Información legal

Anexo de tratamiento de datos para Acuerdo de servicio de usuario final

Última actualización: 24 de noviembre de 2023

Este Anexo de tratamiento de datos (en adelante, el “DPA”) se incorpora y forma parte de los términos y condiciones del Acuerdo de servicio de usuario final (en adelante, el “EUSA”) entre Avetta y el Proveedor, y establece los términos, requisitos y condiciones adicionales mediante los cuales Avetta obtendrá, manejará, tratará, divulgará, transferirá o almacenará los datos personales al prestar servicios en virtud del EUSA. A todos los términos con mayúsculas que no estén definidos en este DPA se les atribuirá el significado proporcionado en el EUSA.

1. Definiciones e interpretaciones.

1.1 Definiciones.

“Legislación de protección de datos aplicable” significa las leyes y reglamentos aplicables al tratamiento de datos personales efectuado por cada parte en relación con el EUSA, incluidos, en los casos correspondientes, (i) el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo (“RGPD”), según sea enmendado y complementado, según sea el caso, por las leyes y reglamentos de los Estados miembros de la UE en los que el Proveedor opera, directa o indirectamente, (ii) la Ley de Protección de Datos del Reino Unido de 2018 y el Reglamento General de Protección de Datos del Reino Unido (“RGPD del Reino Unido”), (iii) la Ley de Privacidad de Australia de 1988 y los Principios de Privacidad Nacional, (iv) la Ley de Privacidad del Consumidor de California de 2018, enmendada por la Ley de Derechos de Privacidad de California de 2020, y cualquier regulación o guía relacionada (colectivamente, la “CCPA”), (v) la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (la “PIPEDA”), y (vi) cualquier otra ley, regla, reglamento, directiva y requisito gubernamental de protección de privacidad o protección de datos, internacional, federal, estatal, provincial y local, que esté vigente actualmente y cuando entre en vigor.

“Interesado” significa cualquier persona a la que se refieren y a la cual identifican los datos personales, ya sea de forma directa o indirecta.

“Marco de privacidad de datos” incluye el marco de privacidad de datos UE-EE. UU., la Extensión del Reino Unido al marco de privacidad de datos UE-EE. UU., y el marco de privacidad de datos Suiza-EE. UU., desarrollados respectivamente para fomentar el comercio transatlántico por el Departamento de Comercio de EE. UU. y la Comisión Europea, el Gobierno del Reino Unido, y la Administración Federal Suiza para proporcionar a las organizaciones estadounidenses mecanismos fiables para la transferencia de datos personales desde el EEE, el Reino Unido (incluido Gibraltar), y Suiza, asegurando una protección de datos coherente con la legislación de la UE, el Reino Unido y Suiza.

“EEE” hace referencia al Espacio Económico Europeo, compuesto por todos los Estados miembros de la Unión Europea e Islandia, Noruega y Liechtenstein.

“Cláusulas contractuales tipo de la UE” se refiere a las cláusulas contractuales tipo de la Comisión Europea para la transferencia de datos personales desde la Unión Europea a terceros países, estipuladas en el Anexo de la Decisión de la Comisión (UE) 2021/914, cuya copia está disponible en https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

“Datos personales” significa cualquier información que Avetta procese que (i) identifica o se relaciona con una persona en particular que puede ser identificada, directa o indirectamente, a partir de esos datos por sí solos o en combinación con otra información en posesión o control de Avetta, o (ii) que la legislación de protección de datos aplicable define de otro modo como datos personales protegidos o información personal.

“Tratamiento y tratar” significa cualquier actividad que implique el uso de datos personales o según la legislación de protección de datos aplicable pueda definir los términos “tratamiento”, “tratar”. Incluye la obtención, el registro o la tenencia de datos, o cualquier operación o conjunto de operaciones realizadas sobre los datos, como la organización, modificación, recuperación, uso, divulgación, eliminación o destrucción. El tratamiento también incluye la transferencia de datos personales a terceros.

“Brecha de seguridad” significa cualquier violación de seguridad que ocasione la destrucción, la pérdida, la alteración, la divulgación no autorizada o el acceso accidental o ilegal a los datos personales.

“Solicitud de derechos del interesado” significa el ejercicio de los derechos del interesado en virtud de la legislación de protección de datos aplicable.

“Anexo del Reino Unido” significa el Anexo de Transferencia Internacional de Datos por parte de la Oficina del Comisionado de Información del Reino Unido a las cláusulas contractuales tipo de la Comisión Europea, cuya copia está disponible en el siguiente enlace: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

1.2 Los apéndices forman parte del presente DPA y tendrán efecto como si formasen parte integral del cuerpo de este DPA. Cualquier referencia a este DPA incluye los apéndices.

1.3 Una referencia a comunicación escrita incluye correo electrónico.

1.4 En caso de conflicto o ambigüedad entre alguna de las disposiciones de este DPA y las disposiciones del EUSA, prevalecerán las disposiciones del presente DPA, y en caso de existir una discrepancia entre el presente DPA y alguna disposición incluida en el Apéndice A, prevalecerán las disposiciones aplicables del Apéndice A.

2. Roles y alcance del tratamiento.

2.1 Roles de las partes. El Proveedor y Avetta reconocen y aceptan lo siguiente:

(a) Avetta actúa como encargado del tratamiento en la medida en la que el tratamiento de los datos personales se lleve a cabo en nombre y bajo la dirección del Proveedor, como en el caso del tratamiento de los datos personales del Proveedor (incluidos los datos personales de su personal y trabajadores) contenidos en los formularios de precalificación, el conjunto de datos de la OSHA u otro conjunto de datos recopilados durante una auditoría y

(b) Avetta actúa como responsable del tratamiento en la medida en la que el tratamiento de los datos personales se efectúe para fines propios de Avetta en relación con la prestación de los servicios de Avetta o por intereses comerciales legítimos de Avetta, como facturación, gestión de cuentas, soporte técnico, desarrollo de productos, usos de análisis, ventas y marketing (por ejemplo, envío de boletines a los usuarios administradores del Proveedor).

