SurveyMonkey Logo
Inspira tu curiosidad con nuestra plataforma de datos
  • SurveyMonkey

    Crea y envía encuestas con nuestro software en línea líder en el mundo

    • VER TODOS LOS PRODUCTOSAGREGAR INTEGRACIONES Y COMPLEMENTOS
    Mejora tu negocio con datos impulsados por personas
  • Clientes

    Haz crecer tu negocio con los datos impulsados por clientes

  • Empleados

    Crea una fuerza de trabajo más poderosa con los datos impulsados por empleados

    • Por necesidad
  • Satisfacción del cliente
  • Lealtad del cliente
  • Encuestas sobre eventos
  • Compromiso de los empleados
  • Satisfacción en el trabajo
  • Encuestas de RR. HH.
  • Investigación de mercado
  • Sondeos de opinión
  • Pruebas de conceptos
    • VER MÁS
    Busca la inspiración y la experiencia que necesitas
  • Curiosidad en movimiento

    Nuestro blog sobre encuestas, consejos para empresas y más

  • Centro de asistencia

    Guías prácticas y tutoriales para realizar encuestas

    • Planes y precios
    Inicia sesiónSuscríbete gratis
    Logo SurveyMonkey

    Lo sapevi?

    Il 63% delle persone valuta la privacy e la sicurezza di un'azienda prima di acquistarne i prodotti e servizi.

    Statistiche barra laterale Centro legale

    Descarga una copia del DPA para clientes de Momentive aquí.

    Acuerdo de procesamiento de datos de Momentive

    CÓMO SE APLICA ESTE DPA

    El presente Acuerdo de procesamiento de datos (“DPA”) de Momentive forma parte de tu Acuerdo con Momentive y contiene determinados términos relativos a la protección, la privacidad y la seguridad de los datos de conformidad con los requisitos del Reglamento General de Protección de Datos (Reglamento [UE] 2016/679) (“RGPD”) y la Ley de Privacidad del Consumidor de California de 2018 (§§ 1798.100-1798.199 del Código Civil de California) (“CCPA”), cuando proceda. En el caso de que (y solo en la medida en que) exista una discrepancia entre el RGPD y la CCPA, las partes cumplirán con el requisito más oneroso o el estándar más estricto que, en caso de controversia al respecto, será determinado únicamente por Momentive. 

    El presente DPA se celebra entre el Cliente y la entidad de Momentive correspondiente, que se determina de la siguiente manera: 

    (i) En el caso de los Clientes ubicados en cualquier país que no sea Estados Unidos, Momentive Europe UC será la entidad contratante . 

    (ii) En el caso de los Clientes ubicados en Estados Unidos, Momentive Inc. será la entidad contratante. 

    Esta es la última versión del DPA (con fecha del 10 de octubre de 2022). 

    TÉRMINOS DEL PROCESAMIENTO DE DATOS

    1. Interpretación

    Salvo que el contexto exija lo contrario, en el presente DPA las siguientes expresiones tendrán el significado que se indica a continuación : 

    Acuerdo” significa cualquier acuerdo celebrado entre Momentive Inc. o Momentive Europe y un cliente en relación con los Servicios. Dicho acuerdo podrá tener diferentes denominaciones, como “Formulario de pedido”, “Orden de venta”, “Términos de uso” o  Contrato maestro  de servicios”. 

    Artículo 28” se refiere al artículo 28 del RGPD y del RGPD del Reino Unido, según se aplique al procesamiento de los Datos personales del Cliente. 

    Cliente” o “” significa el cliente que se identifica en el Acuerdo o que es parte de este. 

    Datos del Cliente” se refiere a todos los datos (incluidos, entre otros, los Datos personales del Cliente) que son proporcionados a Momentive por el Cliente, o en su nombre, a través del uso de los Servicios por parte del Cliente, así como cualquier dato que terceros envíen al Cliente a través de los Servicios. 

    Datos personales del Cliente” se refiere a todos los Datos personales que son enviados a los Servicios por el Cliente o para el Cliente, procesados por Momentive a los efectos de la prestación de los Servicios al Cliente, incluidos, entre otros, los datos personales establecidos en el Apéndice 2 de este DPA. 

    Legislación sobre Protección de Datos” significa:
    (i) El RGPD y todas las demás leyes o reglamentos aplicables de la UE, el EEE o los estados miembros del mercado único europeo, o cualquier actualización, modificación o sustitución de estos que se aplique al procesamiento de datos personales en virtud del Acuerdo.

    (ii) Todas las leyes y los reglamentos de Estados Unidos que se apliquen al procesamiento de datos personales en virtud del Acuerdo, incluida, sin carácter restrictivo, la CCPA. 

    (iii) todas las leyes y regulaciones que se aplican al procesamiento de datos personales en virtud del Acuerdo oportunamente en vigor en el Reino Unido (incluido el RGPD del Reino Unido) y Canadá, y los términos “controlador”, “evaluación de impacto de la protección de datos”, “proceso”, “procesamiento”, “procesador”, “autoridad de control” tienen el mismo significado que en el RGPD o en el RGPD del Reino Unido y, con respecto a la CCPA (tal y como se define anteriormente), según corresponda, por el presente, Momentive y el Cliente acuerdan que Momentive es un “Proveedor de servicios” y el Cliente es la “Empresa”, tal y como se define en la CCPA y con respecto a la Información personal (tal y como se define en la CCPA). 

    Momentive” o “nosotros” significa, en el caso de los Clientes que se encuentran en Estados Unidos, Momentive Inc., y en el caso de los clientes que se encuentran fuera de Estados Unidos, Momentive Europe. 

    Momentive Europe” significa Momentive Europe UC, empresa irlandesa, con sede en 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublín 4, Irlanda. 

    Momentive Inc.” significa Momentive Inc., una sociedad de Delaware, con sede en One Curiosity Way, San Mateo, CA 94403, Estados Unidos.  

    Aviso de privacidad de Momentive” significa el Aviso de privacidad de Momentive, disponible en https://es.surveymonkey.com/mp/legal/privacy/.

