Términos y políticas

Vigente: 1 de abril de 2025

ESTA ADENDA DE PROCESAMIENTO DE DATOS SE APLICA SI SE HA INSCRITO PARA LOS SERVICIOS NITRO COMO CLIENTE EMPRESARIAL BAJO LOS TÉRMINOS DE SERVICIO DE NITRO Y SI EL GDPR DEL REINO UNIDO SE APLICA AL PROCESAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DEL ACUERDO. EN CASO DE QUE SE INSCRIBA COMO INDIVIDUO, VISITE LA POLÍTICA DE PRIVACIDAD DE NITRO PARA MÁS INFORMACIÓN SOBRE CÓMO NITRO PROCESA SUS DATOS PERSONALES.

1. ALCANCE; ROLES DE LAS PARTES

Nitro recibirá y procesará Datos Personales en beneficio y por cuenta del Cliente al proporcionar el Servicio, de acuerdo con las instrucciones y el propósito definidos por el Cliente en los Detalles de Procesamiento de Datos. Mediante esta Adenda de Procesamiento de Datos, las partes desean establecer sus acuerdos específicos en relación con el procesamiento de Datos Personales dentro del marco del Acuerdo.

Por defecto, Nitro actuará como Procesador y el Cliente actuará como Controlador en relación con los Servicios proporcionados por Nitro al Cliente conforme a los Términos de Servicio de Nitro. Esta Adenda de Procesamiento de Datos reemplaza y anula todos los acuerdos previos realizados (si los hubiere) en relación con el procesamiento de Datos Personales y la protección de datos entre las Partes relacionados con los Servicios ofrecidos por Nitro.

Esta Adenda de Procesamiento de Datos complementa y forma parte de los Términos de Servicio, y juntos, los Términos de Servicio y esta Adenda de Procesamiento de Datos constituyen un solo acuerdo legal entre las Partes. En caso de discrepancias o contradicciones entre este Anexo de Procesamiento de Datos y los Términos de Servicio, el Anexo de Procesamiento de Datos prevalecerá.

2. DEFINICIONES

“Anexo” significa cualquier anexo a la presente adenda de procesamiento de datos;

“Controlador” se refiere al Cliente como se identifica en los Términos de Servicio y el Formulario de Pedido aplicable;

“Detalles de Procesamiento de Datos” significa el Anexo 1 de la presente adenda de procesamiento de datos que incluye más detalles sobre las instrucciones del Cliente sobre el procesamiento de Datos Personales, como el propósito, objeto y naturaleza del procesamiento y el tipo de Datos Personales que están siendo procesados;

“GDPR de la UE” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos, y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos);

“Datos Personales” significa datos personales tal como están definidos bajo el GDPR del Reino Unido que Nitro procesa en beneficio y por cuenta del Cliente al proporcionar los Servicios de acuerdo con las instrucciones y el propósito definido por el Cliente en los Detalles de Procesamiento de Datos;

“Procesador” se refiere a Nitro Software Inc., proveedor de los Servicios al Cliente y como se identifica en los Términos de Servicio;

“Lista de Sub-procesadores” se refiere a la lista de Sub-procesadores que Nitro pone a disposición en línea, que incluye los Sub-procesadores contratados por Nitro para la provisión de los Servicios y el cumplimiento de las obligaciones de Nitro bajo el Acuerdo en general. Nitro puede actualizar la Lista de Sub-procesadores de vez en cuando según el proceso establecido en esta Adenda de Procesamiento de Datos;

“Sub-procesador” significa cualquier tercer procesador contratado por Nitro para el procesamiento de Datos Personales relacionados con la provisión de los Servicios al Cliente;

“GDPR del Reino Unido” significa el GDPR de la UE tal como fue trasladado a la legislación interna del Reino Unido en virtud de la sección 3 de la Ley de Retirada de la Unión Europea de 2018 y conforme a las enmiendas realizadas por los Reglamentos de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 (enmendado);

“Datos Personales del Reino Unido” significa Datos Personales a los que se aplica el GDPR del Reino Unido;

“Cláusulas Contractuales Tipo del Reino Unido” significa la Adenda Internacional de Transferencia de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE emitida por el Comisionado de Información bajo la Sección 119A(1) de la Ley de Protección de Datos de 2018, en la forma y manera establecidas en el Anexo 2 de esta Adenda de Procesamiento de Datos.

