Descargar una copia

ESTE APÉNDICE DE PROCESAMIENTO DE DATOS SE APLICA SI SE HA REGISTRADO EN LOS SERVICIOS DE NITRO COMO CLIENTE EMPRESARIAL SEGÚN LOS TÉRMINOS DE SERVICIO DE NITRO Y EL RGPD DEL REINO UNIDO SE APLICA AL PROCESAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DEL ACUERDO. EN CASO DE QUE SE REGISTRE COMO INDIVIDUO, VISITE LA POLÍTICA DE PRIVACIDAD DE NITRO PARA OBTENER MÁS INFORMACIÓN SOBRE CÓMO PROCESA NITRO SUS DATOS PERSONALES.

Nitro recibirá y procesará Datos personales en beneficio y en nombre del Cliente al prestar el Servicio, de acuerdo con las instrucciones y el propósito definido por el Cliente en los Detalles del procesamiento de datos. Mediante este Anexo sobre procesamiento de datos, las Partes desean establecer sus acuerdos específicos con respecto al procesamiento de Datos personales en el marco del Acuerdo.

De forma predeterminada, Nitro actuará como Procesador y el Cliente actuará como Controlador con respecto a los Servicios prestados por Nitro al Cliente de conformidad con los Términos de servicio de Nitro. Este Anexo de Procesamiento de Datos reemplaza y reemplaza todos los acuerdos anteriores realizados (si los hubiera) con respecto al procesamiento de Datos Personales y la protección de datos entre las Partes en relación con los Servicios ofrecidos por Nitro.

Este Anexo de procesamiento de datos complementa y forma parte de los Términos de servicio, y juntos los Términos de servicio y este Anexo de procesamiento de datos constituyen un acuerdo legal único entre las Partes. En caso de discrepancias o contradicciones entre este Anexo de Procesamiento de Datos y los Términos de Servicio, prevalecerá el Anexo de Procesamiento de Datos.

“Anexo” significa cualquier anexo del presente Anexo de Procesamiento de Datos;

"Responsable del tratamiento" se refiere al Cliente tal como se identifica en los Términos de servicio y el Formulario de pedido aplicable;

“Detalles del procesamiento de datos” significa el Anexo 1 del presente Anexo de procesamiento de datos que incluye más detalles sobre las instrucciones del Cliente sobre el procesamiento de Datos personales, como el propósito, el objeto y la naturaleza del procesamiento y el tipo de Datos personales que se procesan;

“RGPD UE” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 abril 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre movimiento de dichos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos);

“Datos personales” significa datos personales tal como se definen en el RGPD del Reino Unido que Nitro procesa para beneficio y en nombre del Cliente cuando proporciona los Servicios de acuerdo con las instrucciones y el propósito definidos por el Cliente en los Detalles del procesamiento de datos;

“Procesador” se refiere a Nitro Software Inc., proveedor de los Servicios al Cliente y como se identifica en los Términos de Servicio;

“Lista de Subprocesadores” se refiere a la lista de Subprocesadores puesta a disposición en línea por Nitro que incluye a los Subprocesadores contratados por Nitro para la prestación de los Servicios y el cumplimiento de la obligación de Nitro en virtud del Acuerdo en general. Nitro puede actualizar la Lista de subprocesadores periódicamente según el proceso establecido en este Anexo de procesamiento de datos;

“Subprocesador” significa cualquier procesador externo contratado por Nitro para el procesamiento de Datos personales relacionados con la prestación de los Servicios al Cliente;

“RGPD del Reino Unido” significa el RGPD de la UE tal como se transpuso a la legislación nacional del Reino Unido en virtud de la sección 3 de la Ley de Retiro de la Unión Europea 2018 y modificado por la Ley de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE). ) Reglamento 2019 (según enmendado);

“Datos personales del Reino Unido” significa Datos personales a los que se aplica el RGPD del Reino Unido;

“Cláusulas contractuales estándar del Reino Unido” significa el Anexo sobre transferencia internacional de datos a las Cláusulas contractuales estándar de la Comisión de la UE emitido por el Comisionado de Información en virtud de la Sección 119A(1) de la Ley de Protección de Datos 2018, en la forma y manera establecidas. en el Anexo 2 de este Anexo de Procesamiento de Datos.

Todos los demás términos y definiciones escritos con letras mayúsculas y que no estén definidos expresamente en este Anexo de procesamiento de datos, se definen según lo establecido en la legislación de protección de datos aplicable o en los Términos de servicio de Nitro.