    Datos personales” se refiere a la información relativa a una persona viva que es, o puede ser, razonablemente identificada a partir de la información, ya sea sola o junto con otra información “Interesado”).

    Servicios” significa los servicios solicitados por el Cliente a Momentive en virtud del Acuerdo. 

    SCC” se refiere a las “Cláusulas contractuales tipo” anexas a la Decisión de la Comisión Europea del i) 4 de junio de 2021 sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el RGPD o ii) (hasta el momento en que Momentive suscriba las Cláusulas contractuales tipo indicadas en el punto i), del 5 de febrero de 2010 para la Transferencia de Datos personales del Cliente a Procesadores establecidos en Terceros países en virtud de la Directiva 95/46/CE).

    Adenda del Reino Unido” se refiere a (i) la plantilla de adenda emitida por la Oficina del Comisionado de Información del Reino Unido y presentada ante el Parlamento del Reino Unido de conformidad con la sección 119A de la Ley de Protección de Datos del Reino Unido de 2018 el 2 de febrero de 2022, con las modificaciones oportunas introducidas por la sección 18 de las Cláusulas Obligatorias. Cuando la plantilla de adenda a la que se hace referencia en esta definición significa el documento titulado: Adenda de Transferencia Internacional de Datos de las Cláusulas contractuales tipo de la Comisión de la UE, versión B1.0, en vigor desde el 21 de marzo de 2022; o (ii) (hasta el momento en que Momentive suscriba la Adenda del Reino Unido indicada en el punto i), la Decisión de la Comisión Europea del 5 de febrero de 2010 para la transferencia de datos personales a procesadores establecidos en terceros países en virtud de la Directiva 95/46/CE.

    RGPD del Reino Unido” se refiere al RGPD de la UE que forma parte de las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley (sobre la retirada) de la Unión Europea de 2018 y modificada por los Reglamentos en materia de Protección de Datos, Privacidad y Comunicaciones Electrónicas (enmiendas, etc.) (salida de la UE) de 2019 y 2020, respectivamente, y toda legislación vigente en el Reino Unido que posteriormente modifique o sustituya el RGPD del Reino Unido.

    2. Carácter de Momentive

    En la prestación de los Servicios al Cliente, Momentive es un procesador de Datos personales del Cliente a los efectos del RGPD. 

    3. Vigencia

    El presente DPA permanecerá en vigor hasta el momento en que se produzca la rescisión (en virtud de sus términos) o la extinción del Acuerdo.

    4. Obligaciones del Cliente

    Por el presente, el Cliente garantiza y manifiesta que tiene derecho a transferir los Datos del Cliente a Momentive, de modo que Momentive pueda procesar y transferir legalmente los datos personales de acuerdo con este DPA. El Cliente se asegurará de que se haya informado a todos los interesados pertinentes de dicho uso, procesamiento y transferencia, tal y como exige la Legislación sobre Protección de Datos, y de que se han obtenido los consentimientos legales (cuando proceda). El Cliente se asegurará de que los datos personales se procesen o transfieran a Momentive de forma legal y adecuada.

    5. Obligaciones de Momentive

    Cuando Momentive procese Datos personales del Cliente para el Cliente como procesador, Momentive:

    (a) Solo lo hará siguiendo las instrucciones documentadas del Cliente y de conformidad con la Legislación sobre Protección de Datos, incluso en lo que respecta a las transferencias de datos personales a otras jurisdicciones o a una organización internacional, y las partes aceptan que el Acuerdo constituye dichas instrucciones documentadas del Cliente a Momentive para el procesamiento de los Datos personales del Cliente (incluso a lugares fuera del EEE) junto con otras instrucciones razonables impartidas por el Cliente a Momentive (por ejemplo, por correo electrónico) cuando dichas instrucciones sean coherentes con el Acuerdo.

    (b) Se asegurará de que todo el personal de Momentive que participe en el procesamiento de los Datos personales del Cliente esté sujeto a obligaciones de confidencialidad con respecto a los datos personales.

    (c) Pondrá a disposición la información necesaria para que el Cliente pueda demostrar el cumplimiento de sus obligaciones en virtud del artículo 28 (si es aplicable al Cliente) cuando dicha información esté en poder de Momentive y no esté disponible de otro modo para el Cliente a través de su cuenta y áreas de usuario, ni en los sitios web de Momentive, siempre que el Cliente notifique a Momentive por escrito de dicha solicitud de información con al menos 14 días de antelación.

    (d) Cooperará en la medida en que el Cliente lo solicite razonablemente para permitirle cumplir con cualquier ejercicio de los derechos por parte de un interesado que la Legislación sobre Protección de Datos otorgue a los interesados con respecto a los datos personales procesados por Momentive en la prestación de los Servicios.

    (e) Brindará asistencia, cuando sea necesario, con las solicitudes recibidas directamente de un Interesado con respecto a los Datos personales de un Interesado enviadas a través de los Servicios.

    (f) Una vez eliminados por ti, no conservará los Datos personales del Cliente en tu cuenta más que para cumplir con las leyes y los reglamentos aplicables, y según puedan conservarse en copias de seguridad de rutina realizadas con fines de recuperación ante catástrofes y continuidad del negocio, de acuerdo con nuestras políticas de conservación.

    (g) Colaborará con cualquier autoridad de control o con cualquier organismo que la sustituya o suceda oportunamente (o, en la medida en que el Cliente lo requiera, con cualquier otro organismo regulador en materia de protección o privacidad de los datos en virtud de la Legislación sobre Protección de Datos) en la realización de las tareas de dicha autoridad de control cuando sea necesario.

    (h) Ayudará al Cliente, en la medida en que sea razonablemente necesario, cuando el Cliente: 

    (i) lleve a cabo una evaluación del impacto de la protección de datos que comprenda los Servicios (lo que puede incluir mediante el suministro de documentación para que el cliente realice su propia evaluación); o

    (ii) deba notificar un Incidente de seguridad (tal como se define a continuación) a una autoridad de control o a un Interesado relevante.