Todos los demás términos y definiciones escritos con mayúsculas que no están definidos expresamente en esta Adenda de Procesamiento de Datos, se definen como se establece en la legislación de protección de datos aplicable o en los Términos de Servicio de Nitro

3. OBJETO DE ESTE ANEXO DE PROCESAMIENTO DE DATOS

3.1 Este Anexo de Procesamiento de Datos determina las condiciones del procesamiento por parte de Nitro de Datos Personales comunicados por el Cliente o por iniciativa de este en el contexto del Acuerdo. La naturaleza y el propósito del procesamiento, una lista y el tipo de Datos Personales así como las categorías de los Sujetos de Datos se enumeran en los Detalles de Procesamiento de Datos (Anexo 1).

3.2 El procesamiento tendrá lugar exclusivamente en beneficio del Cliente y con el propósito definido por el Cliente en los Detalles de Procesamiento de Datos. Nitro informará de inmediato al Cliente si, en su opinión, una instrucción infringe la legislación de protección de datos aplicable. Nitro solo procesará los Datos Personales de acuerdo con las instrucciones documentadas del Cliente y no utilizará estos Datos Personales para su propio propósito, salvo que esté explícitamente permitido en los Términos de Servicio. Si Nitro está legalmente obligado a proceder con cualquier procesamiento de Datos Personales, Nitro informará al Cliente de tal obligación, a menos que esto viole las normas obligatorias aplicables.

4. TÉRMINO

4.1 Este Anexo de Procesamiento de Datos es aplicable a todo el procesamiento de Datos Personales ejecutado en el contexto de la provisión de los Servicios al Cliente por parte de Nitro y se aplica mientras Nitro procese Datos Personales en nombre del Cliente en el contexto del Acuerdo. Esta Adenda de Procesamiento de Datos complementa los Términos de Servicio de Nitro y tiene como objetivo asegurar el cumplimiento por parte de las Partes de los requisitos impuestos por las leyes y regulaciones de protección de datos aplicables para el uso de los Servicios por parte del Cliente.

4.2 Esta Adenda de Procesamiento de Datos finaliza automáticamente tras la terminación del Acuerdo (o en el momento en que se termina el procesamiento por parte de Nitro). Las disposiciones de este Anexo de Procesamiento de Datos que estén expresamente o implícitamente (dada su naturaleza) destinadas a tener efecto después de la terminación del Anexo de Procesamiento de Datos sobrevivirán a la finalización del Acuerdo respecto a los Datos Personales comunicados por o a iniciativa del Cliente en el contexto del Acuerdo.

5. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

5.1 Nitro ofrece garantías adecuadas con respecto a la implementación de medidas técnicas y organizativas apropiadas (“TOMs”) para asegurar el procesamiento seguro de Datos Personales y así garantizar la protección de los derechos del Sujeto de Datos. Las TOMs implementadas por Nitro se establecen en los Detalles del Procesamiento de Datos. Las TOMs pueden ser actualizadas por Nitro de vez en cuando, sin embargo, Nitro asegurará no degradar la seguridad general que ha implementado en el momento de la ejecución del Anexo de Procesamiento de Datos. El Cliente reconoce que las TOMs son adecuadas para el procesamiento de sus Datos Personales en el momento de firmar o aceptar esta Adenda de Procesamiento de Datos. 

5.2 Nitro tomará todas las medidas técnicas y organizativas apropiadas a las que se refiere el artículo 32 del GDPR del Reino Unido para garantizar un nivel adecuado de seguridad apropiado al riesgo.

5.3 Si el Cliente proporciona Datos Personales sensibles, como se menciona en los artículos 9 y 10 del GDPR del Reino Unido, a Nitro en el contexto del Acuerdo, el Cliente notificará a Nitro por escrito a través de privacy@gonitro.com.

5.4 En caso de que el Cliente solicite medidas técnicas y organizativas específicas para implementarse por Nitro (que Nitro no haya implementado por defecto), el Cliente reembolsará a Nitro por la implementación de dichas medidas adicionales conforme a la Sección 14 “Costos” de esta Adenda de Procesamiento de Datos.

5.5 La adhesión de Nitro a un código de conducta aprobado como se menciona en el artículo 40 del GDPR del Reino Unido, o a un mecanismo de certificación aprobado como se menciona en el artículo 42 del GDPR del Reino Unido puede utilizarse como elemento de prueba de garantías suficientes como se menciona en el GDPR del Reino Unido. RETENCIÓN

6.1 Nitro no conservará Datos Personales más tiempo del necesario para el procesamiento de dichos Datos Personales en el contexto del Acuerdo. El Cliente no instruirá a Nitro para almacenar ningún Datos Personales más allá de lo necesario. El período de retención aplicable (definido por el Cliente) se establece en los Detalles de Procesamiento de Datos.