2.2 Tratamiento de datos personales del Proveedor. El Proveedor reconoce y acepta que:

(a) el Proveedor es exclusivamente responsable de la exactitud, la calidad y la legalidad de los datos personales enviados a Avetta y/o al sitio web de Avetta (ya sea por el Proveedor o por sus interesados);

(b) el Proveedor solo cargará o enviará datos personales a Avetta y/o al sitio web de Avetta que se hayan obtenido de los respectivos interesados de conformidad con la legislación de protección de datos aplicable;

(c) el Proveedor se asegurará de tener todos los consentimientos y avisos necesarios y de haber cumplido con todos los demás requisitos dispuestos por la legislación de protección de datos aplicable para permitir la transferencia legal de datos personales (incluidos los datos confidenciales) a Avetta y permitir el tratamiento de datos personales por parte de Avetta en varias jurisdicciones de acuerdo con el EUSA y el presente DPA;

(d) en los casos en los que el consentimiento sea la base legal para el tratamiento de datos personales o se requiera de otro modo para el uso de los servicios de Avetta, el Proveedor deberá, en todo momento, poner a disposición y mantener (i) un mecanismo para obtener dicho consentimiento de los interesados, y (ii) un mecanismo para que los interesados retiren dicho consentimiento, en cada caso de conformidad con la legislación de protección de datos aplicable y

(e) el uso de los servicios de Avetta por parte del Proveedor no infringirá los derechos de ningún interesado.

2.3 Detalles del tratamiento de datos. El Apéndice B describe las categorías generales de datos personales, los tipos de interesados y otros detalles del tratamiento que Avetta llevará a cabo en relación con la prestación de los servicios de Avetta de conformidad con el EUSA.

3. Obligaciones de Avetta.

3.1 Avetta solo tratará los datos personales para los fines específicos de la transferencia establecidos en el Apéndice B. Avetta podrá tratar los datos personales para otro fin (i) en los casos en los que haya obtenido el consentimiento previo del interesado, (ii) en los casos en los que sea necesario para el planteamiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, regulatorios o judiciales específicos, o (iii) en los casos en los que sea necesario para proteger los intereses vitales del interesado o de otra persona física. En la medida en la que Avetta actúe como encargado del tratamiento del Proveedor, Avetta tratará los datos personales conforme a las instrucciones del Proveedor. Las partes acuerdan que las instrucciones del Proveedor estarán dentro del alcance del EUSA. Cualquier instrucción adicional requerida necesitará el consentimiento previo y por escrito de Avetta. Avetta notificará al Proveedor de inmediato si, a criterio de Avetta, dicha instrucción infringe cualquier legislación de protección de datos aplicable. Si corresponde, el Proveedor será responsable de cualquier comunicación, notificación, asistencia o autorización que pueda ser solicitada en relación con sus interesados.

3.2 Avetta, considerando la naturaleza del tratamiento de Avetta y la información disponible para Avetta, asistirá razonablemente al Proveedor para que cumpla con sus obligaciones bajo la legislación de protección de datos aplicable, siempre y cuando el Proveedor asuma todos los costos incurridos por Avetta en relación con dicha asistencia. Estas obligaciones de cumplimiento pueden incluir la realización de una evaluación de impacto relativa al tratamiento en la protección de datos personales (una “evaluación de impacto en la protección de datos”), en los casos en los que sea probable que un tipo de tratamiento implique un alto riesgo para los derechos y libertades de las personas físicas.

4. Empleados de Avetta.

4.1 Avetta se asegurará de que todos los empleados que tengan acceso o participen en el tratamiento de datos personales (i) hayan recibido capacitación sobre la legislación de protección de datos aplicable en relación con el manejo de datos personales y cómo se aplica a sus funciones particulares y sean conscientes tanto de las obligaciones de Avetta como de sus propias obligaciones personales bajo la legislación de protección de datos aplicable y este DPA, y (ii) estén sujetos a una obligación de confidencialidad adecuada (ya sea contractual o estatutaria).

4.2 Avetta tomará medidas razonables para garantizar la confiabilidad y la integridad de cualquier empleado de Avetta que tenga acceso a datos personales.

5. Seguridad.

5.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de los interesados, Avetta ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas las medidas de seguridad descritas en el Anexo II del Apéndice B. Avetta puede revisar y actualizar el Anexo II de forma periódica, siempre y cuando tales actualizaciones no disminuyan sustancialmente la seguridad general de los servicios de Avetta o los datos personales.

5.2 El Proveedor es responsable de revisar la información proporcionada por Avetta en relación con la seguridad de los datos y de llevar a cabo una determinación independiente sobre si los servicios de Avetta cumplen con los requisitos y obligaciones legales del Proveedor bajo la legislación de protección de datos aplicable.

6. Brecha de seguridad y pérdida de datos personales.

6.1 Avetta notificará al Proveedor lo antes posible en cuanto Avetta tenga conocimiento de haber sufrido alguna brecha de seguridad. La notificación de Avetta se enviará al correo electrónico registrado por el Proveedor en los servicios de Avetta y, en caso de no contar con un correo electrónico en sus registros, el Proveedor reconoce que el medio de notificación será a discreción razonable de Avetta, y que la capacidad de Avetta para notificar puntualmente podría verse afectada. Avetta tomará de inmediato medidas razonables para contener, investigar y hacer frente a cualquier brecha de seguridad. En caso de que el Proveedor sospeche haber sufrido alguna brecha de seguridad, deberá reportarla de inmediato enviando un correo electrónico a infosec@avetta.com.