    (i) No (a) venderá Información personal (tal como se define en la CCPA) con fines comerciales, ni (b) recopilará, conservará, utilizará, divulgará ni procesará de otro modo la Información personal, excepto (1) para cumplir sus obligaciones ante el Cliente en virtud del Acuerdo; (2) en nombre del Cliente; (3) para los fines operativos del Cliente; (4) para el uso interno de Momentive según lo permite la Legislación sobre Protección de Datos; (5) para detectar incidentes de seguridad de los datos o protegerse frente a actividades fraudulentas o ilegales; o (6) según lo permite la Legislación sobre Protección de Datos.

    (j) Cuando así lo exija la Legislación sobre Protección de Datos, Momentive informará al Cliente si entrara en conocimiento de que alguna instrucción recibida por el Cliente infringe las disposiciones de la Legislación sobre Protección de Datos. No obstante lo anterior, Momentive no tendrá obligación alguna de controlar ni revisar la legalidad de las instrucciones recibidas del Cliente.

    (k) Momentive declara que entiende las restricciones y obligaciones emanadas de este DPA, y se compromete a cumplirlas. 

    6. Subprocesadores

    6.1 Subprocesamiento. El Cliente otorga una autorización general a Momentive para contratar a subprocesadores subsiguientes, siempre que se cumplan los requisitos de esta sección 6.

    6.2 Lista de Subprocesadores. Sujeto a las disposiciones de confidencialidad del Acuerdo o a las que pudiera imponer Momentive, Momentive realizará lo siguiente:

    (a) Pondrá a disposición del Cliente una lista de los subcontratistas de Momentive que participan en el procesamiento o subprocesamiento de los Datos personales del Cliente en relación con la prestación de los Servicios (“Subprocesadores”), junto con una descripción de la naturaleza de los servicios prestados por cada Subprocesador (“Lista de Subprocesadores”). Se puede solicitar una copia de esta Lista de Subprocesadores aquí. 

    (b) Se asegurará de que todos los Subprocesadores de la Lista de Subprocesadores estén sujetos a términos contractuales que, en todos los aspectos importantes, no sean menos onerosos que los contenidos en este DPA.

    (c) Será responsable de los actos y las omisiones de sus Subprocesadores en la misma medida en que Momentive sería responsable si prestara los servicios de cada uno de esos Subprocesadores directamente en virtud de los términos del presente DPA, salvo que se establezca lo contrario en el Acuerdo. 

    6.3 Subprocesadores nuevos/sustitutos.  Momentive notificará al Cliente por escrito de la incorporación de cualquier Subprocesador nuevo o del reemplazo de un Subprocesador existente en cualquier momento durante la vigencia del Contrato (“Notificación de Subprocesador nuevo”). El Cliente se suscribirá a una lista de correo puesta a disposición por Momentive mediante la cual se entregarán dichas notificaciones por correo electrónico o, alternativamente, consultará las actualizaciones de la lista aquí. Si el Cliente tiene motivos razonables para oponerse al uso por parte de Momentive de un Subprocesador nuevo o sustituto, el Cliente notificará a Momentive sin demora y por escrito y, en cualquier caso, dentro de los 30 días siguientes a la recepción de la Notificación de Subprocesador nuevo. En caso de que se produzca dicha objeción razonable, el Cliente o Momentive podrán rescindir la parte de cualquier Acuerdo relativa a los Servicios que no puedan prestarse razonablemente sin el nuevo Subprocesador objetado (lo que podrá implicar, a discreción y elección de Momentive, la rescisión de la totalidad del Acuerdo) con efecto inmediato mediante notificación por escrito a la otra parte. Dicha rescisión no generará ningún derecho de reembolso de los cargos pagados previamente por el Cliente durante el periodo posterior a la rescisión.

    7. Seguridad

    7.1 Medidas de seguridad. Teniendo en cuenta la última tecnología, el costo de implementación y la naturaleza, el alcance, el contexto y los objetivos de los Servicios y el nivel de riesgo, Momentive ha implementado medidas técnicas y organizativas apropiadas (de conformidad con el Apéndice 1) para garantizar un nivel de seguridad adecuado frente el riesgo de procesamiento no autorizado o ilegal, o la pérdida accidental de los Datos del Cliente, o el daño a estos. A intervalos razonables, Momentive pone a prueba y evalúa la efectividad de estas medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

    7.2 Notificación de incidentes y violación de seguridad. Si Momentive toma conocimiento de cualquier consulta, adquisición, alteración, uso, divulgación o destrucción no autorizados o ilegales de los Datos personales del Cliente (“Incidente de seguridad”), Momentive adoptará medidas razonables para notificar al Cliente sin demora indebida. El Incidente de seguridad no incluye los intentos infructuosos o las actividades que no comprometan la seguridad de los datos personales, incluidos los intentos fallidos de inicio de sesión, los pings, los escaneos de puertos, los ataques de denegación de servicio u otros ataques de red a los cortafuegos o a los sistemas en red. La notificación de un Incidente de seguridad al Cliente no constituye una aceptación de responsabilidad por parte de Momentive.

    7.3 Asimismo, Momentive cooperará razonablemente con el Cliente en cualquier investigación relacionada con un Incidente de seguridad para la preparación de cualquier notificación requerida, y proporcionará toda la información que el Cliente solicite razonablemente en relación con cualquier Incidente de seguridad. 

    8. Auditorías

    8.1 Auditorías. Cuando Momentive procese Datos personales del Cliente para el Cliente como procesador (solamente), el Cliente notificará a Momentive por escrito con al menos un mes de antelación de cualquier auditoría, que podrá ser realizada por el Cliente o por un auditor independiente designado por el Cliente (siempre que la persona que realiza la auditoría no sea un competidor de Momentive ni actúe en nombre de este competidor) (“Auditor”). Las auditorías tendrán el siguiente alcance:

    (a) El Cliente solo tendrá derecho a realizar una auditoría una vez por año de suscripción, a menos que se encuentre de otro modo obligado legalmente o que un organismo regulador con autoridad suficiente sobre el Cliente le exija realizar o facilitar la realización de más de una auditoría el mismo año (en tales circunstancias, el Cliente y Momentive acordarán, antes de realizar dichas auditorías, una tarifa de reembolso razonable para los gastos de auditoría de Momentive).