3.1 Este Anexo sobre procesamiento de datos determina las condiciones del procesamiento por parte de Nitro de los Datos personales comunicados por el Cliente o por iniciativa del mismo en el contexto del Acuerdo. La naturaleza y el propósito del procesamiento, una lista y el tipo de Datos personales, así como las categorías de los Interesados, se enumeran en los Detalles del procesamiento de datos (Anexo 1).  

3.2 El procesamiento se llevará a cabo exclusivamente en beneficio del Cliente y para el propósito definido por el Cliente en los Detalles del procesamiento de datos. Nitro informará inmediatamente al Cliente si, en su opinión, una instrucción infringe la legislación aplicable en materia de protección de datos. Nitro solo procesará los Datos personales de acuerdo con las instrucciones documentadas del Cliente y no utilizará estos Datos personales para sus propios fines, a menos que se permita explícitamente en los Términos de servicio. Si Nitro está legalmente obligado a proceder con cualquier procesamiento de Datos personales, Nitro, a menos que esto viole las reglas obligatorias aplicables, informará al Cliente de dicha obligación.  

4.1 Este Anexo sobre procesamiento de datos se aplica a todo procesamiento de Datos personales ejecutado en el contexto de la prestación de los Servicios al Cliente por parte de Nitro y se aplica siempre que Nitro procese Datos personales en nombre del Cliente en el contexto del Acuerdo. . Este Anexo de procesamiento de datos complementa los Términos de servicio de Nitro y tiene como objetivo garantizar el cumplimiento de las Partes con los requisitos impuestos por las leyes y regulaciones de protección de datos aplicables para el uso de los Servicios por parte del Cliente. 

4.2 Este Anexo de procesamiento de datos finaliza automáticamente al finalizar el Acuerdo (o en el momento en que finaliza el procesamiento por parte de Nitro). Las disposiciones de este Anexo de procesamiento de datos que, expresa o implícitamente (dada su naturaleza), están destinadas a tener efecto después de la terminación del Anexo de procesamiento de datos sobrevivirán a la finalización del Acuerdo con respecto a los Datos personales comunicados por o por iniciativa del Cliente en el contexto del Acuerdo.  

5.1 Nitro ofrece garantías adecuadas con respecto a la implementación de medidas técnicas y organizativas ("TOM") apropiadas para garantizar el procesamiento seguro de los datos personales y así garantizar la protección de los derechos del interesado. Los TOM implementados por Nitro son los establecidos en los Detalles del procesamiento de datos. Nitro puede actualizar los TOM de vez en cuando; sin embargo, Nitro se asegurará de no degradar la seguridad general que ha implementado en el momento de la ejecución del Anexo de procesamiento de datos. El Cliente reconoce que los TOM son adecuados para el procesamiento de sus Datos Personales al momento de firmar o aceptar este Anexo de Procesamiento de Datos.   

5.2 Nitro tomará todas las medidas técnicas y organizativas apropiadas según lo mencionado en el artículo 32 del RGPD del Reino Unido para garantizar un nivel de seguridad adecuado al riesgo. 

5.3 Si el Cliente proporciona Datos personales confidenciales según lo mencionado en los artículos 9 y 10 del RGPD del Reino Unido a Nitro en el contexto del Acuerdo, el Cliente notificará a Nitro por escrito a través de Privacy@gonitro.com. 

5.4 En caso de que el Cliente solicite que Nitro implemente medidas técnicas y organizativas específicas (que Nitro no ha implementado de forma predeterminada), el Cliente reembolsará a Nitro por implementar dichas medidas adicionales de acuerdo con la Sección 14 "Costos" de este Anexo de procesamiento de datos. 

5.5 La adhesión por parte de Nitro a un código de conducta aprobado tal como se menciona en el artículo 40 del RGPD del Reino Unido, o a un mecanismo de certificación aprobado tal como se menciona en el artículo 42 del RGPD del Reino Unido, se puede utilizar como elemento de prueba de garantías suficientes como mencionado en el RGPD del Reino Unido. 

6.1 Nitro no conservará los Datos personales más tiempo del necesario para procesar dichos Datos personales en el contexto del Acuerdo. El Cliente no ordenará a Nitro que almacene ningún Dato personal más tiempo del necesario. El período de retención aplicable (según lo definido por el Cliente) se establece en los Detalles del procesamiento de datos. 