6.2 En la medida de lo posible, Avetta proporcionará al Proveedor información oportuna sobre la brecha de seguridad, que incluirá, entre otros aspectos, la naturaleza y las consecuencias de la brecha de seguridad, las medidas tomadas y/o propuestas por Avetta para controlar o contener la brecha de seguridad, el estado de la investigación de Avetta, un punto de contacto para obtener información adicional, y las categorías y número aproximado de registros de datos en cuestión. Las comunicaciones de Avetta al Proveedor en relación con una brecha de seguridad no se interpretarán como una admisión de error o de responsabilidad civil por parte de Avetta con respecto a la brecha de seguridad.

7. Transferencias transfronterizas de datos personales; cláusulas contractuales obligatorias.

7.1 El Proveedor reconoce y acepta que Avetta puede transferir, acceder y tratar datos personales en todo el mundo según sea necesario para prestar los servicios de Avetta.

7.2 En los casos en los que la legislación de protección de datos aplicable haya prescrito mecanismos específicos para la transferencia de datos personales a Avetta y/o cláusulas contractuales para el tratamiento de datos personales por Avetta (conjuntamente, “mecanismos de transferencia”), Avetta pondrá tales mecanismos de transferencia específicos a disposición (en la medida en la que sean compatibles con los sistemas de Avetta) en el Apéndice A.

7.3 Si la legislación de protección de datos aplicable prescribe requisitos adicionales para la transferencia y/o cláusulas contractuales para el tratamiento de datos personales, Avetta acuerda cooperar razonablemente con el Proveedor para el cumplimiento de tales requisitos y actualizará los mecanismos de transferencia en el Apéndice A cuando sea apropiado. El Proveedor acepta firmar documentos adicionales y tomar las medidas necesarias para dar efecto legal a cualquier mecanismo de transferencia adicional o modificado.

8. Subencargados.

8.1 El Proveedor acepta que, en la medida en la que Avetta actúe como encargado del tratamiento, Avetta podrá utilizar subencargados incluidos en una lista en Subencargados y afiliados para el tratamiento de datos personales en relación con la prestación de los servicios de Avetta. Al menos 10 días antes de autorizar un nuevo subencargado o reemplazar a un subencargado existente, Avetta notificará al Proveedor mediante la publicación de los nuevos subencargados propuestos en Subencargados y afiliados. Es responsabilidad del Proveedor revisar periódicamente este sitio web para conocer las actualizaciones. Si el Proveedor tiene alguna objeción legítima a la designación de un nuevo subencargado que esté relacionada con el cumplimiento de este DPA por Avetta, esta última hará esfuerzos razonables para atender la objeción del Proveedor. Si no se llega a una solución, Avetta, a su sola discreción, no designará al nuevo subencargado o permitirá que el Proveedor suspenda o termine el EUSA sin responsabilidad para ninguna de las partes. Avetta no estará obligada a reembolsar ninguna suma pagada en virtud del EUSA.

8.2 Además, el Proveedor reconoce y acepta que, en la medida en la que Avetta actúe como responsable del tratamiento, Avetta puede utilizar los proveedores de servicios adicionales descritos o incluidos en la lista en Subencargados y afiliadosrs para los fines allí establecidos.

9. Solicitudes de derechos de los interesados.

9.1 Las partes acuerdan proporcionar la asistencia razonablemente requerida para que la otra parte pueda cumplir con cualquier solicitud de derechos de los interesados dentro de los plazos impuestos por la legislación de protección de datos aplicable.

10. Solicitud de acceso de terceros a los datos.

10.1 Avetta notificará al Proveedor cualquier solicitud de divulgación de datos personales del Proveedor presentada por un organismo gubernamental o de regulación, salvo que esté prohibido por la ley o por una orden judicial vinculante de dicho organismo o agencia.

11. Plazo y extinción.

11.1 Este DPA entrará en vigor en la fecha en la que el EUSA comience a estar vigente o en la fecha de la primera provisión de datos personales a Avetta, lo que ocurra primero, y seguirá plenamente en vigor mientras el EUSA esté vigente.

11.2 Cualquier disposición de este DPA que, de manera expresa o implícita, deba entrar en vigor o seguir vigente después de la terminación del EUSA para proteger los datos personales, permanecerá en pleno vigor y efecto.

12. Devolución y destrucción de datos.

12.1 A solicitud del Proveedor, Avetta proporcionará al Proveedor una copia o acceso a los datos personales del Proveedor en posesión o control de Avetta, en el formato estándar de Avetta, si la solicitud se presenta antes de que Avetta elimine los datos personales.

12.2 Tras la terminación del EUSA, Avetta eliminará o destruirá de forma segura, dentro de un periodo de tiempo razonable, los datos personales del Proveedor relacionados con este DPA en posesión o control de Avetta. Este requisito no se aplicará (i) en la medida en la que la retención de los datos personales sea necesaria para cumplir con requisitos legales, regulatorios, fiscales, contables o de informes o sea necesaria para el planteamiento, ejercicio o defensa de reclamaciones legales, si Avetta cree razonablemente que existe una posibilidad de litigio, y (ii) tampoco se aplicará a los datos personales en sistemas de copia de seguridad hasta que esas copias hayan sido sobrescritas o eliminadas de acuerdo con la política de copias de seguridad de Avetta, en cuyo caso Avetta aislará y protegerá los datos personales de cualquier tratamiento adicional, salvo que la ley aplicable requiera lo contrario, hasta que sea posible su eliminación.