6.2 A elección del Cliente, Nitro deberá eliminar o devolver todos los Datos Personales al Cliente después del final de la provisión de los Servicios y deberá eliminar las copias existentes a menos que la legislación aplicable requiera el almacenamiento de los Datos Personales. El Cliente reconoce que los Servicios pueden incluir funcionalidades de descarga a disposición del Cliente para permitirle descargar sus datos. En la medida en que tales funcionalidades estén disponibles, el Cliente deberá utilizar tales funcionalidades para extraer o eliminar sus datos.

7. CONFIDENCIALIDAD

7.1 Las Partes han acordado una cláusula de confidencialidad en los Términos de Servicio que se aplica al procesamiento de Datos Personales en el contexto del Acuerdo.

7.2 Nitro reconoce y acepta que solo aquellos empleados, contratistas o agentes de Nitro que están involucrados en el procesamiento de Datos Personales pueden ser informados sobre los Datos Personales y solo en la medida razonablemente necesaria para el cumplimiento del Acuerdo. Nitro asegura que las personas autorizadas para procesar los Datos Personales están comprometidas a la confidencialidad por contrato o están bajo una obligación legal de confidencialidad.

8. DERECHOS DEL SUJETO DE DATOS

8.1 Teniendo en cuenta la naturaleza del procesamiento, Nitro realizará todos los esfuerzos razonables, al adoptar medidas técnicas y organizativas apropiadas, para ayudar al Cliente en el cumplimiento de su obligación de responder a las solicitudes de los Sujetos de Datos.

8.2 Por toda la asistencia realizada por Nitro en el contexto del tratamiento de tales solicitudes de los Sujetos de Datos, el Cliente reembolsará a Nitro de acuerdo con la Sección 14 “Costos” de esta Adenda de Procesamiento de Datos. Tal reembolso por parte del Cliente no se aplicará (i) en caso de que el Sujeto de Datos esté invocando sus derechos debido a una violación de Datos Personales atribuible a Nitro o (ii) en caso de que tal asistencia por parte de Nitro no exceda de cuatro (4) horas de trabajo durante el plazo del Acuerdo.

9. OBLIGACIÓN DE NOTIFICAR

9.1 Al tener conocimiento de una Violación de Datos Personales, Nitro notificará al Cliente sin demora indebida contactando a la persona de contacto indicada en el Acuerdo o en el Formulario de Pedido correspondiente (o alternativamente a través de la Dirección de Correo Electrónico de Notificación del Cliente o (si corresponde) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal de administración como contacto de privacidad). La persona de contacto de Nitro para cualquier asunto relacionado con la protección de datos puede ser contactada por correo electrónico: privacy@gonitro.com.

9.2 A solicitud del Cliente, Nitro informará al Cliente sobre cualquier nuevo desarrollo respecto a cualquier Violación de Datos Personales y de las medidas tomadas para limitar sus consecuencias y prevenir la repetición de tal Violación de Datos Personales. Es responsabilidad del Cliente informar sobre cualquier violación de Datos Personales a la Autoridad Supervisora o a los Sujetos de Datos, según sea necesario.

10. SUB-PROCESAMIENTO

10.1 El Cliente autoriza expresamente a Nitro a contratar Sub-procesadores para el procesamiento de Datos Personales para el cumplimiento del Acuerdo y para facilitar la provisión de los Servicios en general. Hasta este extremo, el Cliente otorga una autorización escrita general a Nitro para decidir con qué Sub-procesadores Nitro colabora para el cumplimiento de sus obligaciones bajo el Acuerdo. Nitro publica una Lista de Subprocesadores que se refiere a los Subprocesadores comprometidos por Nitro.

10.2 Nitro informará al Cliente sobre cualquier cambio previsto respecto a la adición o reemplazo de Subprocesadores contactando a la persona de contacto indicada en el Acuerdo o el Pedido correspondiente (o a través de la Dirección de Correo Electrónico de Notificación del Cliente o (si aplica) cualquier otra dirección de correo electrónico que el Cliente haya compartido en el portal administrativo como contacto de privacidad). El Cliente tendrá derecho a objetar a la adición o sustitución dirigiéndose a Nitro por escrito. Las Partes discutirán en tal caso la adición, reemplazo o alternativa de buena fe y tan pronto como sea razonablemente posible después de la notificación por escrito de objeción por parte del Cliente.

10.3 Donde Nitro contrate un Sub-procesador para llevar a cabo actividades de procesamiento específicas, las mismas o similares obligaciones de protección de datos establecidas en esta Adenda de Procesamiento de Datos serán impuestas a ese Sub-procesador mediante un acuerdo escrito, que particularmente proporcionará garantías suficientes para implementar medidas técnicas y organizativas apropiadas (y cumpliendo con las medidas técnicas y organizativas relevantes). Donde un Sub-procesador no cumpla con sus obligaciones de protección de datos, Nitro seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de tales obligaciones del Sub-procesador.