6.2 A elección del Cliente, Nitro eliminará o devolverá todos los Datos personales al Cliente una vez finalizada la prestación de los Servicios y eliminará las copias existentes a menos que la ley aplicable exija el almacenamiento de los Datos personales. El Cliente reconoce que los Servicios pueden incluir funciones de descarga a su disposición para permitirle descargar sus datos. En la medida en que dichas funcionalidades estén disponibles, el Cliente deberá utilizarlas para extraer o eliminar sus datos. 

7.1 Las partes han acordado una cláusula de confidencialidad en los Términos de servicio que se aplica al procesamiento de Datos personales en el contexto del Acuerdo.  

7.2 Nitro reconoce y acepta que solo aquellos empleados, contratistas o agentes de Nitro que participan en el procesamiento de Datos personales pueden ser informados sobre los Datos personales y solo en la medida en que sea razonablemente necesario para el cumplimiento del Acuerdo. Nitro garantiza que las personas autorizadas para procesar los Datos personales estén comprometidas con la confidencialidad por contrato o estén bajo una obligación legal apropiada de confidencialidad. 

8.1 Teniendo en cuenta la naturaleza del procesamiento, Nitro hará todos los esfuerzos razonables, tomando las medidas técnicas y organizativas apropiadas, para ayudar al Cliente en el cumplimiento de su obligación de responder a las solicitudes de los Interesados. 

8.2 Por toda la asistencia brindada por Nitro en el contexto del tratamiento de dichas solicitudes de los Interesados, el Cliente reembolsará a Nitro de acuerdo con la Sección 14 "Costos" de este Anexo de procesamiento de datos. Dicho reembolso por parte del Cliente no se aplicará (i) en caso de que el Interesado esté invocando sus derechos debido a una Violación de Datos Personales comprobada atribuible a Nitro o (ii) en caso de que dicha asistencia por parte de Nitro no exceda las cuatro (4) horas de trabajo durante la vigencia del Contrato. 

9.1 Al tener conocimiento de una violación de datos personales, Nitro deberá notificarla al Cliente sin demora indebida comunicándose con la persona de contacto indicada en el Acuerdo o en el Formulario de pedido correspondiente (o, alternativamente, a través de la dirección de correo electrónico de notificación del Cliente o (si corresponde) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal de administración como contacto de privacidad). Puede comunicarse con la persona de contacto de Nitro para cualquier asunto relacionado con la protección de datos por correo electrónico: privacidad@gonitro.com. 

9.2 A petición del Cliente, Nitro informará al Cliente de cualquier novedad con respecto a cualquier Violación de Datos Personales y de las medidas adoptadas para limitar sus consecuencias y evitar la repetición de dicha Violación de Datos Personales. Es responsabilidad del Cliente informar cualquier Violación de Datos Personales a la Autoridad de Control o al Titular de los Datos, según sea necesario.  

10.1 El Cliente autoriza expresamente a Nitro a contratar Subprocesadores para el procesamiento de Datos personales para la ejecución del Acuerdo y para facilitar la prestación de los Servicios en general. En esta medida, el Cliente otorga una autorización general por escrito a Nitro para decidir con qué Subprocesador(es) coopera Nitro para el cumplimiento de sus obligaciones en virtud del Acuerdo. Nitro publica una Lista de Subprocesadores que hace referencia a los Subprocesadores contratados por Nitro.  

10.2 Nitro informará al Cliente de cualquier cambio previsto relacionado con la adición o reemplazo de Subprocesadores comunicándose con la persona de contacto indicada en el Acuerdo o el Formulario de pedido correspondiente (o mediante la dirección de correo electrónico de notificación del Cliente o (si corresponde) cualquier otro dirección de correo electrónico que el Cliente ha compartido en el portal de administración como contacto de privacidad). El Cliente tendrá derecho a oponerse a la adición o sustitución dirigiéndose a Nitro por escrito. En tal caso, las partes discutirán la adición, reemplazo o alternativa de buena fe y tan pronto como sea razonablemente posible después de la notificación de objeción por escrito del Cliente. 

10.3 Cuando Nitro contrate a un Subprocesador para llevar a cabo actividades de procesamiento específicas, se impondrán a ese Subprocesador las mismas o similares obligaciones de protección de datos establecidas en este Anexo de Procesamiento de Datos mediante un acuerdo escrito, en particular disponiendo garantías suficientes para implementar medidas técnicas y organizativas apropiadas (y cumplir con las medidas técnicas y organizativas pertinentes). Cuando un Subprocesador no cumple con sus obligaciones de protección de datos, Nitro seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de dicha obligación de Subprocesador.  

