidas técnicas y organizativas apropiadas (“TOMs”) destinadas a asegurar el procesamiento de Datos Personales. Las TOMs implementadas por Nitro se detallan en los Detalles del Procesamiento de Datos y pueden ser actualizadas por Nitro de vez en cuando, sin embargo, Nitro asegurará no degradar la seguridad general que se ha implementado en el momento de la ejecución de la Adenda de Procesamiento de Datos. El Procesador reconoce que las TOMs proporcionan un nivel adecuado de seguridad apropiado al riesgo para el procesamiento de sus Datos Personales en nombre del Procesador en el momento de la firma o aceptación de esta Adenda de Procesamiento de Datos.

5.2  En caso de que el Procesador (o el Controlador) solicite medidas técnicas y organizativas específicas que deben ser implementadas por Nitro (las cuales Nitro no ha implementado por defecto), el Procesador reembolsará a Nitro por implementar dichas medidas adicionales de acuerdo con la Sección 11 “Costos” de esta Adenda de Procesamiento de Datos.

6. RETENCIÓN

6.1 Nitro no retendrá Datos Personales más tiempo del necesario para el procesamiento de dichos Datos Personales en el contexto del Acuerdo. El Procesador no instruirá a Nitro para almacenar ningún Dato Personal más tiempo del necesario. El período de retención aplicable se establece en los Detalles del Procesamiento de Datos.

6.2  Nitro deberá eliminar o devolver todos los Datos Personales al Procesador después de finalizar la provisión de Servicios y deberá eliminar copias existentes a menos que la ley aplicable requiera el almacenamiento de los Datos Personales. El Procesador reconoce que los Servicios pueden incluir funcionalidades de descarga a disposición del Procesador para habilitar al Procesador a descargar sus datos. En la medida en que tales funcionalidades estén disponibles, el Procesador deberá asegurarse de que el Controlador utilice tales funcionalidades para extraer o eliminar sus datos.

7. CONFIDENCIALIDAD

7.1  Las partes han acordado una cláusula de confidencialidad en el Acuerdo que se aplica al procesamiento de Datos Personales en el contexto del Acuerdo.

7.2  Nitro reconoce y acepta que solo aquellos empleados, contratistas o agentes de Nitro que están involucrados en el procesamiento de Datos Personales pueden ser informados sobre los Datos Personales y solo en la medida razonablemente necesaria para el cumplimiento del Acuerdo. Nitro garantiza que las personas autorizadas para procesar los Datos Personales están comprometidas con la confidencialidad por contrato o están bajo una obligación legal adecuada de confidencialidad.

8. OBLIGACIÓN DE NOTIFICAR

8.1  Al tomar conocimiento de un Incumplimiento de Datos, Nitro deberá, en la medida requerida por la ley aplicable o una Exhibición a esta Adenda de Procesamiento de Datos, notificar al Procesador sin demora indebida contactando a la persona de contacto indicada en el Acuerdo o el Formulario de Pedido relevante (o alternativamente a través de la Dirección de Correo Electrónico de Notificación del Procesador o (si corresponde) cualquier otra dirección de correo electrónico que el Procesador haya compartido en el portal administrativo como contacto de privacidad). La persona de contacto de Nitro para cualquier cuestión relacionada con la protección de datos se puede contactar por correo electrónico: privacy@gonitro.com.

9. SUB-PROCESAMIENTO

9.1  El Procesador garantiza que Nitro está expresamente autorizado a involucrar sub-procesadores de Nitro para el procesamiento de Datos Personales para la ejecución del Acuerdo y facilitar la provisión de los Servicios en general. A este respecto, el Procesador otorga una autorización escrita general a Nitro para decidir con qué sub-procesador(es) de Nitro Nitro colabora para cumplir con sus obligaciones bajo el Acuerdo. Nitro publica una lista de sub-procesadores de Nitro refiriéndose a los sub-procesadores de Nitro.

10. DERECHO A AUDITAR

10.1  A solicitud del Procesador, Nitro deberá permitir auditorías por parte del Procesador sobre el cumplimiento de Nitro con sus obligaciones bajo esta Adenda de Procesamiento de Datos y la legislación de protección de datos aplicable. Nitro hará esfuerzos razonables para cooperar con tales auditorías y hacer disponible toda la información necesaria para probar su cumplimiento con su obligación. El Procesador deberá notificar a Nitro sobre dicha auditoría al menos un (1) mes antes de la fecha en la que se realizará la auditoría, mediante un aviso escrito a Nitro a través de privacy@gonitro.com.