11. TRANSFERENCIAS INTERNACIONALES DE DATOS

11.1 El Cliente reconoce que Nitro está establecido en los Estados Unidos de América, y por lo tanto autoriza las transferencias internacionales de datos personales con fines de provisión de los Servicios. Tal transferencia internacional de datos se considera una instrucción del Cliente.

11.2 Si, en algún momento durante la vigencia de este Anexo de Procesamiento de Datos, (i) Nitro está certificado bajo la Extensión del Reino Unido a los SCC de la UE-EE. UU. Marco de Privacidad de Datos (también conocido como el ‘puente de datos’ Reino Unido-EE. UU.) (“Marco”); y (ii) que dicho Marco constituye una decisión de adecuación válida a los efectos del artículo 45 del RGPD del Reino Unido, las Partes reconocen que no se requieren salvaguardias apropiadas con respecto a las transferencias entre el Cliente y Nitro.

11.3 Cuando las condiciones establecidas en la Sección 11.2 no se apliquen, las Partes celebran las Cláusulas Contractuales Estándar del Reino Unido en la forma y manera establecidas en el Anexo 2 de este Anexo de Procesamiento de Datos, siendo dichas Cláusulas Contractuales Estándar del Reino Unido incorporadas y formando parte de este Anexo de Procesamiento de Datos.

11.4 El Cliente reconoce que los Subprocesadores autorizados bajo la cláusula 10 también pueden procesar Datos Personales en países terceros. El Cliente permite tales transferencias, siempre que Nitro tome todas las medidas necesarias para garantizar que dichas transferencias cumplan con las disposiciones del Capítulo V del GDPR del Reino Unido y otras leyes de protección de datos aplicables.

11.5 En caso de que la transferencia de Datos Personales a un tercer país o a una organización internacional sea obligatoria según la legislación aplicable a la que Nitro esté sujeto, Nitro podrá realizar dicha transferencia y deberá informar al Cliente de dicho requisito legal antes de dicho Procesamiento, a menos que esa ley prohíba tal información por motivos de interés público importantes.

12. EVALUACIÓN DEL IMPACTO EN LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA

12.1 Si el Cliente realiza una Evaluación de Impacto en la Protección de Datos (“DPIA”) (artículo 35 del GDPR del Reino Unido) o una consulta previa (artículo 36 del GDPR del Reino Unido) vinculada al procesamiento de Datos Personales en el contexto del cumplimiento del Acuerdo, Nitro deberá ayudar razonablemente al Cliente proporcionando asistencia a solicitud escrita del Cliente. El Cliente reembolsará a Nitro por la asistencia proporcionada de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Tal reembolso de costos no se aplicará en caso de (i) que la asistencia solicitada a Nitro sea inferior a cuatro (4) horas laborales durante la vigencia del Acuerdo, o (ii) que la DPIA o consulta previa sea desencadenada por una violación de Datos Personales atribuible a Nitro.

13. DERECHO DE AUDITORÍA

13.1 El Cliente tiene el derecho de realizar auditorías sobre el cumplimiento por parte de Nitro con sus obligaciones bajo este Anexo de Procesamiento de Datos y la legislación aplicable de protección de datos. Nitro hará esfuerzos razonables para cooperar con tales auditorías y hacer disponible toda la información necesaria para probar su cumplimiento con su obligación. El Cliente deberá notificar a Nitro de dicha auditoría con al menos un (1) mes de antelación a la fecha en la que se realizará la auditoría, mediante aviso por escrito a Nitro a través de privacy@gonitro.com.

13.2 En caso de que se realice una auditoría, todas las partes involucradas deberán firmar primero un acuerdo específico de no divulgación emitido por Nitro con respecto a dicha auditoría y los resultados de la auditoría antes del inicio de la misma. Al realizar cualquiera de dichas auditorías, las obligaciones de confidencialidad de las Partes con respecto a terceros deben tenerse en cuenta. Tanto las Partes como sus auditores deben mantener la información recopilada en relación con una auditoría en secreto y utilizarla exclusivamente para verificar su cumplimiento con este Adenda de Procesamiento de Datos y las leyes y regulaciones aplicables en materia de protección de datos. El Cliente tiene la opción de realizar la auditoría por sí mismo o asignar a un auditor independiente, sin embargo dicho auditor independiente deberá firmar debidamente el acuerdo de no divulgación mencionado en esta Sección.

13.3 Todas las Partes y, cuando corresponda, sus representantes, deberán cooperar razonablemente, a solicitud, con la Autoridad Supervisora en el desempeño de sus tareas.