11.1 El Cliente reconoce que Nitro está establecido en los Estados Unidos de América y, por lo tanto, autoriza transferencias internacionales de datos personales con el fin de proporcionar los Servicios. Dicha transferencia internacional de datos se considera una instrucción del Cliente. 

11.2 Si, en cualquier momento durante la vigencia de este Anexo de Procesamiento de Datos, (i) Nitro está certificado bajo la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE.UU. (también conocido como el 'puente de datos' entre el Reino Unido y EE.UU.) (" Estructura"); y (ii) ese Marco constituye una decisión de adecuación válida a los efectos del artículo 45 del RGPD del Reino Unido, entonces las Partes reconocen que no se requieren salvaguardias adecuadas con respecto a las transferencias entre el Cliente y Nitro.  

11.3 Donde se cumplan las condiciones establecidas en el Apartado 11.2 no se aplican, las Partes celebran las Cláusulas Contractuales Estándar del Reino Unido en la forma y manera establecidas en el Anexo 2 de este Anexo de Procesamiento de Datos, dichas Cláusulas Contractuales Estándar del Reino Unido se incorporan y forman parte de este Anexo de Procesamiento de Datos. .   

11.4 El Cliente reconoce que los Subprocesadores autorizados en virtud de la cláusula 10 también pueden procesar Datos personales en terceros países. El Cliente permite dichas transferencias, sujeto a que Nitro tome todas las medidas necesarias para garantizar que dichas transferencias cumplan con las disposiciones del Capítulo V del RGPD del Reino Unido y otras leyes de protección de datos aplicables.  

11.5 En caso de que la transferencia de Datos personales a un tercer país o una organización internacional sea obligatoria según la ley aplicable a la que Nitro esté sujeto, Nitro podrá realizar dicha transferencia e informará al Cliente de ese requisito legal antes de dicho Procesamiento. a menos que dicha ley prohíba dicha información por motivos importantes de interés público. 

12.1 Si el Cliente realiza una Evaluación de Impacto de la Protección de Datos ("DPIA") (artículo 35 GDPR del Reino Unido) o una consulta previa (artículo 36 GDPR del Reino Unido) vinculada al procesamiento de Datos Personales en el contexto de la ejecución de del Acuerdo, Nitro asistirá razonablemente al Cliente brindándole asistencia cuando el Cliente lo solicite por escrito. El Cliente reembolsará a Nitro la asistencia brindada de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Dicho reembolso de costos no se aplicará en caso de (i) la asistencia solicitada a Nitro sea inferior a cuatro (4) horas hábiles durante la vigencia del Acuerdo, o (ii) la EIPD o consulta previa se desencadene por un Datos Personales. Incumplimiento demostrado atribuible a Nitro. 

13.1 El Cliente tiene derecho a realizar auditorías sobre el cumplimiento por parte de Nitro de sus obligaciones en virtud de este Anexo de Procesamiento de Datos y la legislación de protección de datos aplicable. Nitro hará todos los esfuerzos razonables para cooperar con dichas auditorías y poner a disposición toda la información necesaria para demostrar el cumplimiento de su obligación. El Cliente deberá notificar a Nitro de dicha auditoría al menos un (1) mes antes de la fecha en la que se realizará la auditoría, mediante notificación por escrito a Nitro a través de privacy@gonitro.com.  

13.2 En caso de que se esté realizando una auditoría, todas las partes involucradas deberán firmar primero un acuerdo de confidencialidad específico emitido por Nitro con respecto a dicha auditoría y los resultados de la auditoría antes del inicio de la auditoría. Al realizar cualquier auditoría de este tipo, se deben tener en cuenta las obligaciones de confidencialidad de las Partes con respecto a terceros. Tanto las Partes como sus auditores deben mantener en secreto la información recopilada en relación con una auditoría y utilizarla exclusivamente para verificar su cumplimiento con este Anexo de Procesamiento de Datos y las leyes y regulaciones aplicables con respecto a la protección de datos. El Cliente tiene la opción de realizar la auditoría por sí mismo o de asignar un auditor independiente, sin embargo dicho auditor independiente deberá firmar debidamente el acuerdo de confidencialidad a que se refiere esta Sección. 

13.3 Ambas Partes y, cuando corresponda, sus representantes, cooperarán razonablemente, previa solicitud, con la Autoridad de Supervisión en el desempeño de sus tareas.  

