Cláusulas contractuales tipo

Hemos redactado este DPA de manera que incluya todas las configuraciones de SCC posibles. No todas corresponden a tu caso. Para mayor claridad:  

Ley de Privacidad del Consumidor de California (CCPA) 

Hemos actualizado este DPA para que refleje las enmiendas a la Ley de Derechos de Privacidad de California (CPRA) introducidas en la CCPA. No aceptamos ninguna modificación ni enmienda de este DPA por parte de los Clientes. 

Este Acuerdo de procesamiento de datos (“DPA”) de SurveyMonkey  forma parte de tu Acuerdo con SurveyMonkey y contiene ciertos términos que se relacionan con la protección, la privacidad y la seguridad de los datos de conformidad con la Ley de Protección de Datos, cuando corresponda. En el caso de que (y solo en la medida en que) exista una discrepancia entre el RGPD y la CCPA, las partes cumplirán con el requisito más oneroso o el estándar más estricto que, en caso de controversia al respecto, será determinado únicamente por SurveyMonkey. 

El presente DPA  se  celebra entre el Cliente y la entidad de SurveyMonkey correspondiente, que se determina de la siguiente manera: 

(i) En el caso de los Clientes ubicados en cualquier país que no sea Estados Unidos, SurveyMonkey Europe UC será la  entidad contratante.

(ii)  En el caso de los Clientes ubicados en Estados Unidos, SurveyMonkey Inc. será la entidad contratante. 

Esta es la última versión del DPA (con fecha del 15 de junio de 2023). 

Salvo que el contexto exija lo contrario, en el presente DPA las siguientes expresiones tendrán el significado que se indica a continuación : 

“Acuerdo” significa cualquier acuerdo celebrado entre SurveyMonkey Inc. o SurveyMonkey Europe y un cliente en relación con los Servicios. Dicho acuerdo podrá tener diferentes denominaciones, como “Formulario de pedido”, “Orden de venta”, “Términos de uso” o Contrato maestro de servicios”. 

“Artículo 28” se refiere al artículo 28 del RGPD y del RGPD del Reino Unido, según se aplique al procesamiento de los Datos personales del Cliente.  

“Cliente” o “tú” significa el cliente que se identifica en el Acuerdo o que es parte de este. 

“Datos del Cliente” se refiere a todos los datos (incluidos, entre otros, los Datos personales del Cliente) que son proporcionados a SurveyMonkey por el Cliente, o en su nombre, a través del uso de los Servicios por parte del Cliente, así como cualquier dato que terceros envíen al Cliente a través de los Servicios. 

“Datos personales del Cliente” se refiere a todos los Datos personales que son enviados a los Servicios por el Cliente o para el Cliente, procesados por SurveyMonkey a los efectos de la prestación de los Servicios al Cliente, incluidos, entre otros, los datos personales establecidos en el Apéndice 2 de este DPA. 

“Ley de Protección de Datos” significa: 
(i) el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (“RGPD”) y todas las demás leyes o reglamentos aplicables de la UE, el EEE o los estados miembros del mercado único europeo, o cualquier actualización, enmienda o sustitución de estos que se aplique al procesamiento de datos personales en virtud del Acuerdo;

(ii) la Ley Federal Suiza de Protección de Datos (“FADP”), o la nueva Ley Federal Suiza de Protección de Datos que entrará en vigencia el 1 de enero de 2023 (“nFADP”);

(iii) todas las leyes y los reglamentos de EE. UU. que se apliquen al procesamiento de datos personales en virtud del Acuerdo, incluida , sin carácter restrictivo , la Ley de Privacidad del Consumidor de California de 2018 (Código Civil de California §§ 1798.100-1798.199) (“CCPA”); 

(iv) todas las leyes y regulaciones que se apliquen al procesamiento de datos personales en virtud del Acuerdo oportunamente en vigor en el Reino Unido (incluido el RGPD del Reino Unido); y

(v) la Ley de Protección de Datos Personales y Documentos Electrónicos (“PIPEDA”), o cualquier actualización, enmienda o sustitución de esta que se aplique al procesamiento de datos personales en Canadá.

Los términos “controlador”, “evaluación de impacto de la protección de datos”, “proceso”, “procesamiento”, “procesador” y “autoridad de control” tienen el mismo significado que en el RGPD o el RGPD del Reino Unido.

Los términos en inglés equivalentes a “Negocio”, “Fines de negocio”, “Fines comerciales”, “Información personal”, “Proveedor de servicios”, “Vender” y “Compartir” tendrán el mismo significado definido en la CCPA. 

“SurveyMonkey” o “nosotros” significa, en el caso de los Clientes que se encuentran en Estados Unidos, SurveyMonkey Inc., y en el caso de los clientes que se encuentran fuera de Estados Unidos, SurveyMonkey Europe. 

“SurveyMonkey Europe” significa SurveyMonkey Europe UC, empresa irlandesa, con sede en 2 Shelbourne Buildings, Second Floor,  Shelbourne Road, Dublín 4, Irlanda. 

“SurveyMonkey Inc.” significa SurveyMonkey Inc., sociedad de Delaware, con sede en One Curiosity Way, San Mateo, CA 94403, Estados Unidos.  

“Aviso de privacidad de SurveyMonkey” significa el Aviso de privacidad de SurveyMonkey disponible en https://es.surveymonkey.com/mp/legal/privacy/.qs

“Datos personales” se refiere a la información relativa a una persona viva que es, o puede ser, razonablemente identificada a partir de la información, ya sea sola o junto con otra información “Interesado”).

“Servicios” significa los servicios solicitados por el Cliente a SurveyMonkey en virtud del Acuerdo. 