    (b) Momentive acuerda, sujeto a cualquier restricción de confidencialidad apropiada y razonable, proporcionar evidencia de cualquier certificación y estándar de cumplimiento que mantenga y, a pedido, pondrá a disposición del Cliente un resumen ejecutivo de las pruebas de penetración anuales más recientes de Momentive, que deberá incluir las medidas correctivas adoptadas por Momentive a raíz de tales  pruebas  de penetración.

    (c) El alcance de la auditoría se limitará a los sistemas, los procesos y la documentación de Momentive relevantes para el procesamiento y la protección de los Datos personales del Cliente, y los Auditores realizarán auditorías con sujeción a las restricciones de confidencialidad apropiadas y razonables solicitadas por Momentive.

    (d) El Cliente notificará a Momentive y le proporcionará de inmediato y de forma confidencial todos los detalles de cualquier incumplimiento o problema de seguridad detectados durante el desarrollo de una auditoría.

    8.2 Las partes acuerdan que, a menos que una orden u otro dictamen vinculante de una autoridad de control u organismo regulador con suficiente autoridad sobre el Cliente exija lo contrario, esta sección 8 establece el alcance completo de los derechos de auditoría del Cliente frente a Momentive.

    9. Transferencias de datos internacionales

    9.1 En la medida en que corresponda, para las transferencias de Datos personales del Cliente desde el Espacio Económico Europeo (“EEE”) o del Reino Unido a lugares fuera del EEE y del Reino Unido (ya sea directamente o mediante una transferencia posterior) que no cuenten con normas adecuadas de protección de datos según las disposiciones de la Comisión Europea o la Ley de Protección de Datos del Reino Unido para las transferencias sujetas al RGPD del Reino Unido (según corresponda), Momentive recurre a lo siguiente:

    (a) las SCC; y

    (b) para las transferencias sujetas al RGPD del Reino Unido, la Adenda del Reino Unido; o

    (c) otras salvaguardias apropiadas o derogaciones (en la medida en que sean apropiadas), especificadas o permitidas por la Ley de Protección de Datos. 

    9.2 En caso necesario, por el presente, las partes suscriben las SCC (se puede acceder a una copia aquí) y la Adenda del Reino Unido (Apéndice 3). Las SCC se incorporan al presente Acuerdo por referencia y se aplicarán de la siguiente manera: 

    (a) cuando el Cliente celebra un contrato con Momentive Inc. en los Estados Unidos en virtud del Acuerdo de Servicios y es controlador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales del Cliente desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, Momentive celebra las SCC como importador de datos y el Cliente celebra las SCC como exportador de datos, y se aplicará únicamente el Módulo dos de las SCC; o

    (b) cuando el Cliente celebra un contrato con Momentive Inc. en los Estados Unidos en virtud del Acuerdo de Servicios y es procesador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales del Cliente desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, Momentive celebra las SCC como importador de datos y el Cliente celebra las SCC como exportador de datos, y se aplicará únicamente el Módulo tres de las SCC; o

    (c) cuando el Cliente no es residente del EEE y celebra un contrato con Momentive Europe UC para el almacenamiento de Datos personales del Cliente dentro del EEE en virtud del Acuerdo, es controlador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, Momentive celebra las SCC como exportador de datos y el Cliente celebra las SCC como importador de datos, y se aplicará únicamente el Módulo cuatro de las SCC; y

    (d) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;

    (e) en la Cláusula 11, no se aplicará el texto opcional;

    (f) en la Cláusula 17, las SCC se regirán por las leyes irlandesas;

    (g) en la Cláusula 18, las controversias se resolverán ante los tribunales de Irlanda; y

    (h) los Anexos I y II de las SCC se considerarán completados con la información indicada en el Acuerdo y los datos proporcionados en los Apéndices de este DPA.

    9.3 Previa solicitud por escrito y de conformidad con las disposiciones de las Cláusulas contractuales tipo o de la Adenda del Reino Unido (según corresponda), Momentive proporcionará al Cliente copias de las Cláusulas contractuales tipo o de la Adenda del Reino Unido que haya suscrito con los importadores de datos en su calidad de procesador.

    10. Disposiciones generales

    10.1 Responsabilidad por el procesamiento de datos. La responsabilidad total de cada una de las partes en relación con todas las reclamaciones, ya sean contractuales, extracontractuales (incluida la negligencia), de incumplimiento de obligaciones legales o de otro tipo, que se deriven de este DPA o estén relacionadas con él, será la que se establece en el Acuerdo, salvo que las partes acuerden lo contrario por escrito.

    10.2 Discrepancia. En caso de discrepancia o ambigüedad entre: (i) los términos del presente DPA y los términos del Acuerdo, con respecto al objeto del presente DPA, prevalecerán los términos del presente DPA; (ii) los términos de cualquier disposición contenida en el presente DPA y cualquier disposición contenida en las Cláusulas contractuales tipo, prevalecerá la disposición de las Cláusulas contractuales tipo.

    10.3 Procesamiento independiente. El Cliente sigue siendo el único responsable de su propio cumplimiento de la Ley de Protección de Datos con respecto a la recopilación y el procesamiento independientes de datos personales no relacionados con los Servicios. El Cliente proporcionará sus propios avisos de privacidad claros y visibles que describan con precisión cómo lo hace y Momentive no será responsable del tratamiento de datos personales por parte del Cliente en esas circunstancias. Por el presente, el Cliente se compromete a mantener indemne y, en caso de que corresponda, resarcir a Momentive respecto de cualquier reclamo o responsabilidad que pudieran surgir como consecuencia de dicha recopilación y uso de datos personales por su parte en tales circunstancias

    10.4 Integridad del acuerdo. El Acuerdo (que incorpora este DPA) y cualquier Formulario de pedido representan la totalidad del acuerdo celebrado entre las partes y sustituyen cualquier otro acuerdo o términos y condiciones anteriores o actuales, escritos u orales, relativos a su objeto. Cada una de las partes confirma que no se ha basado en ninguna declaración no registrada en el Acuerdo que la indujera a celebrarlo.