13.4 El Cliente reembolsará a Nitro por la asistencia brindada por Nitro en relación con las auditorías de acuerdo con la Sección 14 "Costos" de este Anexo de procesamiento de datos. Entendiéndose, dicho reembolso no aplicará en caso (i) la auditoría sea resultado de una Violación de Datos Personales comprobada atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no exceda las cuatro (4) horas de trabajo durante el plazo del Acuerdo. 

14.1 La asistencia que se realizará en virtud de este Anexo de procesamiento de datos por la cual Nitro puede cobrar al Cliente, se cobrará en función de las horas trabajadas y las tarifas horarias estándar aplicables de Nitro ( 295USD /hora excluidos los impuestos). Nitro facturará estos importes mensualmente, pero también tiene derecho a solicitar un anticipo por adelantado.  

14.2 El pago por parte del Cliente a Nitro por la asistencia y los servicios profesionales proporcionados por Nitro en virtud de este Anexo de Procesamiento de Datos se realizará de acuerdo con lo dispuesto en los Términos de Servicio.  

15.1 Sujeto al alcance máximo permitido por la ley aplicable, las disposiciones de los Términos de servicio relativas a la limitación de responsabilidad también se aplican a este Anexo de procesamiento de datos y a los daños que surjan del mismo. 

16.1 Las disposiciones de los Términos de Servicio relativas a cambios, acuerdo completo, divisibilidad, ley aplicable y tribunales competentes son aplicables a este Anexo de Procesamiento de Datos. En caso de discrepancias o contradicciones entre este Anexo de procesamiento de datos y las Cláusulas contractuales estándar del Reino Unido, si corresponde, prevalecerán las Cláusulas contractuales estándar del Reino Unido. 

A. LISTA DE PARTES

1. EXPORTADOR(ES) DE DATOS
Nombre: Cliente, tal y como se identifica en el Contrato y en el Formulario de Pedido correspondiente.

Dirección: La dirección del exportador de datos se establece en el Acuerdo y en el Formulario de pedido correspondiente.

Nombre de la persona de contacto, puesto y datos de contacto: Se establecen los datos de contacto de la persona de contacto para el exportador de datos. en el Acuerdo, el Formulario de pedido correspondiente (y, si corresponde, el portal de administración del Cliente).

Actividades relevantes para los datos transferidos: Las actividades que son relevantes para los datos transferidos según estas Cláusulas Contractuales Estándar del Reino Unido se describen a continuación en la Sección B “Descripción del procesamiento/transferencia”.

Firma y fecha: Al firmar o aceptar la correspondiente Hoja de Pedido, se considerará que el exportador de datos ha firmado el presente Anexo I.

Rol (controlador/procesador): Controlador

2. IMPORTADOR(ES) DE DATOS
Nombre: Nitro Software Inc.

Dirección: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.

Nombre, cargo y datos de contacto de la persona de contacto: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.

Actividades relacionadas con los datos transferidos: Las actividades que son relevantes para los datos transferidos en virtud de estas Cláusulas Contractuales Estándar del Reino Unido se describen a continuación en la Sección B "Descripción del procesamiento/transferencia".

Firma y fecha: Al firmar o aceptar el Formulario de Pedido correspondiente, se considerará que el importador de datos ha firmado este Anexo I.

Rol (controlador/procesador): Procesador

B. DESCRIPCIÓN DEL TRATAMIENTO/TRANSFERENCIA

1. OBJETO DEL TRATAMIENTO DE LOS DATOS PERSONALES 

El tema lo determina el Cliente según lo establecido en el Acuerdo y el Formulario de pedido correspondiente.

2. NATURALEZA Y FINALIDAD DEL TRATAMIENTO DE LOS DATOS PERSONALES  

La naturaleza y el propósito del procesamiento los determina el Cliente según lo establecido en el Acuerdo y el Formulario de pedido correspondiente.

De forma predeterminada, dicho procesamiento tendrá como propósito poner a disposición los Servicios, incluidas todas sus características y funcionalidades, para el Cliente y sus Usuarios y, más en general, permitir que Nitro cumpla con sus obligaciones contractuales en virtud del Acuerdo. Dicho propósito puede ser poner a disposición los Servicios en la nube (por ejemplo, entre otros, poner a disposición el portal en la nube del cliente, servicios de firma electrónica, servicios de análisis, etc.), así como el suministro de Soporte.