13.4 El Cliente reembolsará a Nitro por la asistencia proporcionada por Nitro en relación con las auditorías de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Quedando entendido que tal reembolso no se aplicará en caso de (i) que la auditoría sea resultado de una violación de Datos Personales atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no exceda de cuatro (4) horas laborales durante la vigencia del Acuerdo.

14. COSTOS

14.1 La asistencia que se realizará bajo este Anexo de Procesamiento de Datos por la cual Nitro puede cobrar al Cliente, se cobrará sobre la base de las horas trabajadas y las tarifas estándar aplicables por hora de Nitro (USD 295/hora, impuestos excluidos). Nitro facturará estos montos mensualmente, pero también tiene derecho a solicitar una tarifa de retención anticipada.

14.2 El pago por parte del Cliente a Nitro por la asistencia y los servicios profesionales prestados por Nitro bajo este Anexo de Procesamiento de Datos se realizará de conformidad con las disposiciones de los Términos de Servicio.

15. RESPONSABILIDAD

15.1 Con sujeción a la máxima extensión permitida según la legislación aplicable, las disposiciones de los Términos de Servicio sobre limitación de responsabilidad también se aplican a este Anexo de Procesamiento de Datos y los daños que surjan de él.

16. DIVERSOS

16.1 Las disposiciones de los Términos de Servicio sobre cambios, acuerdo completo, divisibilidad, ley aplicable y tribunales competentes son aplicables a este Anexo de Procesamiento de Datos. En caso de discrepancias o contradicciones entre este Anexo de Procesamiento de Datos y las Cláusulas Contractuales Tipo del Reino Unido, si corresponde, las Cláusulas Contractuales Tipo del Reino Unido prevalecerán.

ANEXO 1 – DETALLES DEL PROCESAMIENTO DE DATOS

A. LISTA DE PARTES

1. Exportador(es) de datos:

Nombre: Cliente, tal como se identifica en el Acuerdo y el Formulario de Pedido correspondiente.

Dirección: La dirección del exportador de datos se establece en el Acuerdo y el Formulario de Pedido correspondiente.

Nombre, puesto y datos de contacto de la persona de contacto: Los datos de contacto de la persona de contacto para el exportador de datos se establecen. en el Acuerdo, el Formulario de Pedido correspondiente (y si corresponde, el portal de administración del Cliente).

Actividades relevantes para los datos transferidos: Las actividades relevantes para los datos transferidos bajo estas Cláusulas Contratuales Tipo del Reino Unido se describen a continuación en la Sección B “Descripción del procesamiento/transferencia”.

Firma y fecha: Al firmar o aceptar el Formulario de Pedido correspondiente, se considerará que el exportador de datos ha firmado este Anexo I.

Rol (controlador/procesador): Controlador

2. Importador(es) de Datos:

Nombre: Nitro Software Inc.

Dirección: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.

Nombre, puesto y datos de contacto de la persona de contacto: privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Estados Unidos.

Actividades relevantes para los datos transferidos: Las actividades que son relevantes para los datos transferidos bajo estas Cláusulas Contractuales Estándar del Reino Unido se describen a continuación en la Sección B “Descripción del procesamiento/transferencia”.

Firma y fecha: Al firmar o aceptar el Formulario de Pedido correspondiente, se considerará que el importador de datos ha firmado este Anexo I.

Rol (controlador/procesador): Procesador

B. DESCRIPCIÓN DEL PROCESAMIENTO/TRANSFERENCIA

1. ASUNTO DEL PROCESO DE LOS DATOS PERSONALES

El asunto está determinado por el Cliente como se establece en el Acuerdo y el Formulario de Pedido correspondiente.

2. LA NATURALEZA Y EL PROPÓSITO DEL PROCESAMIENTO DE DATOS PERSONALES

La naturaleza y el propósito del procesamiento son determinados por el Cliente como se establece en el Acuerdo y el Formulario de Pedido correspondiente.

Por defecto, dicho procesamiento tendrá como finalidad poner a disposición los Servicios, incluyendo todas sus características y funcionalidades para el Cliente y sus Usuarios y más en general permitir que Nitro cumpla con sus obligaciones contractuales bajo el Acuerdo. Dicha finalidad puede ser la de poner a disposición los Servicios en la Nube (por ejemplo, pero sin limitarse a, poner a disposición el portal en la nube del cliente, servicios de firma electrónica, servicios de analítica, etc.) así como la provisión de Soporte.

La naturaleza del procesamiento incluirá, entre otras instrucciones dadas por el Cliente en el Acuerdo y el Formulario de Pedido correspondiente, el procesamiento, la recopilación, el almacenamiento, la comunicación y la transferencia de Datos Personales.