    10.5 Divisibilidad. Si un tribunal de jurisdicción competente determina que alguna de las disposiciones de este DPA no es exigible, dicha disposición quedará sin efecto y el resto de los términos se mantendrán en plena vigencia. Ninguna de las disposiciones de este DPA tiene por objeto establecer una sociedad o empresa conjunta entre las partes, ni se considerará que genera dicha relación. Del mismo modo, no autoriza a ninguna de ellas a contraer compromisos en nombre de otra parte, salvo lo dispuesto expresamente en el presente.

    10.6 Copia electrónica. El DPA se entrega como documento electrónico.

    10.7 Legislación aplicable. El presente DPA se regirá por las leyes de Irlanda y las partes se someten a la jurisdicción exclusiva de los tribunales irlandeses (en relación con todas las controversias contractuales y extracontractuales), excepto en el caso de cualquier incumplimiento o presunto incumplimiento de las leyes de privacidad, los reglamentos, las normas, las directrices reglamentarias y las directrices de autorregulación, presentes o futuros, a nivel estatal o federal en Estados Unidos de América, en cuyo caso regirán las leyes del estado de California, a menos que la ley disponga lo contrario.

    Apéndice 1

    Descripción de las medidas de seguridad técnicas y organizativas implementadas por Momentive 

    Momentive mantendrá salvaguardias administrativas, físicas y técnicas adecuadas (“Salvaguardias de seguridad”) para proteger la seguridad, confidencialidad e integridad de los datos personales que se le faciliten para la prestación de los Servicios al Cliente. 

    Las Salvaguardias de seguridad incluyen las siguientes: 

    (a) Dominio: organización de la seguridad de la información.

    (i) Funciones y responsabilidades de seguridad. El personal de Momentive con acceso a los datos está sujeto a obligaciones de confidencialidad.

    (ii) Programa de gestión de riesgos. Cuando corresponde, Momentive realiza una evaluación de riesgos antes de procesar los datos.

    (b) Dominio: gestión de activos.

    (i) Manejo de activos.

    (1) Momentive cuenta con procedimientos para la eliminación de materiales impresos que contengan Datos del Cliente.

    (2) Momentive lleva un inventario del hardware donde se almacenan los Datos del Cliente.

    (c) Dominio: seguridad de los recursos humanos.

    (i) Capacitación sobre seguridad.

    (1) Momentive informa a su personal sobre los procedimientos de seguridad pertinentes y sus respectivas funciones. Momentive también informa a su personal de las posibles consecuencias de infringir las normas y los procedimientos de seguridad.

    (d) Dominio: seguridad física y del entorno.

    (i) Acceso físico a las instalaciones. Momentive limita el acceso a las instalaciones en las que se encuentran los sistemas de información que procesan los Datos del Cliente a las personas autorizadas identificadas.

    (ii) Protección frente a interrupciones. Momentive utiliza diversos sistemas estándares de la industria para evitar la pérdida de datos debido a un corte en el suministro eléctrico o a interferencias en la línea.

    (iii) Eliminación de componentes. Momentive utiliza procesos estándares de la industria para eliminar los Datos del Cliente cuando ya no son necesarios.

    (e) Dominio: gestión de comunicaciones y operaciones.

    (i) Política operativa. Momentive conserva documentos de seguridad donde se describen sus medidas de seguridad y los procedimientos y responsabilidades pertinentes del personal que tiene acceso a los Datos del Cliente. 

    (ii) Procedimientos de recuperación de datos. 

    (1) De forma periódica y continua, Momentive crea copias de seguridad de los Datos del Cliente a partir de las cuales se pueden recuperar los Datos del Cliente en caso de pérdida de la copia principal. 

    (2) Momentive almacena las copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar diferente de donde se encuentra el equipo informático principal que procesa los Datos del Cliente. 

    (3) Momentive cuenta con procedimientos específicos que regulan el acceso a las copias de los Datos del Cliente. 

    (iii) Software malicioso. Momentive cuenta con controles contra malware para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente, incluido el software malicioso que se origina en las redes públicas.

    (iv) Datos más allá de las fronteras. 

    (1) Momentive cifra los Datos del Cliente que se transmiten a través de redes públicas. 

    (v) Registro de eventos.

    (1) Momentive registra el uso de sus sistemas de procesamiento de datos. 

    (2) Momentive registra el acceso a los sistemas de información que contienen Datos del Cliente, al igual que su uso, mediante el registro de la id. de acceso, la marca de tiempo y determinada actividad relevante.

    (f) Dominio: gestión de Incidentes de seguridad de la información.

    (i) Proceso de respuesta ante incidentes. 

    (1) Momentive cuenta con un plan de respuesta ante incidentes.  

    (2) Momentive lleva un registro de las violaciones de la seguridad que incluye una descripción de la violación, el período, las consecuencias de la violación, el nombre del denunciante y a quién se informó de la violación, al igual que las medidas correctivas, en caso de corresponder.

    (g) Dominio: gestión de la continuidad del negocio.

    (i) El almacenamiento redundante de Momentive y sus procedimientos de recuperación de datos están diseñados para intentar reconstruir los Datos del Cliente en su estado original anterior al momento en que se perdieron o destruyeron.   

    (h) Control de acceso a las áreas de procesamiento.  Los procesos para evitar que personas no autorizadas accedan a los equipos de procesamiento de datos (en concreto, teléfonos, servidores de bases de datos y aplicaciones y hardware relacionado) donde se procesan o utilizan los Datos personales del Cliente deben incluir: 

    (i) Establecimiento de áreas seguras. 

    (ii) Protección y restricción de las vías de acceso.

    (iii) Protección de los teléfonos móviles/celulares.   

    (iv) Equipos de procesamiento de datos y computadoras personales.

    (v) Todos los accesos a los centros de datos donde se alojan los Datos personales del Cliente se registran, supervisan y rastrean.  