La naturaleza del procesamiento incluirá, entre otras instrucciones dadas por el Cliente en el Acuerdo y el Formulario de pedido correspondiente, el procesamiento, recopilación, almacenamiento, comunicación y transferencia de Datos personales.

3. DATOS PERSONALES TRATADOS 

Dependiendo de las funcionalidades utilizadas dentro de los Servicios (por ejemplo, portal de administración, servicios de firma electrónica, servicios de análisis, etc.) y el contenido de los Datos del Cliente cargados por el Cliente y sus Usuarios en los Servicios, Nitro procesa diferentes tipos de Datos Personales.

Con carácter general, los Datos Personales tratados por Nitro incluyen, entre otros:

• Detalles de identificación (por ejemplo, detalles de usuario y uso) 
• Datos del documento (por ejemplo, Datos personales incluidos en los documentos PDF procesados) 

Una descripción detallada del tipo de Datos personales que se procesan al utilizar los Servicios está disponible a través del Centro de confianza de Nitro: Procesamiento de datos personales

4. DATOS SENSIBLES 
El exportador de datos puede incluir datos personales confidenciales en los datos personales de acuerdo con la Sección 5.3 de este Anexo de Procesamiento de Datos. Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que conllevan, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), el mantenimiento de un registro del acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales: se hace referencia a los TOM enumerados o referenciados en los Detalles de procesamiento de datos a continuación.

5. CATEGORÍA DE INTERESADOS 

Las siguientes categorías de Sujetos de datos tienen un alcance predeterminado:

• Todos los Usuarios que tienen acceso a los Servicios (que incluyen usuarios administradores, usuarios generales o usuarios invitados, como los firmantes). 
• Todos los Sujetos de datos incluidos en los Datos del Cliente cargados en los Servicios por el Cliente o sus Usuarios.  

El Cliente confirma que esos Sujetos de datos serán considerados por defecto una de las siguientes categorías:

• personal del cliente 
• clientes del cliente  
• perspectivas del cliente 
• proveedores del cliente 

6. SUBPROCESADORES 

Nitro contrata a Subprocesadores para garantizar que todas las funcionalidades estén disponibles dentro de los Servicios. Los Subprocesadores aplicables dependen del uso de los Servicios y de las funcionalidades y configuraciones solicitadas por el Cliente. Una lista detallada de los subprocesadores contratados por Nitro (incluido el procedimiento que aplicamos cuando contratamos nuevos subprocesadores) está disponible a través de nuestro Centro de confianza: Subprocesadores y subcontratistas

7. MEDIDAS TÉCNICAS Y ORGANIZATIVAS (TOM) 

Nitro implementa las medidas técnicas y organizativas adecuadas para garantizar la seguridad adecuada al utilizar los Servicios. Actualizamos continuamente estas medidas. Un resumen detallado de las medidas adoptadas está disponible a través de nuestro Centro de Confianza en nuestra sección de Seguridad: Seguridad de la Información y en nuestra Política de Seguridad de la Información. Nuestro Centro de Confianza también enumera las certificaciones que posee Nitro en la sección Cumplimiento: Cumplimiento.

8. PERIODO DE CONSERVACIÓN 

Nitro no almacenará Datos personales más tiempo del necesario para la prestación de los Servicios. Dependiendo de los Servicios y las funcionalidades que esté utilizando como Cliente, los períodos de retención aplicables pueden diferir. Cada Cliente puede solicitar a Nitro que configure períodos de retención específicos en su entorno (en la medida en que sea técnicamente posible).

En caso de que no se hayan configurado períodos de retención específicos, Nitro almacenará los Datos personales de forma predeterminada hasta que el Cliente los elimine o hasta la rescisión del Acuerdo entre Nitro y el Cliente (más un máximo de 30 días), cualquiera de ambas situaciones ocurra primero. Una descripción detallada de los períodos de retención está disponible a través de nuestro Centro de confianza: Procesamiento de datos personales

9. FRECUENCIA DE LAS TRANSFERENCIAS INTERNACIONALES 

De forma continua, según sea necesario para proporcionar los Servicios al Cliente.

Anexo sobre transferencia internacional de datos a las cláusulas contractuales estándar de la Comisión de la UE

VERSIÓN B1.0, vigente 21 marzo 2022

Este Anexo ha sido emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas. El Comisionado de Información considera que proporciona salvaguardias apropiadas para las transferencias restringidas cuando se celebra como un contrato legalmente vinculante.