13. Auditoría.

13.1 A solicitud por escrito y sin costo adicional para el Proveedor, Avetta proporcionará al Proveedor, y/o a su representante tercero debidamente calificado (colectivamente, el “Auditor”), acceso a la documentación solicitada razonablemente que evidencie el cumplimiento de Avetta de sus obligaciones bajo este DPA en la forma de las auditorías o certificaciones relevantes enumeradas en el Anexo II del Apéndice B como, por ejemplo, ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 22301:2019 (“Certificaciones ISO”) y SOC 2 Tipo II. Avetta también responderá a cualquier cuestionario de auditoría escrito presentado por el auditor y se reunirá mediante teleconferencia o en persona (corriendo el Proveedor con los gastos) para responder preguntas de seguimiento, siempre y cuando el Proveedor no ejerza este derecho más de una vez al año, excepto cuando sea requerido por instrucción de una autoridad competente en materia de protección de datos. Avetta podrá requerir que el auditor firme un acuerdo de confidencialidad con Avetta por separado antes de cualquier revisión de los informes o auditoría de Avetta, y Avetta podrá oponerse por escrito a dicho auditor si, en opinión razonable de Avetta, el auditor no está debidamente calificado o es un competidor directo de Avetta. Cualquier objeción por parte de Avetta requerirá que el Proveedor designe a otro auditor. Cualquier gasto incurrido por un auditor en relación con cualquier revisión de informes o auditoría será asumido exclusivamente por el auditor.

14. Aspectos generales.

14.1 Las partes acuerdan que este DPA reemplazará y sustituirá cualquier anexo de tratamiento de datos, apéndice, documento legal o cláusulas contractuales tipo que Avetta y el Proveedor hayan firmado previamente en relación con los servicios de Avetta. Avetta podrá actualizar este DPA periódicamente (por ejemplo, en respuesta a cambios en la legislación de protección de datos aplicable, o como resultado de una fusión, adquisición, reorganización corporativa o acontecimiento similar o la incorporación de nuevas funciones, productos o servicios, o cambios importantes en los servicios de Avetta), con la condición de que ninguna de dichas actualizaciones disminuya sustancialmente la privacidad o seguridad de los datos personales. Avetta publicará la versión actualizada en anexo de tratamiento de datos al Acuerdo de suscripción principa, o en un sitio web sucesor designado por Avetta.

14.2 La responsabilidad de Avetta bajo este DPA, incluido bajo las cláusulas contractuales tipo de la UE, está sujeta a las exclusiones y limitaciones de responsabilidad civil contenidas en el EUSA. En ningún caso, Avetta limitará o excluirá su responsabilidad hacia los interesados o las autoridades competentes en materia de protección de datos.

14.3 Salvo en los casos en los que se disponga expresamente en las cláusulas contractuales tipo de la UE o sea requerido por la legislación de protección de datos aplicable, este DPA no confiere derechos a terceros beneficiarios; está destinado en beneficio exclusivo de las partes de este documento y de sus sucesores y cesionarios permitidos respectivamente, y no en beneficio de, ni podrá ser ejecutado por, ninguna otra persona.

14.4 Este DPA y cualquier acción relacionada con el mismo se regirá e interpretará de acuerdo con las leyes especificadas en el EUSA, sin dar efecto a ningún principio de conflicto de leyes. Las partes aceptan la jurisdicción personal y la ubicación de los tribunales especificados en el EUSA.

14.5 Si alguna disposición de este DPA es, por cualquier motivo, considerada inválida o inexigible, las demás disposiciones del DPA seguirán siendo exigibles. Sin limitar la generalidad de lo anterior, el Proveedor acepta que la sección 14.2 (Límite de responsabilidad civil) permanecerá en vigor a pesar de la invalidez de cualquier disposición de este DPA.

APÉNDICE A

MECANISMOS DE TRANSFERENCIA Y CLÁUSULAS CONTRACTUALES REQUERIDAS

Este Apéndice A estipula los mecanismos de transferencia admitidos por Avetta. Los mecanismos de transferencia no se aplicarán ni se incorporarán al presente DPA, si no son aplicables a las transferencias desde el Proveedor hacia Avetta. Si algún mecanismo de transferencia en la lista es o se convierte en aplicable en virtud de la legislación de protección de datos aplicable, se considerará aceptado por las partes con sus firmas (en caso de que se requieran firmas) y se incorporará a este DPA.

1. Marco de privacidad de datos. Para transferencias de datos personales a los Estados Unidos, Avetta certifica su cumplimiento del marco de privacidad de datos UE-EE. UU., la extensión del Reino Unido al marco de privacidad de datos UE-EE. UU. y el marco de privacidad de datos Suiza-EE. UU., administrados por el Departamento de Comercio de los EE. UU. Para obtener más información, consulte el aviso de privacidad de datos de Avetta, disponible en el siguiente enlace: Política del marco de privacidad de datos.

2. Cláusulas contractuales tipo de la UE (SCC de la UE). Cuando el tratamiento implique transferencias de datos personales fuera del EEE (Espacio Económico Europeo) hacia Avetta, y no exista otra base legítima para la transferencia internacional (por ejemplo, si el marco de privacidad de datos aplicable fue invalidado), tales transferencias estarán sujetas a las SCC de la UE, específicamente:

a. En las circunstancias en las que Avetta actúe como responsable del tratamiento, el módulo uno de las SCC de la UE (para transferencias entre responsables del tratamiento), complementado por los términos incluidos a continuación, se aplicará a las transferencias de datos personales entre el Proveedor y Avetta:

i. Se utiliza el lenguaje opcional en la cláusula 7 (cláusula de adhesión).

ii. No se utiliza el lenguaje opcional en la cláusula 11 (a) (reparación).

iii. Para la cláusula 17, se utiliza la primera opción, y la ley de Alemania será la legislación aplicable.

iv. Para la cláusula 18 (b), la jurisdicción seleccionada serán los tribunales de Alemania.