    (vi) Los centros de datos donde se alojan los Datos personales del Cliente están protegidos por un sistema de alarma de seguridad y otras medidas de seguridad adecuadas. 

    (vii) Las instalaciones están diseñadas para soportar condiciones meteorológicas adversas y otros fenómenos naturales razonablemente predecibles, están custodiadas por guardias las 24 horas del día, control de acceso biométrico o con tarjeta (según el nivel de riesgo), y acceso controlado con acompañante, y también cuentan con generadores de respaldo in situ en caso de que se produzca un corte en el suministro eléctrico.

    (i) Control de acceso a los sistemas de procesamiento de datos. Los procesos para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas deben incluir:  

    (i) Identificación del terminal o del usuario del terminal a los sistemas de procesamiento de datos. 

    (ii) Desconexión automática después de 30 minutos o menos del terminal del usuario si se deja inactivo, y debe requerirse la identificación y la contraseña para volver a abrirlo.

    (iii) Emisión y salvaguarda de los códigos de identificación. 

    (iv) Requisitos de complejidad de las contraseñas (extensión mínima, caducidad de las contraseñas, etc.). 

    (v) Protección contra el acceso externo mediante un cortafuegos estándar de la industria.  

    (j) Control de acceso para utilizar áreas específicas de los sistemas de procesamiento de datos. Las medidas para garantizar que las personas autorizadas a utilizar los sistemas de procesamiento de datos solo puedan acceder a los datos dentro del ámbito y en la medida en que lo contemple su respectivo permiso (autorización) de acceso, y que no se puedan leer, copiar, modificar ni eliminar sin autorización los Datos personales del Cliente deben incluir lo siguiente:

    (i) Implementación de políticas vinculantes para los empleados y capacitación sobre los derechos de acceso de cada empleado a los Datos personales del Cliente.

    (ii) Medidas disciplinarias efectivas y evaluadas contra las personas que accedan a los Datos personales del Cliente sin autorización. 

    (iii) Divulgación de los datos solo a las personas autorizadas. 

    (iv) Aplicación de los principios de acceso menos privilegiado a la información que contiene Datos personales del Cliente, estrictamente sobre la base de los requisitos de “necesidad de saber”.

    (v) Gestión del acceso a la red de producción y a los datos mediante VPN, autenticación de dos factores y controles de acceso basados en la función.

    (vi) La información de registro de los sistemas de aplicaciones e infraestructura a una instalación de registro gestionada de forma centralizada para la resolución de problemas, las revisiones de seguridad y los análisis. 

    (vii) Políticas para controlar la conservación de las copias de seguridad que se ajusten a la legislación aplicable y que sean adecuadas según la naturaleza de los datos en cuestión y el riesgo correspondiente.

    (k) Control de la transmisión. Los procedimientos para evitar que los Datos personales del Cliente sean leídos, copiados, alterados o eliminados por personas no autorizadas durante su transmisión o durante el transporte de los soportes de datos, y para garantizar que sea posible comprobar y establecer a qué organismos está prevista la transferencia de los Datos personales del Cliente mediante instalaciones de transmisión de datos deben incluir: 

    (i) Uso de cortafuegos y tecnologías de cifrado para proteger las puertas de enlace y canalizaciones por las que viajan los datos.

    (ii) Implementación de conexiones de VPN para salvaguardar la conexión a la red corporativa interna.

    (iii) Supervisión constante de la infraestructura (por ejemplo, ICMP-ping a nivel de red, análisis del espacio en disco a nivel de sistema, entrega satisfactoria de páginas de prueba especificadas a nivel de la aplicación).

    (iv) Supervisión para comprobar que la transferencia de datos sea completa y correcta (comprobación de extremo a extremo). 

    (l) Control del almacenamiento. Cuando se almacenen Datos personales del Cliente: se realizará una copia de seguridad como parte de los procesos previstos de copia de seguridad y recuperación en forma cifrada, utilizando una solución de cifrado con soporte comercial, y todos los datos definidos como Datos personales del Cliente almacenados en cualquier dispositivo informático portátil o laptop, o cualquier medio de almacenamiento portátil estarán cifrados de la misma manera. Las soluciones de cifrado se desplegarán con una clave de no menos de 128 bits para el cifrado simétrico y una extensión de clave de 1024 bits (o más) para el cifrado asimétrico.

    (m) Control de entrada. Las medidas para garantizar que es posible comprobar y establecer si los Datos personales del Cliente se han introducido en los sistemas de procesamiento de datos o se han eliminado, y quién lo ha hecho, deben incluir:

    (i) Autenticación del personal autorizado.

    (ii) Medidas de protección para la introducción de datos en la memoria, así como para la lectura, alteración y eliminación de los datos almacenados.

    (iii) Utilización de códigos de usuario (contraseñas).

    (iv) Establecimiento de prueba dentro de la organización del importador de datos de la autorización de entrada.

    (v) Garantía de que las puertas de acceso a las instalaciones de procesamiento de datos (las salas donde se encuentran el hardware informático y el equipo relacionado) están cerradas con llave.

    (n) Control de disponibilidad. Las medidas para garantizar que los Datos personales del Cliente están protegidos de la destrucción o pérdida accidentales deben incluir la redundancia de la infraestructura y copias de seguridad periódicas realizadas en los servidores de bases de datos. 

    (o) Segregación del procesamiento. Los procedimientos para garantizar que los datos recopilados para diferentes fines puedan procesarse por separado deben incluir:

    (i) Separar los datos mediante la seguridad de la aplicación para los usuarios adecuados.

    (ii) Almacenar los datos, a nivel de la base de datos, en tablas diferentes, separadas por el módulo o la función que admiten.

    (iii) Diseñar las interfaces, los procesos por lotes y los informes solo para fines y funciones específicos, de modo que los datos recopilados para fines específicos se procesen por separado.

    (iv) Impedir que los datos reales se utilicen con fines de prueba, ya que solo pueden utilizarse para ello los datos ficticios generados con ese fin.