Tabla 1: Partes

Tabla 2: SCC, módulos y cláusulas seleccionadas

Tabla 3: Información del Apéndice

“Información del Apéndice” significa la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las SCC de la UE aprobadas (distintas de las Partes), y que para este Anexo se establece en:

Tabla 4: Finalización de este Anexo cuando cambia el Anexo aprobado

Entrando en este Anexo

1. Cada Parte acepta estar sujeta a los términos y condiciones establecidos en este Anexo, a cambio de que la otra Parte también acepte estar sujeta a este Anexo. 
2. Aunque el Anexo 1A y la Cláusula 7 de las CEC de la UE aprobadas requieren la firma de las Partes, a los efectos de realizar Transferencias restringidas, las Partes pueden celebrar este Anexo de cualquier manera que los haga legalmente vinculantes para las Partes y permita los interesados para hacer valer sus derechos tal como se establecen en este Anexo. La celebración de este Anexo tendrá el mismo efecto que la firma de las CCE aprobadas de la UE y cualquier parte de las CCE aprobadas de la UE. 

Interpretación de este Anexo

3. Cuando en el presente Anexo se utilicen términos definidos en las CCT de la UE aprobadas, dichos términos tendrán el mismo significado que en las CCT de la UE aprobadas. Además, los siguientes términos tienen los siguientes significados: 

4. Este Anexo siempre debe interpretarse de manera coherente con las Leyes de Protección de Datos del Reino Unido y para que cumpla con la obligación de las Partes de proporcionar las Garantías Adecuadas.  
5. Si las disposiciones incluidas en el Anexo de las CCT de la UE modifican las CCT aprobadas de alguna manera que no esté permitida en virtud de las CCT de la UE aprobadas o del Apéndice aprobado, dichas modificaciones no se incorporarán a este Anexo y la disposición equivalente de las CCT de la UE aprobadas ocupará su lugar. 
6. Si existe alguna inconsistencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y este Anexo, se aplicarán las Leyes de Protección de Datos del Reino Unido. 
7. Si el significado de este Anexo no está claro o hay más de un significado, se aplica el significado que más se alinee con las Leyes de Protección de Datos del Reino Unido.  
8. Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) significa que la legislación (o la disposición específica) puede cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada y/o sustituida después de la entrada en vigor de este Anexo.  

Jerarquía
9. Aunque la Cláusula 5 de las CCT de la UE aprobadas establece que las CCT de la UE aprobadas prevalecen sobre todos los acuerdos relacionados entre las Partes, las Partes acuerdan que, para las Transferencias restringidas, prevalecerá la jerarquía de la Sección 10 . 
10. En caso de que exista alguna incoherencia o conflicto entre la Adenda Aprobada y las CCT de la UE del Apéndice (según corresponda), la Adenda Aprobada anulará las CCT de la UE del Anexo, excepto cuando (y en la medida en que) los términos incoherentes o contradictorios de las CCT de la UE del Apéndice proporcionen una mayor protección a los interesados, en cuyo caso dichos términos anularán la Adenda Aprobada. 
11. Cuando este Anexo incorpore las CCT de la UE que se han celebrado para proteger las transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679 las Partes reconocen que nada de lo dispuesto en este Anexo afecta a esas CCT de la UE. 

Incorporación y modificaciones de las CEC de la UE
12. La presente adenda incorpora las CCT de la UE, que se modifican en la medida necesaria para que: 

1. juntos operan para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar esa transferencia de datos, y proporcionan salvaguardias adecuadas para esas transferencias de datos;  
2. Las secciones 9 a 11 anulan la cláusula 5 (Jerarquía) del Anexo a las CEC de la UE; y 
3. Este Anexo (incluido el Anexo de las CEC de la UE incorporadas en él) se rige (1) por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja del mismo se resuelve en los tribunales de Inglaterra y Gales, en cada caso. a menos que las Partes hayan seleccionado expresamente las leyes y/o tribunales de Escocia o Irlanda del Norte. 