b. En las circunstancias en las que el Proveedor sea el responsable del tratamiento y Avetta actúe como encargado del tratamiento, se aplicará el módulo dos de las SCC de la UE (para transferencias de responsable del tratamiento a encargado), complementado por los términos incluidos a continuación:

i. Se utiliza el lenguaje opcional en la cláusula 7 (cláusula de adhesión).

ii. Para la cláusula 9 (a), se selecciona la opción 2 (autorización general por escrito) y el periodo especificado es de diez (10) días.

iii. No se utiliza el lenguaje opcional en la cláusula 11 (a) (reparación).

iv. Para la cláusula 17, se utiliza la primera opción, y la ley de Alemania será la legislación aplicable.

v. Para la cláusula 18 (b), la jurisdicción seleccionada serán los tribunales de Alemania.

c. Los anexos I, II y III de las SCC de la UE se considerarán completados con la información establecida en el Apéndice B.

3. Anexo del Reino Unido. Cuando el tratamiento implique transferencias de datos personales fuera del Reino Unido hacia Avetta, y no exista otra base legítima para la transferencia internacional (por ejemplo, si el marco de privacidad de datos aplicable fue invalidado), tales transferencias estarán sujetas al Anexo del Reino Unido, complementado por los términos a continuación:

a. Las partes de este Anexo del Reino Unido serán las partes de este DPA.

b. Las SCC de la UE que este Anexo del Reino Unido modifica serán las SCC de la UE aplicables referenciadas en la sección 2 del presente Apéndice A, y las tablas 1-3 del Anexo del Reino Unido se completarán con la información relevante correspondiente.

c. Para los fines de la tabla 4 del Anexo del Reino Unido, se seleccionará “Importador”.

d. La parte 2 del Anexo del Reino Unido será: “Parte 2: Cláusulas obligatorias del Anexo aprobado, siendo el modelo el Anexo B.1.0 emitido por la ICO y presentado al Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se estipula en virtud de la sección 18 de dichas cláusulas obligatorias”.

4. Cláusulas contractuales tipo de Suiza. Cuando el tratamiento implique transferencias de datos personales fuera de Suiza hacia Avetta, y no exista otra base legítima para la transferencia internacional (por ejemplo, si el marco de privacidad de datos aplicable no fue reconocido como válido o dejó de ser un mecanismo de transferencia válido), dichas transferencias estarán sujetas a las SCC de la UE referenciadas en la sección 2 del presente Apéndice A, con las siguientes excepciones:

a. El término “Estado miembro” no deberá interpretarse, de manera que excluya a los interesados en Suiza de la posibilidad de ejercer sus derechos en su lugar de residencia habitual (Suiza), de acuerdo con la cláusula 18 (c) de estas cláusulas contractuales tipo.

b. En las circunstancias en las que las transferencias estén sujetas exclusivamente a la Ley Federal de Protección de Datos (“FADP”), las referencias al RGPD se entenderán como referencias a la FADP.

c. En las circunstancias en las que las transferencias estén sujetas tanto a la FADP como al RGPD, las referencias al RGPD se entenderán como referencias a la FADP, en la medida en la que las transferencias estén sujetas al RGPD.

5. Cláusulas contractuales de la CCPA. En los casos en los que el tratamiento implique datos personales de residentes de California, las partes deberán cumplir a su vez con lo siguiente:

a. Avetta deberá: (i) recolectar, utilizar, retener o divulgar datos personales únicamente para los fines permitidos descritos en el EUSA y la CCPA, y para ningún otro fin comercial; (ii) no vender ningún dato personal ni compartir ningún dato personal para publicidad conductual en contextos cruzados; (iii) no recolectar, utilizar, retener o divulgar datos personales fuera de la relación comercial directa entre Avetta y el Proveedor, excepto cuando sea necesario para prestar los servicios de Avetta; (iv) no combinar datos personales recibidos de o en nombre del Proveedor con datos personales que recopile en nombre de otra persona o personas, excepto para un fin comercial que no implique publicidad conductual en contextos cruzados y esté permitido bajo la CCPA, y (v) proporcionar al menos el mismo nivel de protección de privacidad que exige la CCPA con respecto a los datos personales. Avetta certifica que comprende estas restricciones y cumplirá con ellas.

b. El Proveedor tendrá el derecho (i) de supervisar el cumplimiento de este DPA por parte de Avetta y (ii) tomar medidas razonables y apropiadas para garantizar que Avetta utilice los datos personales en conformidad con la CCPA. Avetta notificará al Proveedor si determina que no puede cumplir con alguna de sus obligaciones de la CCPA y, en tal caso, Avetta colaborará con el Proveedor y tomará medidas razonables y apropiadas para detener y remediar cualquier tratamiento hasta que este cumpla la CCPA y el presente DPA.

APÉNDICE B

DETALLES DEL TRATAMIENTO DE DATOS PERSONALES

El presente Apéndice B forma parte del DPA y describe el tratamiento que Avetta llevará a cabo en relación con la prestación de los servicios de Avetta.