    (p) Programa de gestión de la vulnerabilidad. El programa que garantice la comprobación periódica de los sistemas para identificar vulnerabilidades y la corrección inmediata de aquellas detectadas debe incluir:

    (i) Escaneo periódico de todas las redes, incluidos los entornos de prueba y de producción.

    (ii) Realización periódica de pruebas de penetración y rápida subsanación de las vulnerabilidades.

    (q) Destrucción de datos. En caso de extinción o rescisión del Acuerdo por cualquiera de las partes o, de otro modo, a pedido del Cliente tras la recepción de una solicitud de un interesado o de un organismo regulador: 

    (i) Todos los datos del Cliente se destruirán de forma segura en un plazo de 3 meses.

    (ii) Todos los datos del Cliente se purgarán de todos los dispositivos de almacenamiento de Momentive o de terceros, incluidas las copias de seguridad, en un plazo de 6 meses a partir de la rescisión o de la recepción de una solicitud del Cliente, a menos que la ley exija a Momentive que conserve una categoría de datos durante más tiempo. Momentive se asegurará de que todos los datos que ya no sean necesarios se destruyan hasta tal punto que se pueda garantizar que ya no son recuperables.

    (r) Estándares y certificaciones. Las ubicaciones o soluciones de almacenamiento de datos tienen, como mínimo, informes SOC 1 (SSAE 16) o SOC 2; las certificaciones o los niveles de seguridad equivalentes o similares se analizarán caso por caso.

    Apéndice 2

    Propósitos y naturaleza del procesamiento de datos personales, categorías de datos personales, Interesados 

    Propósitos y naturaleza del procesamiento Momentive podrá procesar los Datos personales del Cliente en la medida en que sea necesario para la ejecución técnica de los Servicios, incluido lo siguiente, cuando corresponda: 
    •      Hospedaje y almacenamiento.
    •      Copias de seguridad y recuperación ante catástrofes.
    •      Mejora técnica del servicio.
    •      Gestión de cambios en el servicio.
    •      Resolución de problemas.
    •      Prestación de servicios seguros y cifrados.
    •      Aplicación de nuevas versiones de productos o sistemas, parches, actualizaciones y mejoras.
    •      Supervisión y comprobación del uso y el rendimiento del sistema.
    •      Detección y eliminación proactiva de errores.
    •      Propósitos de seguridad informática, incluida la gestión de incidentes.
    •      Mantenimiento y funcionamiento de los sistemas de soporte técnico y de la infraestructura informática.
    •      Migración, implementación, configuración y pruebas de rendimiento.
    •      Recomendaciones de productos.
    •      Asistencia al cliente; transferencia de datos.
    •      Ayuda con las solicitudes de los Interesados (según sea necesario).
    Categorías de datos personales El Cliente podrá enviar Datos personales del Cliente a los Servicios y podrá solicitar que los encuestados del Cliente envíen datos personales a los Servicios, cuyo alcance será determinado y controlado por el Cliente a su entera discreción, y que podrá incluir, sin carácter restrictivo: 

    •      Datos personales de todo tipo que puedan ser enviados por los encuestados del Cliente al Cliente a través de los usuarios de los Servicios (tal como a través de encuestas u otras herramientas de comentarios). Por ejemplo: nombre, ubicación geográfica, edad, datos de contacto, dirección IP, profesión, sexo, situación financiera, preferencias personales, hábitos personales de compra o consumo, y otras preferencias y otros datos personales que el Cliente solicite o desee recabar de sus encuestados. 

    •      Datos personales de todo tipo que puedan incluirse en los formularios y las encuestas alojados en los Servicios para el Cliente (como los que puedan incluirse en las preguntas de las encuestas). 

    •  Detalles de contacto y facturación de los empleados del Cliente, usuarios finales autorizados y otros contactos comerciales. Por ejemplo: nombre, cargo, empleador, información de contacto (empresa, correo electrónico, teléfono, dirección, etc.), información de pago y otros datos relacionados con la cuenta.

    •      Los encuestados del Cliente podrán enviar al Cliente categorías especiales de datos personales a través de los Servicios, cuyo alcance será determinado y controlado por el Cliente. Para mayor claridad, estas categorías especiales de datos personales pueden incluir información que revele el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical y el procesamiento de datos relativos a la salud o la vida sexual.
    Interesados Los Interesados incluyen:
    •      Personas físicas que envían datos personales a Momentive a través del uso de los Servicios (incluso a través de encuestas y formularios en línea alojados por Momentive en nombre del Cliente).
    •      Personas físicas cuyos datos personales pueden ser enviados al Cliente por los encuestados a través del uso de los Servicios.
    •      Personas físicas que son empleados, representantes u otros contactos comerciales del Cliente.
    •      Los usuarios del Cliente que estén autorizados por el Cliente para acceder a los Servicios y utilizarlos.

    ANEXOS DE LAS CLÁUSULAS CONTRACTUALES TIPO

    ANEXO I:

    A. LISTA DE LAS PARTES

    MÓDULO DOS: Transferencia de controlador a procesador

    MÓDULO TRES: Transferencia de procesador a procesador

    MÓDULO CUATRO: Transferencia de procesador a controlador

    Exportador(es) de datos: según se indica en el Acuerdo

    Nombre, cargo y datos de contacto de la persona de contacto: según se indica en el Acuerdo

    Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: según se indica en el Apéndice 2 del DPA

    Importador(es) de datos: según se indica en el Acuerdo

    Nombre: según se indica en el Acuerdo

    Nombre, cargo y datos de contacto de la persona de contacto: según se indica en el Acuerdo

    Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: según se indica en el Apéndice 2 del DPA

    B. DESCRIPCIÓN DE LA TRANSFERENCIA

    MÓDULO DOS: Transferencia de controlador a procesador

    MÓDULO TRES: Transferencia de procesador a procesador

    MÓDULO CUATRO: Transferencia de procesador a controlador

    Categorías de interesados cuyos datos personales se transfieren: según se indica en el Apéndice 2 del DPA

    Categorías de datos personales transferidos: según se indica en el Apéndice 2 del DPA

    Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos asociados, por ejemplo, limitación estricta de la finalidad, restricciones de acceso (incluido el acceso solo para el personal que ha realizado una capacitación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias posteriores o medidas de seguridad adicionales: según se indica en los Apéndices 1 y 2 del DPA

    La frecuencia de la transferencia (p. ej., si los datos se transfieren por única vez o de forma continua): por única y de forma continua (según el uso de los Servicios)

    Naturaleza del procesamiento: según se indica en el Apéndice 2 del DPA

    Propósito(s) de la transferencia de datos y procesamiento posterior: según se indica en el Apéndice 2 del DPA

    Período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período: según se indica en el Acuerdo y según se indica aquí

    Para las transferencias a (sub)procesadores, especificar también el objeto, la naturaleza y la duración del Procesamiento: consulta aquí.