13. A menos que las Partes hayan acordado modificaciones alternativas que cumplan con los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15 . 
14. No se podrán realizar modificaciones en las CCT de la UE aprobadas para cumplir con los requisitos de la Sección 12 . 
15. Se introducen las siguientes modificaciones en la Adenda de las CCT de la UE (a efectos de la sección 12):  

1. Las referencias a las “Cláusulas” significan este Anexo, que incorpora las CEC de la UE del Anexo; 
2. En la cláusula 2, suprímanse las palabras: 
   "y, con respecto a las transferencias de datos de los responsables a los encargados del tratamiento y/o de los encargados al tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28(7) del Reglamento (UE) 2016/679";
3. La cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por el texto siguiente: 
   «Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y el(los) propósito(s) para los que se transfieren) son los especificados en el anexo I.B donde las leyes de protección de datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar esa transferencia.»;
4. Cláusula 8.7i) del módulo 1 se sustituye por el texto siguiente: 
   "es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior";
5. Cláusula 8.8i) de los módulos 2 y 3 se sustituye por el texto siguiente: 
   "la transferencia ulterior es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior";
6. Referencias al “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 abril 2016 , sobre la protección de las personas físicas con respecto al procesamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos)” y “ese Reglamento” se reemplazan por “Leyes de Protección de Datos del Reino Unido”. Las referencias a artículos específicos del “Reglamento (UE) 2016/679” se reemplazan por el artículo o sección equivalente de las leyes de protección de datos del Reino Unido; 
7. Se eliminan las referencias al Reglamento (UE) 2018/1725 ; 
8. Las referencias a “Unión Europea”, “Unión”, “UE”, “Estado miembro de la UE”, “Estado miembro” y “UE o Estado miembro” se reemplazan por “Reino Unido”; 
9. La referencia a la “Cláusula 12(c)(i)” en la Cláusula 10(b)(i) del Módulo uno, se reemplaza por “Cláusula 11(c)(i)”; 
10. No se utilizan la cláusula 13(a) y la Parte C del Anexo I;  
11. La “autoridad de control competente” y la “autoridad de control” se sustituyen por el “Comisionado de Información”; 
12. En la cláusula 16(e), la subsección (i) se sustituye por la siguiente: 
    "el Secretario de Estado dicta reglamentos de conformidad con el artículo 17A de la Ley de Protección de Datos 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;";
13. La cláusula 17 se sustituye por el texto siguiente: 
    "Estas Cláusulas se rigen por las leyes de Inglaterra y Gales.";
14. La cláusula 18 se sustituye por el texto siguiente: 
    "Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado también puede iniciar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.". y
15. Las notas a pie de página de las SCC de la UE aprobadas no forman parte del Anexo, excepto las notas a pie de página 8, 9, 10 y 11.  

Enmiendas a esta Adenda

1. Las Partes pueden acordar cambiar las Cláusulas 17 y/o 18 del Anexo de las CEC de la UE para hacer referencia a las leyes y/o tribunales de Escocia o Irlanda del Norte. 
2. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo Aprobado, podrán hacerlo aceptando el cambio por escrito, siempre que el cambio no reduzca las Salvaguardias Apropiadas. 
3. De vez en cuando, la ICO puede emitir un Anexo Aprobado revisado que:  
   
   1. realiza cambios razonables y proporcionados al Anexo Aprobado, incluida la corrección de errores en el Anexo Aprobado; y/o 
   2. refleja cambios en las leyes de protección de datos del Reino Unido; 
4. El Anexo Aprobado revisado especificará la fecha de inicio a partir de la cual los cambios al Anexo Aprobado entran en vigencia y si las Partes necesitan revisar este Anexo, incluida la Información del Apéndice. Este Anexo se modifica automáticamente según lo establecido en el Anexo Aprobado revisado a partir de la fecha de inicio especificada.
5. Si la ICO emite un Anexo Aprobado revisado conforme a la Sección 18, si alguna de las Partes seleccionadas en la Tabla 4 “Finalización del Anexo cuando cambia el Anexo Aprobado”, tendrá como resultado directo de los cambios en el Anexo Aprobado un impacto sustancial, aumento desproporcionado y demostrable de:  
   
   1. sus costos directos de cumplir con sus obligaciones bajo el Anexo; y/o  
   2. su riesgo según el Anexo,  

y en cualquier caso, primero ha tomado medidas razonables para reducir esos costos o riesgos de manera que no sean sustanciales y desproporcionados, entonces esa Parte podrá poner fin a esta Adenda al final de un período de notificación razonable, mediante notificación por escrito para ese período a la otra Parte antes de la fecha de inicio de la Adenda Aprobada revisada.

1. Las Partes no necesitan el consentimiento de ningún tercero para realizar cambios a este Anexo, pero cualquier cambio debe realizarse de acuerdo con sus términos. 

Descargar una copia