10.2  En caso de que se realice una auditoría, todas las partes involucradas deberán primero firmar un acuerdo de confidencialidad específico emitido por Nitro con respecto a dicha auditoría y los resultados de la auditoría antes del inicio de la auditoría. Al realizar cualquiera de dichas auditorías, las obligaciones de confidencialidad de las Partes con respecto a terceros deben tenerse en cuenta. Tanto las Partes como sus auditores deben mantener la información recopilada en relación con una auditoría en secreto y utilizarla exclusivamente para verificar su cumplimiento con este Adenda de Procesamiento de Datos y las leyes y regulaciones aplicables en materia de protección de datos. El Procesador tiene la opción de realizar la auditoría él mismo o asignar un auditor independiente, sin embargo, dicho auditor independiente debe firmar debidamente el acuerdo de confidencialidad mencionado en esta Sección. El Controlador tiene los mismos derechos de auditoría que el Procesador bajo esta Cláusula.

10.3  Ambas Partes y, cuando proceda, sus representantes, deberán cooperar razonablemente, a solicitud, con cualquier regulador competente en relación con la auditoría.

10.4  El Procesador reembolsará a Nitro por la asistencia proporcionada por Nitro en relación con auditorías de acuerdo con la Sección 11 “Costos” de esta Adenda de Procesamiento de Datos. Entiéndase que dicho reembolso no se aplicará en caso de que (i) la auditoría sea un resultado de un Incumplimiento de Datos comprobado atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no supere las cuatro (4) horas laborables durante la vigencia del Acuerdo.

11. COSTOS

11.1  La asistencia a ser realizada bajo esta Adenda de Procesamiento de Datos por la cual Nitro puede cobrar al Procesador, se cobrará sobre la base de las horas trabajadas y las tarifas horarias estándar aplicables de Nitro (USD 295/hora, impuestos excluidos). Nitro facturará estos montos mensualmente pero también tiene el derecho de solicitar un pago por adelantado. LA RESPONSABILIDAD

12.1  Sujeto a la mayor medida permitida bajo la ley aplicable, las disposiciones del Acuerdo relativas a la limitación de responsabilidad también se aplican a esta Adenda de Procesamiento de Datos y los daños que surjan de ella. DIVERSOS

13.1. Las disposiciones del Acuerdo relativas a cambios, acuerdo completo, divisibilidad, ley aplicable y tribunales competentes son aplicables a esta Adenda de Procesamiento de Datos.

13.2  Esta Adenda de Procesamiento de Datos es complementada por los términos específicos del CCPA que se establecen en el Anexo 1 que se adjunta, en la medida requerida según lo establecido en el Anexo 1.

ANEXO 1 – DETALLES DEL PROCESAMIENTO DE DATOS

DESCRIPCIÓN DEL PROCESAMIENTO

1. ASUNTO DEL PROCESAMIENTO DE LA INFORMACIÓN PERSONAL

El asunto está determinado por el Procesador según se establece en el Acuerdo (y/o relevante Formulario de Pedido ISV de Nitro).

2. LA NATURALEZA Y LOS PROPÓSITOS DEL PROCESAMIENTO DE INFORMACIÓN PERSONAL

La naturaleza y los propósitos del procesamiento están determinados por el Procesador según se establece en el Acuerdo (y/o relevante Formulario de Pedido ISV de Nitro).

Por defecto, dicho procesamiento tiene como propósito hacer disponible los Servicios, incluyendo todas sus características y funcionalidades al Procesador (quien las pondrá a disposición del Controlador) y, en general, permitir a Nitro cumplir con sus obligaciones contractuales bajo el Acuerdo. Dicho propósito puede ser hacer disponible los Servicios en la Nube (por ejemplo, pero sin limitación a poner disponible el portal en la nube del cliente, servicios de firma electrónica, servicios de análisis, etc.) así como la provisión de Soporte.

La naturaleza del procesamiento deberá, entre otras instrucciones dadas por el Procesador en el Acuerdo (y/o relevante Formulario de Pedido ISV de Nitro), incluir el procesamiento, la recopilación, el almacenamiento, la comunicación y la transferencia de Datos Personales.