3. DATOS PERSONALES PROCESADOS

Dependiendo de las funcionalidades utilizadas dentro de los Servicios (por ejemplo, portal de administración, servicios de firma electrónica, servicios de analítica, etc.) y el contenido de los Datos del Cliente subidos por el Cliente y sus Usuarios en los Servicios, Nitro procesa diferentes tipos de Datos Personales.

En general, los Datos Personales procesados por Nitro incluyen sin limitación:

• Detalles de identificación (por ejemplo, detalles de Usuario y de uso)
• Datos del documento (por ejemplo, Datos Personales incluidos en documentos PDF procesados)

Una vista detallada del tipo de Datos Personales que se procesan al utilizar los Servicios está disponible a través del Centro de Confianza de Nitro: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. DATOS SENSIBLES

El exportador de datos puede incluir Datos Personales sensibles en el contexto de acuerdo con la Sección 5.3 de este Anexo de Procesamiento de Datos. Los datos sensibles transferidos (si corresponde) y las restricciones o medidas de seguridad aplicadas que tengan en cuenta plenamente la naturaleza de los datos y los riesgos involucrados, tales como, por ejemplo, la estricta limitación de propósito, restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), mantener un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales: se hace referencia a los TOMs enumerados o mencionados en los Detalles de Procesamiento de Datos a continuación.

5. CATEGORÍA DE SUJETOS DE DATOS

Las siguientes categorías de Sujetos de Datos están por defecto en el alcance:

• Todos los Usuarios que tengan acceso a los Servicios (lo que incluye usuarios administradores, usuarios generales o usuarios invitados como firmantes).
• Todos los Sujetos de Datos incluidos en los Datos del Cliente subidos a los Servicios por el Cliente o sus Usuarios.

El Cliente confirma que esos Sujetos de Datos serán considerados por defecto como una de las siguientes categorías:

• Personal del Cliente
• Clientes del Cliente
• Perspectivas del Cliente
• Proveedores del Cliente

6. SUBPROCESADORES

Nitro contrata Subprocesadores para garantizar que todas las funcionalidades estén disponibles dentro de los Servicios. Qué Sub-procesadores son aplicables depende del uso de los Servicios y las funcionalidades y configuraciones solicitadas por el Cliente. Una lista detallada de los Subprocesadores contratados por Nitro (incluida la procedimiento que aplicamos al contratar nuevos Subprocesadores) está disponible a través de nuestro Centro de Confianza: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

7. MEDIDAS TÉCNICAS Y ORGANIZATIVAS (TOMs)

Nitro implementa medidas técnicas y organizativas apropiadas para asegurar una seguridad adecuada al usar los Servicios. Estamos actualizando continuamente tales medidas. Una descripción detallada de las medidas adoptadas está disponible a través de nuestro Centro de Confianza en nuestra sección de Seguridad: https://www.gonitro.com/security-compliance/security y en nuestra Política de Seguridad de la Información. Nuestro Centro de Confianza también enumera las certificaciones que Nitro posee en la sección de Cumplimiento: https://www.gonitro.com/security-compliance/compliance.

8. PERÍODO DE RETENCIÓN

Nitro no almacenará Datos Personales más tiempo del necesario para la provisión de los Servicios. Dependiendo de los Servicios y de las funcionalidades que usted esté utilizando como Cliente, el/los período(s) de retención aplicables pueden diferir. Cada Cliente puede solicitar a Nitro que configure períodos de Retención específicos en su entorno (en la medida que esto sea técnicamente viable).

En caso de que no se configuren períodos de Retención específicos, los Datos Personales se almacenarán por defecto por Nitro hasta su eliminación por el Cliente o hasta la terminación del Acuerdo entre Nitro y el Cliente (más un máximo de 30 días), siendo la que ocurra primero de ambas situaciones. Una visión detallada de los períodos de retención está disponible a través de nuestro Centro de Confianza: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

9. FRECUENCIA DE TRANSFERENCIAS INTERNACIONALES

De manera continua, según sea necesario para proporcionar los Servicios al Cliente.

ANEXO 2 – CLÁUSULAS CONTRACTUALES TIPO DEL REINO UNIDO

Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo Estándar de la Comisión Europea

VERSIÓN B1.0, en vigor desde el 21 de marzo de 2022

Este Anexo ha sido emitido por el Comisionado de Información para las Partes que realicen Transferencias Restringidas. El Comisionado de Información considera que proporciona Salvaguardas Apropiadas para Transferencias Restringidas cuando se celebra como un contrato legalmente vinculante.