ANEXO I: DESCRIPCIÓN DEL TRATAMIENTO DE DATOS

A. LISTA DE LAS PARTES

Exportador de datos:

Nombre:	Según la información proporcionada por el Proveedor
Dirección:	Según la información proporcionada por el Proveedor
Nombre, cargo y datos de contacto de la persona:	Según la información proporcionada por el Proveedor
Actividades relevantes para los datos transferidos bajo este DPA:	Uso de los servicios de Avetta de conformidad con el Acuerdo de servicio de usuario final.
Firma y fecha:	Este Apéndice B se considerará ejecutado automáticamente cuando el Proveedor firme el Acuerdo de servicio de usuario final.
Rol (responsable del tratamiento/encargado):	Responsable del tratamiento

Importador de datos:

Nombre:	Avetta, LLC
Dirección:	1330 Post Oak Blvd., Suite 600, Houston, TX 77056, Estados Unidos
Nombre, cargo y datos de contacto de la persona:	Responsable de privacidad: privacy@avetta.com
Actividades relevantes para los datos transferidos bajo este DPA:	Tratamiento necesario para la prestación de los servicios de Avetta al Proveedor. Tratamiento necesario para los intereses legítimos de Avetta, según se describe en su política de privacidad (la “Política de privacidad”), disponible en el siguiente enlace: https://www.avetta.com/privacy-policy.
Firma y fecha:	Este Apéndice B se considerará ejecutado automáticamente cuando el Proveedor firme el Acuerdo de servicio de usuario final.
Rol (responsable del tratamiento/encargado):	Encargado en la medida en la que el tratamiento se efectúe en nombre del Proveedor. Responsable del tratamiento respecto a otras actividades de tratamiento, incluidas aquellas necesarias para los intereses legítimos de Avetta.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales son transferidos:	Usuarios administradores del Proveedor que acceden o utilizan los servicios de Avetta a través de la cuenta del Proveedor. Trabajadores del Proveedor (si los datos personales de los trabajadores se incluyen en los formularios de precalificación y otros contenidos del cliente, o bien, si el Proveedor está suscrito a los productos de Avetta para trabajadores).
Categorías de datos personales transferidos:	Usuarios administradores del Proveedor: datos de contacto comercial (por ejemplo, nombre, cargo, correo electrónico, número de teléfono, dirección postal); datos de ubicación (dirección IP); datos técnicos y de uso (por ejemplo, tipo y versión del navegador, configuración de zona horaria y ubicación, tipos y versiones de complementos del navegador, sistema operativo y plataforma, y otras tecnologías en los dispositivos que utiliza el usuario autorizado para acceder a los servicios de Avetta); datos biométricos (si el usuario administrador contacta al equipo de soporte de Avetta y da su consentimiento expreso para utilizar su voz con fines de autenticación); datos de transacciones (por ejemplo, estado de suscripción e historial del Proveedor, con la condición de que los datos personales estén incluidos en los datos de transacciones), y datos de marketing y comunicaciones (por ejemplo, las preferencias de marketing y comunicación del Proveedor, pero solo si los datos de transacciones contienen datos personales). Trabajadores del Proveedor: Cualquier dato personal proporcionado a Avetta por el Proveedor y/o sus trabajadores, que puede incluir datos de identidad (por ejemplo, nombre, número de identificación, código QR o credencial, cargo, fecha y lugar de nacimiento, género y estatus de ciudadanía); datos de contacto (por ejemplo, correo electrónico, número de teléfono, dirección, contacto de emergencia y parentesco, e información de contacto de un familiar cercano); datos del perfil (por ejemplo, nombre de usuario, contraseña, foto del perfil, preferencia de idioma, empleador(es), grupos de trabajo, sitios de trabajo, roles de trabajo y capacitaciones y evaluaciones en las que se haya inscrito el trabajador); datos de salud (por ejemplo, estado de vacunación, resultados de pruebas de detección de alcohol y drogas, y registros o declaraciones médicas en la medida en la que sean requeridos por el Proveedor o sus clientes); datos biométricos (si el trabajador contacta al equipo de soporte de Avetta y da su consentimiento expreso para usar su voz con fines de autenticación, o si el trabajador asiste a un sitio de trabajo que requiere huellas dactilares para autenticar la identidad del trabajador); datos profesionales (por ejemplo, ocupación, competencias laborales, competencias documentadas, certificaciones profesionales, estado de capacitación, calificaciones académicas e historial, acreditaciones y experiencia laboral); y datos de comunicaciones (por ejemplo, preferencias de comunicación); Datos del perfil generados por Avetta sobre los trabajadores (si el Proveedor está suscrito a los productos de Avetta para trabajadores), los cuales pueden incluir un ID único, estado de suscripción, estado de cumplimiento respecto a los requisitos estipulados por el Proveedor o sus clientes, y/o clave(s) de acceso al sitio; y datos de transacciones (solo si los datos personales de los trabajadores están contenidos en los datos de transacción); Datos de ubicación (por ejemplo, dirección IP, ubicaciones de sitios de trabajo y geolocalización al iniciar sesión en los sistemas de control de acceso al sitio), y Datos técnicos y de uso (por ejemplo, tipo y versión de navegador, configuración de zona horaria y ubicación, configuración de idioma, tipos y versiones de complementos del navegador, sistema operativo y plataforma, otras tecnologías en los dispositivos que el trabajador usa para acceder a los servicios de Avetta, tiempo de inicio/cierre de sesión, tiempo en el sitio web, páginas web visitadas, términos de búsqueda y contenido de terceros al que se haya accedido).
Datos confidenciales transferidos (si corresponde) y restricciones o salvaguardas aplicadas que toman plenamente en cuenta la naturaleza de los datos y los riesgos en cuestión como, por ejemplo, limitación estricta de propósito, restricciones de acceso (incluido el acceso solo para personal que haya seguido una capacitación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales:	Como se describió anteriormente, pueden recopilarse datos biométricos de los interesados con su consentimiento expreso. El contenido cargado o enviado por el Proveedor y/o sus trabajadores puede contener categorías especiales de datos, cuyo alcance es determinado y controlado únicamente por el Proveedor según su criterio. Estas categorías especiales pueden incluir, entre otras, información que revele orígenes raciales o étnicos, afiliación sindical y tratamiento de datos relativos a la salud de una persona. Además, se pueden recopilar datos de geolocalización en relación con los servicios de Avetta (por ejemplo, se recogen datos de geolocalización cuando un trabajador inicia sesión en los sistemas de control de acceso al sitio web). Cualquier categoría especial de datos será protegida mediante la aplicación de las medidas de seguridad descritas en el Apéndice B.
Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de una vez o de forma continua):	Continua durante la vigencia del EUSA.
Naturaleza del tratamiento:	Tratamiento necesario para la prestación de los servicios de Avetta al Proveedor. Tratamiento necesario para los intereses legítimos de Avetta descritos en la Política de privacidad.
Propósito(s) de la transferencia de datos y del tratamiento adicional:	Tratamiento necesario para la prestación de los servicios de Avetta. Tratamiento necesario para los intereses legítimos de Avetta descritos en la Política de privacidad.
El periodo de retención de los datos personales, o, si no es posible, los criterios utilizados para determinar dicho periodo:	Avetta devolverá o eliminará los datos personales de acuerdo con la sección 12 del presente DPA.
Para las transferencias a (sub)encargados, se debe especificar también el objeto, la naturaleza y la duración del tratamiento:	Los detalles de los (sub)encargados están disponibles en el siguiente enlace: https://www.avetta.com/privacy/processors.