3. INFORMACIÓN PERSONAL PROCESADA

Dependiendo de las funcionalidades utilizadas dentro de los Servicios (por ejemplo, portal del cliente, servicios de firma electrónica, servicios de análisis, etc.) y el contenido de los Datos del Cliente Final que cualifican como Datos Personales subidos por el Procesador o el Controlador en los Servicios, Nitro procesa diferentes tipos de Datos Personales. En general, los Datos Personales procesados por Nitro incluyen sin limitación:

• Detalles de identificación (por ejemplo, respecto a los Sujetos de Datos que utilizan los Servicios - y detalles de uso)
• Datos de documentos (por ejemplo, Datos Personales incluidos en documentos PDF procesados)

Una descripción detallada de los tipos de Datos Personales que se están procesando al utilizar los Servicios está disponible a través del Centro de Confianza de Nitro: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. CATEGORÍA DE SUJETOS DE DATOS

Las siguientes categorías de Sujetos de Datos están en el alcance por defecto:

• Todos los Sujetos de Datos que tienen acceso a los Servicios (lo cual incluye usuarios administradores, usuarios generales o usuarios invitados como firmantes).
• Todos los Sujetos de Datos incluidos en los Datos del Cliente Final que cualifican como Datos Personales subidos en los Servicios por el Procesador o el Controlador.

El Procesador confirma que esos sujetos de datos serán considerados por defecto como una de las siguientes categorías:

• Usuarios de los Servicios
• Clientes del Procesador
  
  

5.  SUB-PROCESADORES

Nitro contrata sub-procesadores de Nitro para garantizar que todas las funcionalidades estén disponibles dentro de los Servicios. Qué sub-procesadores de Nitro son aplicables depende de los Servicios utilizados y las funcionalidades y configuración solicitadas por el Procesador o el Controlador. Una lista detallada de los subprocesadores de Nitro comprometidos por Nitro (incluido el procedimiento que aplicamos al comprometer nuevos subprocesadores de Nitro) está disponible a través de nuestro Centro de Confianza: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

6. MEDIDAS TÉCNICAS Y ORGANIZATIVAS (TOMs)

Nitro implementa medidas técnicas y organizativas adecuadas para asegurar una seguridad adecuada al utilizar los Servicios. Estamos actualizando continuamente tales medidas. Una visión general detallada de las medidas adoptadas está disponible a través de nuestro Centro de Confianza en nuestra sección de Seguridad: https://www.gonitro.com/security-compliance/security y en nuestra Política de Seguridad de la Información. Nuestro Centro de Confianza también enumera las certificaciones que Nitro posee en la sección de Cumplimiento: https://www.gonitro.com/security-compliance/compliance

7. PERÍODO DE RETENCIÓN

Nitro no almacenará Datos Personales más tiempo del necesario para la provisión de los Servicios. Dependiendo de los Servicios y de las funcionalidades que el Procesador o el Controlador estén utilizando, los períodos de retención aplicables pueden diferir. El Procesador, actuando en nombre del Controlador, puede solicitar a Nitro que configure períodos de retención específicos en su entorno (en la medida en que esto sea técnicamente factible).

En caso de que no se hayan configurado períodos de retención específicos, los Datos Personales se almacenarán por defecto en Nitro hasta su eliminación por el Procesador o el Controlador o hasta la finalización del Acuerdo entre Nitro y el Procesador (más un máximo de 30 días), lo que ocurra primero. Una visión general detallada de los períodos de retención está disponible a través de nuestro Centro de Confianza: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

8. DETALLES DE CONTACTO DEL EQUIPO DE PRIVACIDAD DE NITRO

privacy@gonitro.com
Nitro Software Inc.
447 Sutter St, STE 405 #1015, San Francisco, CA 94108
Estados Unidos

ANEXO 1 – TÉRMINOS ESPECÍFICOS DEL CCPA

1. En la medida en que Nitro reciba Datos Personales del ISV o en su nombre y esa información esté sujeta al CCPA, se aplicarán las siguientes disposiciones. En la medida de cualquier conflicto entre este Anexo 1 y el Anexo de Procesamiento de Datos, el primero prevalecerá.