Parte 1: Tablas

Tabla 1: Partes

Tabla 2: SCCs seleccionados, Módulos y Cláusulas seleccionadas

Tabla 3: Información del Apéndice

“Información del Apéndice” significa la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de los SCCs aprobados de la UE (aparte de las Partes), y que para este Anexo se establece en:

Tabla 4: Finalización de este Anexo cuando cambian los Anexos Aprobados

Parte 1: Cláusulas obligatorias

Celebración de este Anexo

1. Cada Parte acepta estar sujeta a los términos y condiciones establecidos en este Anexo, a cambio de que la otra Parte también acepte estar sujeta a este Anexo.
2. Aunque el Anexo 1A y la Cláusula 7 de los SCCs aprobados de la UE requieren la firma de las Partes, con el fin de realizar Transferencias Restringidas, las Partes pueden celebrar este Anexo de cualquier manera que las vincule legalmente y permita a los sujetos de datos hacer valer sus derechos según lo establecido en este Anexo. La celebración de este Anexo tendrá el mismo efecto que la firma de las Cláusulas Contractuales Tipo de la UE aprobadas y cualquier parte de las Cláusulas Contractuales Tipo de la UE aprobadas.

Interpretación de este Anexo

3. Donde este Anexo use términos que están definidos en las Cláusulas Contractuales Tipo de la UE aprobadas, esos términos tendrán el mismo significado que en las Cláusulas Contractuales Tipo de la UE aprobadas. Además, los siguientes términos tienen los siguientes significados:

4. Este Anexo debe ser interpretado siempre de manera que sea consistente con las Leyes de Protección de Datos del Reino Unido y de manera que cumpla con la obligación de las Partes de proporcionar las Salvaguardias Apropiadas.
5. Si las disposiciones incluidas en los SCCs Aprobados de la UE modifican los SCCs Aprobados de alguna manera no permitida bajo los SCCs Aprobados de la UE o el Anexo Aprobado, tales enmiendas no serán incorporadas en este Anexo y la disposición equivalente de los SCCs Aprobados tomará su lugar.
6. Si hay alguna inconsistencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y este Anexo, se aplican las Leyes de Protección de Datos del Reino Unido.
7. Si el significado de este Anexo no está claro o hay más de un significado, el significado que más se alinea con las Leyes de Protección de Datos del Reino Unido se aplica.
8. Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) significa esa legislación (o disposición específica) a medida que puede cambiar con el tiempo. Esto incluye cuando esa legislación (o disposición específica) ha sido consolidada, re-promulgada y/o reemplazada después de que este Anexo ha sido celebrado.

Jerarquía

9. Aunque la Cláusula 5 de las Cláusulas Contractuales Tipo de la UE Aprobadas establece que las Cláusulas Contractuales Tipo de la UE Aprobadas prevalecen sobre todos los acuerdos relacionados entre las Partes, las Partes acuerdan que, para Transferencias Restringidas, la jerarquía en la Sección 10 prevalecerá.
10. Donde haya alguna inconsistencia o conflicto entre el Anexo Aprobado y las Cláusulas Contractuales Tipo de la UE Aprobadas (según corresponda), el Anexo Aprobado anula las Cláusulas Contractuales Tipo de la UE Aprobadas, excepto donde (y en la medida en que) los términos inconsistentes o en conflicto de las Cláusulas Contractuales Tipo de la UE Aprobadas proporcionen una mayor protección para los titulares de datos, en cuyo caso esos términos anularán el Anexo Aprobado.
11. Donde este Anexo incorpora Cláusulas Contractuales Tipo de la UE que se han celebrado para proteger las transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679, las Partes reconocen que nada en este Anexo afecta a esas Cláusulas Contractuales Tipo de la UE.