C. AUTORIDAD SUPERVISORA COMPETENTE

Identificación de las autoridades supervisoras competentes conforme a la cláusula 13 de las SCC de la UE:

En los casos en los que el RGPD de la UE sea aplicable, la autoridad supervisora competente será determinada conforme a la cláusula 13 de las SCC de la UE.

En los casos en los que el RGPD del Reino Unido sea aplicable, la autoridad supervisora competente será la Oficina del Comisionado de Información del Reino Unido.

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD

Resumen

Las aplicaciones de software como servicio (“Servicios SaaS”) de Avetta se diseñaron desde un primer momento teniendo la seguridad informática en mente. La arquitectura de los Servicios SaaS Connect y Workforce Management contienen múltiples controles de seguridad en cada uno de los niveles para hacer frente a una amplia gama de riesgos de seguridad informáticos. Estos controles de seguridad están sujetos a cambios; sin embargo, cualquier cambio mantendrá o mejorará la medida de seguridad general de la plataforma SaaS.

A continuación, las principales áreas de controles de seguridad aplicables a cada uno de los componentes de los Servicios SaaS de Avetta Connect y Workforce Management de Avetta. Avetta aloja sus Servicios SaaS en plataformas de proveedores de servicios en la nube, utilizando principalmente Amazon Web Services (AWS) y, en casos limitados, Equinix.

Certificaciones y auditorías

Los Servicios SaaS de Avetta están certificados bajo las normas ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 (“Certificaciones ISO”). Avetta revisa anualmente su cumplimiento de estas certificaciones mediante una auditoría de controles internos. Dicha auditoría es revisada por el Comité de Gestión de Sistemas de Información de Seguridad y Privacidad, el cual está compuesto por miembros del equipo de liderazgo ejecutivo de Avetta.

Avetta utiliza principalmente regiones globales de AWS para el procesamiento y almacenamiento de sus Servicios SaaS. AWS ofrece instalaciones de alta calidad que cuentan con múltiples acreditaciones, entre ellas, SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015. Estas instalaciones de AWS también proporcionan salvaguardas de protección física avanzadas en los casos en los que se almacenen y procesen los datos de los clientes de Avetta. Avetta utiliza Equinix como proveedor de servicios en la nube para Workforce Management en determinadas regiones. Equinix también mantiene varias certificaciones, entre ellas, ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, PCI DSS, SOC 1 Tipo II y SOC 2 Tipo II. Para obtener más información sobre los proveedores de servicios en la nube, visite los siguientes enlaces: https://aws.amazon.com/compliance/programs/ y https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Recuperación ante desastres y continuidad del negocio

Para asegurar una alta disponibilidad de sus Servicios SaaS, Avetta emplea un centro de datos de copias de seguridad en AWS situado en una ubicación geográfica distinta a la de la instalación de tratamiento de datos de producción normal. Esto garantiza que Avetta pueda responder rápidamente ante cualquier evento medioambiental, físico o accidental que pueda interrumpir la instalación de producción de AWS.

Avetta mantiene un plan integral de recuperación ante desastres y continuidad del negocio, el cual revisa al menos una vez al año. Esta revisión permite que el personal de Avetta esté familiarizado con los planes de emergencia en caso de que surja un evento que pueda causar una interrupción en las actividades comerciales normales de Avetta.

Los sistemas de Avetta están diseñados para admitir un objetivo de punto de recuperación (RPO) de menos de 2 horas y un objetivo de tiempo de recuperación (RTO) de menos de 4 horas.

Avetta también lleva a cabo de forma periódica un ejercicio integral de evaluación de riesgos para garantizar que se siguen implementando estrategias y controles adecuados de mitigación de riesgos dentro de la organización.

Respuesta ante incidentes

Avetta cuenta con un plan integral de respuesta ante incidentes. Este plan, junto con los procesos y procedimientos relacionados, permite al personal de Avetta responder rápidamente ante una posible o potencial brecha de seguridad u otra actividad sospechosa de ciberseguridad dentro del entorno de Avetta. Un equipo de respuesta ante incidentes, dirigido por un equipo de seguridad calificado, evaluará la situación y desarrollará planes de acción y estrategias de mitigación. En caso de confirmarse una brecha de seguridad, el equipo de respuesta seguirá los protocolos designados para actuar de inmediato y responder apropiadamente, combatiendo la actividad maliciosa y preservando la evidencia forense. También se seguirán los procedimientos para su notificación.