    C. AUTORIDAD DE CONTROL COMPETENTE

    Identificar la(s) autoridad(es) de control competente(s) de acuerdo con la Cláusula 13: Irlanda

    ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS SEGÚN SE INDICA EN EL APÉNDICE 1 DEL DPA

    ANEXO III: LISTA DE SUBPROCESADORES

    MÓDULO DOS: Transferencia de controlador a procesador

    MÓDULO TRES: Transferencia de procesador a procesador

    MÓDULO CUATRO: Transferencia de procesador a controlador. El Cliente ha autorizado el uso de los siguientes subprocesadores: consulta aquí.

    Apéndice 3

    ADENDA DEL REINO UNIDO 

    1. En relación con las transferencias de datos sujetas al RGPD del Reino Unido, por el presente, las partes suscriben la Adenda del Reino Unido (se puede acceder a una copia aquí), y la Adenda del Reino Unido se incorpora al presente Acuerdo por referencia.

    2. Las partes acuerdan que el formato y el contenido de las tablas de la Parte 1 de la Adenda del Reino Unido se modificarán y sustituirán por la siguiente tabla.

    Referencia de la tabla de la Adenda del Reino UnidoInformación para completar la tabla
    Tabla 1: Fecha de inicioVigente a partir de la Fecha de entrada en vigencia del Acuerdo.
    Tabla 1: Datos de las partesSe considerará completada con la información que se detalla en el Apéndice 2 de este Acuerdo.
    Tabla 2: Adenda de SCC de la UELas partes seleccionan la siguiente opción de la Tabla 2:

    “SCC de la UE aprobadas, incluida la Información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las SCC de la UE aprobadas en vigor a los fines de esta Adenda”.

    Los detalles de los “módulos”, las “cláusulas” y las “disposiciones opcionales” de las SCC que entran en vigor a los fines de la Adenda del Reino Unido se exponen en la sección 9.2 del presente Acuerdo.
    Tabla 3: Anexo 1A, Lista de las partesSe considerará completada con la información que se detalla en el Apéndice 2 de este Acuerdo.
    Tabla 3: Anexo 1B, Descripción de la transferenciaSe considerará completada con la información que se detalla en el Apéndice 2 de este Acuerdo.
    Tabla 3: Anexo II, Medidas técnicas y organizativasSe considerará completada con la información que se detalla en el Apéndice 1 de este Acuerdo.
    Tabla 3: Anexo III, Lista de Subprocesadores (Módulo 2)Se puede encontrar una lista de subprocesadores de acuerdo con las disposiciones sobre subprocesadores del Acuerdo.
    Tabla 4: Finalización de esta AdendaLas partes deciden que ninguna de ellas podrá poner fin a la Adenda del Reino Unido, ya que está incorporada al Acuerdo.

    3. En caso de discrepancia o incoherencia entre el presente Acuerdo y la Adenda del Reino Unido, la Adenda del Reino Unido regirá y tendrá prioridad en lo que respecta a dicha discrepancia o incoherencia.

    Comunidad:

    Desarrolladores

    Facebook

    Twitter

    Linkedin

    Nuestro blog

    Instagram

    Youtube

    Quiénes somos:

    Equipo de liderazgo

    Junta directiva

    Relaciones con los inversionistas

    Directorio de aplicaciones

    Nuestra ubicación

    Información de la empresa

    Oportunidades laborales

    Mapa del sitio

    Asistencia

    Iniciar sesión

    Suscríbete

    Políticas:

    Términos de uso

    Aviso de privacidad

    Aviso de privacidad de California

    Política de usos aceptables

    Declaración de seguridad

    Cumplimiento del RGPD

    Registro de correo electrónico

    Accesibilidad

    Aviso de cookies

    Casos de uso:

    Votaciones en línea

    Encuestas en Facebook

    Plantilla de encuesta

    Encuesta para planear reuniones y citas

    Google Forms vs. SurveyMonkey

    Encuestas de satisfacción del empleado

    Plantillas gratuitas para encuestas

    Encuestas para dispositivos móviles

    Cómo mejorar el servicio al cliente

    Calculadora de importancia estadística para prueba A/B

    Calculadora del NPS

    Plantillas de cuestionarios

    Encuestas sobre eventos

    Calculadora del tamaño de muestra

    Cómo redactar buenas encuestas

    Escala Likert

    Análisis de encuestas

    Evaluación de 360 grados

    Encuestas sobre educación

    Preguntas para encuestas

    Cálculo del NPS

    Preguntas de encuestas de satisfacción del cliente

    Preguntas de acuerdo/desacuerdo

    Crea una encuesta

    Tests en línea

    Investigación cualitativa vs. cuantitativa

    Encuestas para clientes

    Encuestas de investigación de mercado

    Encuesta del NPS

    Prácticas recomendadas para diseñar encuestas

    Calculadora de margen de error

    Cuestionario

    Preguntas demográficas

    Encuesta sobre capacitación

    Encuesta sin conexión

    Plantilla de evaluación de 360 grados

    SurveyMonkey es ofrecido por momentive.ai. Moldea el futuro con las percepciones impulsadas por IA y las soluciones de gestión de experiencias diseñadas para adaptarse a las empresas modernas y su constante evolución.
    Copyright © 1999-2022 Momentive
    BBB credentials logo
    TrustedSite logo