Incorporación de y cambios a las Cláusulas Contractuales Tipo de la UE

12. Este Anexo incorpora las Cláusulas Contractuales Tipo de la UE que se modifican en la medida necesaria, para que:
    1. juntas operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al procesamiento del exportador de datos al realizar esa transferencia, y proporcionan Salvaguardias Apropiadas para esas transferencias;
    2. las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) de las Cláusulas Contractuales Tipo de la UE; y
    3. este Anexo (incluyendo las Cláusulas Contractuales Tipo de la UE incorporadas a él) está (1) regido por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja de él se resuelve mediante los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.
13. A menos que las Partes hayan acordado enmiendas alternativas que cumplan con los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.
14. No se pueden hacer enmiendas a las Cláusulas Contractuales Tipo de la UE Aprobadas excepto para cumplir con los requisitos de la Sección 12.
15. Se realizan las siguientes enmiendas a las Cláusulas Contractuales Tipo de la UE Aprobadas (para el propósito de la Sección 12):
    1. Las referencias a las “Cláusulas” significan este Anexo, incorporando las Cláusulas Contractuales Tipo de la UE;
    2. En la Cláusula 2, eliminar las palabras:
       “y, con respecto a las transferencias de datos de controladores a procesadores y/o procesadores a procesadores, cláusulas contractuales estándar conforme al Artículo 28(7) del Reglamento (UE) 2016/679”;
    3. La Cláusula 6 (Descripción de la(s) transferencia(s)) es reemplazada por:
       “Los detalles de la(s) transferencia(s) y en particular las categorías de datos personales que se transfieren y el(los) propósito(s) por los cuales se transfieren son los especificados en el Anexo I.B donde se aplican las Leyes de Protección de Datos del Reino Unido al procesamiento del exportador de datos al realizar esa transferencia.”;
    4. La Cláusula 8.7(i) del Módulo 1 es reemplazada por:
       “se hace a un país que se beneficia de regulaciones de adecuación conforme a la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior”;
    5. La Cláusula 8.8(i) de los Módulos 2 y 3 es reemplazada por:
       “la transferencia posterior es a un país que se beneficia de regulaciones de adecuación conforme a la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior;”
    6. Las referencias a “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (Reglamento General de Protección de Datos)” y “ese Reglamento” son reemplazadas por “Leyes de Protección de Datos del Reino Unido”. Las referencias a artículos específicos de “Reglamento (UE) 2016/679” son reemplazadas por el artículo o la sección equivalente de las Leyes de Protección de Datos del Reino Unido;
    7. Las referencias al Reglamento (UE) 2018/1725 se eliminan;
    8. Las referencias a la “Unión Europea”, “Unión”, “UE”, “Estado miembro de la UE”, “Estado miembro” y “UE o Estado miembro” son reemplazadas con el “Reino Unido”;
    9. La referencia a “Cláusula 12(c)(i)” en la Cláusula 10(b)(i) del Módulo uno, es reemplazada por “Cláusula 11(c)(i)”;
    10. La Cláusula 13(a) y la Parte C del Anexo I no se utilizan;
    11. La “autoridad de supervisión competente” y “autoridad de supervisión” son reemplazadas por el “Comisionado de la Información”;
    12. En la Cláusula 16(e), la subsección (i) es reemplazada por:
        “el Secretario de Estado establece regulaciones conforme a la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;”;
    13. La Cláusula 17 es reemplazada por:
        “Estas Cláusulas están regidas por las leyes de Inglaterra y Gales.”;
    14. La Cláusula 18 es reemplazada por:
        “Cualquier disputa que surja de estas Cláusulas se resolverá mediante los tribunales de Inglaterra y Gales. Un interesado también puede iniciar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país en el Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.”; y
    15. Las notas al pie de las Cláusulas Contractuales Tipo de la UE Aprobadas no forman parte del Anexo, excepto las notas 8, 9, 10 y 11.

Enmiendas a este Anexo

16. Las Partes pueden acordar cambiar las Cláusulas 17 y/o 18 de las Cláusulas Contractuales Tipo de la UE Aprobadas para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.
17. Si las Partes desean cambiar el formato de la información incluida en Parte 1: Tablas del Anexo Aprobado, pueden hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Salvaguardias Apropiadas.
18. De vez en cuando, el ICO puede emitir un Anexo Aprobado revisado que:
    1. realiza cambios razonables y proporcionales al Anexo Aprobado, incluyendo la corrección de errores en el Anexo Aprobado; y/o
    2. refleja cambios en las Leyes de Protección de Datos del Reino Unido;
       El Anexo Aprobado revisado especificará la fecha de inicio desde la cual son efectivas las modificaciones al Anexo Aprobado y si las Partes deben revisar este Anexo incluyendo la Información del Anexo. Este Anexo se modifica automáticamente según lo establecido en el Anexo Aprobado revisado desde la fecha de inicio especificada.
19. Si la ICO emite un Anexo Aprobado revisado bajo la Sección 18, si alguna Parte seleccionada en la Tabla 4 “Finalizando el Anexo cuando se producen cambios en el Anexo Aprobado”, como resultado directo de los cambios en el Anexo Aprobado, tiene un aumento sustancial, desproporcionado y demostrable en: sus
    1. costos directos de cumplimiento de sus obligaciones bajo el Anexo; y/o
    2. su riesgo bajo el Anexo,
       
       y en cualquiera de los casos ha tomado primero medidas razonables para reducir esos costos o riesgos para que no sean sustanciales y desproporcionados, entonces esa Parte puede finalizar este Anexo al final de un período de notificación razonable, proporcionando un aviso por escrito para ese período a la otra Parte antes de la fecha de inicio del Anexo Aprobado revisado.
       
       
20. Las Partes no necesitan el consentimiento de ningún tercero para hacer cambios a este Anexo, pero cualquier cambio debe hacerse de acuerdo con sus términos.