Cifrado

Los Servicios SaaS de Avetta cifran los datos en reposo utilizando AES-256. Emplean métodos SALT para cifrar otros elementos de datos. Estos procesos de cifrado aseguran un alto grado de confidencialidad e integridad en los datos de los clientes. La separación lógica de los datos en los Servicios SaaS de Avetta garantiza que fuentes no autorizadas no puedan tener acceso a ningún dato del cliente. El acceso a los datos de los clientes se controla mediante un sistema único de gestión de identidad y acceso, con atributos que impiden que usuarios no autorizados accedan a dichos datos.

Las medidas de seguridad de Avetta se implementan según el principio de “privilegios mínimos”, lo que significa que solo los empleados con una necesidad comercial tienen acceso a datos específicos y funciones del sistema.

Controles de seguridad de aplicaciones web

El acceso de los clientes a los Servicios SaaS tiene lugar únicamente a través de protocolos de comunicación seguros, como TLS 1.2 o superior. Esto establece un canal de cifrado que permite la transmisión segura de datos entre el usuario final y los Servicios SaaS. A través de estas medidas, se protegen los datos del cliente durante el proceso de transmisión.

La administración de los Servicios SaaS de un cliente puede habilitar y deshabilitar usuarios de los Servicios SaaS y los accesos asociados según sea necesario. Los Servicios SaaS permiten a los clientes habilitar la autenticación multifactor para acceder a las cuentas de los Servicios SaaS mediante inicio de sesión único (SSO) con proveedores de identidad SAML 2.0. Los Servicios SaaS también permiten a los clientes habilitar políticas de contraseñas personalizables para adecuar las contraseñas de los Servicios SaaS con las políticas corporativas del cliente.

Red

Los Servicios SaaS utilizan controles de red de proveedores de servicios en la nube para restringir el ingreso y la salida de la red. Se emplean grupos de seguridad para limitar la actividad de red a puntos finales autorizados. Los Servicios SaaS emplean una arquitectura de red de múltiples niveles, incluidos los múltiples entornos virtuales lógicamente separados en Cloudflare, aprovechando zonas privadas, DMZ y zonas no confiables dentro de la infraestructura de servicios en la nube.

Monitoreo y auditoría

Los sistemas y redes de los Servicios SaaS se monitorean para detectar incidentes de seguridad, estado del sistema, anormalidades en la red, actividad de procesamiento, niveles de procesamiento de infraestructura y disponibilidad. Avetta utiliza un sistema de detección de intrusiones para monitorear la actividad de la red, alertando a miembros designados del equipo de Avetta sobre comportamientos sospechosos. Además, se implementan firewalls de aplicaciones web para todos los servicios web públicos.

Avetta registra eventos de aplicaciones, redes, usuarios y sistemas operativos en un servidor de syslog local y un sistema de administración de eventos de seguridad (SIEM). Estos registros se analizan y verifican automáticamente para identificar actividades sospechosas y amenazas. Las anomalías en la actividad del sistema se enfrentan con las acciones apropiadas requeridas. Avetta utiliza sistemas de información y gestión de eventos de seguridad que ofrecen un análisis continuo de seguridad de las redes y el entorno de seguridad de Avetta, en los casos en los que se emitan alertas, se detecten y se reporten indicadores de posible actividad sospechosa. Todas estas capacidades y actividades son administradas por el personal de DevOps y de ciberseguridad de Avetta.

Gestión de vulnerabilidades

Avetta realiza evaluaciones periódicas de vulnerabilidades en aplicaciones web, análisis de código estático y evaluaciones de seguridad externas como parte de su programa de seguridad integral para garantizar que los controles de seguridad se implementen y operen de manera efectiva. Semestralmente, Avetta contrata a terceros independientes para ejecutar evaluaciones de vulnerabilidades y pruebas de penetración tanto en la red como en la web. Estas auditorías externas incluyen la verificación de cumplimiento tomando en cuenta las diez principales vulnerabilidades de seguridad de aplicaciones web identificadas por el Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). Los resultados de estas evaluaciones de vulnerabilidad se integran en el ciclo de vida de desarrollo de software de Avetta (“SDLC”) para remediar vulnerabilidades identificadas. De esta manera, se da prioridad a vulnerabilidades específicas y estas se rastrean a través del sistema de tickets internos de Avetta hasta su resolución.

Desarrollo de software seguro

Avetta sigue prácticas de desarrollo seguro dentro de su SDLC. Estas prácticas incluyen análisis de código estático y herramientas de análisis de código en tiempo real. También se organizan revisiones entre pares antes de aplicar el código al entorno de producción. Avetta sigue implementando entornos de procesamiento separados: producción, pruebas/control de calidad y demostración. Los desarrolladores de software de Avetta deben recibir anualmente capacitación en codificación segura.

Equipo de ciberseguridad de Avetta

Avetta cuenta con un equipo de seguridad dedicado, liderado por un gerente de Ciberseguridad que posee una maestría en Ciberseguridad. Este equipo lleva a cabo capacitaciones de seguridad periódicas en toda la empresa, ejercicios de seguridad y evaluaciones regulares de vulnerabilidades y penetración. Mediante estos esfuerzos, el equipo de Ciberseguridad asegura la evaluación, prueba y efectividad continua de las medidas técnicas y organizativas para garantizar la seguridad en el tratamiento de los datos de los clientes.

El equipo de Ciberseguridad también participa en auditorías y certificaciones anuales y asiste a seminarios de ciberseguridad.

Privacidad y protección de datos

Avetta mantiene políticas sólidas de seguridad de la información y protección de datos personales. Dichas políticas describen los procedimientos seguidos para garantizar la protección de la información de los clientes. Además, estas políticas definen los controles implementados, los cuales incluyen directrices sobre retención de datos, accesibilidad y autenticación, uso aceptable y privacidad de datos.

ANEXO III: LISTA DE SUBENCARGADOS

La lista de subencargados actuales de Avetta se puede consultar en el siguiente enlace: Subencargados y afiliados.