1.1  CCPA. En la medida en que (a) Nitro (como Proveedor de Servicios o Contratista) reciba Datos Personales del ISV (como Proveedor de Servicios o Contratista) para procesarlos en nombre del Controlador (como Negocio) para proporcionar los Servicios, y (b) esos Datos Personales estén sujetos al CCPA (“ISV PI”), Nitro deberá (i) cumplir con todas las obligaciones aplicables a Nitro bajo el CCPA y proporcionará el mismo nivel de protección de privacidad y seguridad requerido por el CCPA; (ii) no Vender ni Compartir ISV PI; (iii) no retener, usar o divulgar el ISV PI (a) para ningún propósito distinto de los Propósitos Comerciales especificados en este Anexo de Procesamiento de Datos o el Acuerdo (incluyendo la retención, uso o divulgación del ISV PI para un Propósito Comercial distinto del Propósito Comercial especificado en este Acuerdo de Procesamiento de Datos o el Acuerdo) o como de otro modo permitido por el CCPA, o (b) fuera de la relación comercial directa entre el ISV y Nitro; (iv) en la medida en que el ISV divulgue o de otro modo haga disponibles Datos Desidentificados a Nitro, Nitro (a) tomará medidas razonables para garantizar que los Datos Desidentificados no puedan asociarse con un individuo o hogar, (b) se comprometerá públicamente a mantener y utilizar la información en forma desidentificada y no intentará reidentificar la información, y (c) obligará contractualmente a cualquier destinatario posterior a cumplir con todas las disposiciones de este subpárrafo (iv); (v) no combinará el ISV PI relacionado con un individuo que Nitro reciba de, o en nombre de, el ISV con Datos Personales que reciba de, o en nombre de, otra persona, o que recopile de la propia interacción de Nitro con el individuo, siempre que Nitro pueda combinar el ISV PI para realizar cualquier Propósito Comercial como se define en cualquier regulación relevante adoptada conforme al CCPA; (vi) notificará al ISV si contrata a algún subcontratista para procesar el ISV PI y divulgará el ISV PI a dicho subcontratista conforme a un contrato escrito que incluya términos que proporcionen el mismo nivel de protección de dicho PI como los requeridos por el CCPA; (vii) implementará medidas organizativas y técnicas apropiadas a la naturaleza del ISV PI para proteger la seguridad del ISV PI y los sistemas contra accesos no autorizados, destrucción, uso, modificación o divulgación; (viii) notificará al ISV si Nitro determina que ya no puede cumplir con sus obligaciones bajo el CCPA; (ix) proporcionará asistencia razonable al ISV para garantizar el cumplimiento de la obligación del ISV de llevar a cabo evaluaciones de protección de datos, auditorías de ciberseguridad y evaluaciones de riesgos considerando la naturaleza del procesamiento y la información disponible para Nitro. Nitro también ayudará al ISV a cumplir con los requisitos de tecnología de toma de decisiones automatizadas del Controlador, si los hay; (x) notificará al ISV si Nitro recibe una solicitud para ejercer derechos de privacidad de un individuo relacionada con los ISV PI de ese individuo (una “Solicitud”). Nitro no se comunicará de otro modo con un individuo sobre su Solicitud a menos que el ISV dirija a Nitro a hacerlo o Nitro esté obligado a comunicarse con un individuo según la ley aplicable. Nitro proporcionará, de manera coherente con la naturaleza y funcionalidad de los servicios proporcionados bajo este Anexo de Procesamiento de Datos y el papel de Nitro como Proveedor de Servicios, apoyo razonable al ISV para permitir que el ISV responda y cumpla con una Solicitud bajo el CCPA; y no más de una vez anualmente, pondrá a disposición del ISV, a petición, información razonablemente necesaria para demostrar el cumplimiento con esta Sección 1, incluyendo proporcionando resúmenes de políticas de privacidad y seguridad aplicables para propósitos de revisión y auditoría.

1.2  Soporte. El ISV reembolsará a Nitro por la asistencia proporcionada por Nitro bajo la Cláusula 1.1.(ix) de este Anexo 1 de acuerdo con la Sección 11 “Costos” de este Anexo de Procesamiento de Datos.

1.3  Certificación. En la medida en que Nitro sea un Contratista, Nitro certifica que entiende y cumplirá con las restricciones establecidas en la Subsección 1.1.