“SCC” se refiere a las “Cláusulas contractuales tipo” anexas a la Decisión de la Comisión Europea del i) 4 de junio de 2021 sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el RGPD o ii) (hasta el momento en que SurveyMonkey suscriba las Cláusulas contractuales tipo indicadas en el punto i)), 5 de febrero de 2010 para la Transferencia de Datos personales del Cliente a Procesadores establecidos en Terceros países en virtud de la Directiva 95/46/CE. Cuando se implemente la FADP/nFADP, todas las referencias a las SCC se corresponderán con las referencias a la FADP/nFADP. Por lo tanto, todos los términos utilizados en este contexto recibirán la definición que se les asigna en la FADP/nFADP.

“Adenda del Reino Unido” se refiere a (i) la plantilla de adenda emitida por la Oficina del Comisionado de Información del Reino Unido y presentada ante el Parlamento del Reino Unido de conformidad con la sección 119A de la Ley de Protección de Datos del Reino Unido de 2018 el 2 de febrero de 2022, con las modificaciones oportunas introducidas por la Sección 18 de las Cláusulas Obligatorias. Cuando la plantilla de adenda a la que se hace referencia en esta definición significa el documento titulado: Adenda de Transferencia Internacional de Datos de las Cláusulas contractuales tipo de la Comisión de la UE, versión B1.0, en vigor desde el 21 de marzo de 2022; o (ii) (hasta el momento en que SurveyMonkey suscriba la Adenda del Reino Unido indicada en el punto i), la Decisión de la Comisión Europea del 5 de febrero de 2010 para la transferencia de datos personales a procesadores establecidos en terceros países en virtud de la Directiva 95/46/CE.

“RGPD del Reino Unido” se refiere al RGPD de la UE que forma parte de las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Sección 3 de la Ley (sobre la retirada) de la Unión Europea de 2018 y modificada por los Reglamentos en materia de Protección de Datos, Privacidad y Comunicaciones Electrónicas (enmiendas, etc.) (salida de la UE) de 2019 y 2020, respectivamente, y toda legislación vigente en el Reino Unido que posteriormente modifique o sustituya el RGPD del Reino Unido.

En la prestación de los Servicios al Cliente, SurveyMonkey es un procesador de Datos personales del Cliente a los efectos del RGPD. En lo que respecta a la CCPA, según corresponda, SurveyMonkey y el Cliente acuerdan, por el presente, que SurveyMonkey es un “Proveedor de servicios” y el Cliente es la “Empresa” con respecto a la Información personal.

El presente DPA permanecerá en vigor hasta el momento en que se produzca la rescisión (en virtud de sus términos) o la extinción del Acuerdo.

Por el presente, el Cliente garantiza y manifiesta que tiene derecho a transferir los Datos del Cliente a SurveyMonkey, de modo que SurveyMonkey pueda procesar y transferir legalmente los Datos personales de acuerdo con este DPA. El Cliente se asegurará de que se haya informado a todos los interesados pertinentes de dicho uso, procesamiento y transferencia, tal y como exige la Ley de Protección de Datos, y de que se hayan obtenido los consentimientos legales (cuando proceda). El Cliente se asegurará de que los Datos personales se procesen o transfieran a SurveyMonkey de forma legal y adecuada. El Cliente deberá cumplir con toda las leyes aplicables en materia de protección de datos.

Cuando SurveyMonkey procese Datos personales del Cliente para el Cliente como procesador, SurveyMonkey:

(a) Solo lo hará siguiendo las instrucciones documentadas del Cliente y de conformidad con la Ley de Protección de Datos, incluso en lo que respecta a las transferencias de Datos personales a otras jurisdicciones o a una organización internacional, y las partes aceptan que el Acuerdo constituye dichas instrucciones documentadas del Cliente a SurveyMonkey para el procesamiento de los Datos personales del Cliente (incluso a lugares fuera del EEE) junto con otras instrucciones razonables impartidas por el Cliente a SurveyMonkey (por ejemplo, por correo electrónico) cuando dichas instrucciones sean coherentes con el Acuerdo. 

(b) Se asegurará de que todo el personal de SurveyMonkey que participe en el procesamiento de los Datos personales del Cliente esté sujeto a obligaciones de confidencialidad con respecto a los datos personales.

(c) Pondrá a disposición la información necesaria para que el Cliente pueda demostrar el cumplimiento de sus obligaciones en virtud del Artículo 28 (o de otros requisitos similares que imponga la Ley de Protección de Datos, si es aplicable al Cliente) cuando dicha información esté en poder de SurveyMonkey y no esté disponible de otro modo para el Cliente a través de su cuenta y áreas de usuario, ni en los sitios web de SurveyMonkey, siempre que el Cliente notifique a SurveyMonkey por escrito de dicha solicitud de información con al menos 14 días de antelación.

(d) Cooperará en la medida en que el Cliente lo solicite razonablemente para permitirle cumplir con cualquier ejercicio de los derechos por parte de un Interesado que la Ley de Protección de Datos otorgue a los Interesados con respecto a los Datos personales procesados por SurveyMonkey en la prestación de los Servicios. 

(e) Brindará asistencia, cuando sea necesario, con las solicitudes recibidas directamente de un Interesado con respecto a los Datos personales de un Interesado enviadas a través de los Servicios.

(f) Una vez eliminados por ti, no conservará los Datos personales del Cliente en tu cuenta más que para cumplir con las leyes y los reglamentos aplicables, y según puedan conservarse en copias de seguridad de rutina realizadas con fines de recuperación ante catástrofes y continuidad del negocio, de acuerdo con nuestras políticas de conservación.

(g) Colaborará con cualquier autoridad de control o con cualquier organismo que la sustituya o suceda oportunamente (o, en la medida en que el Cliente lo requiera, con cualquier otro organismo regulador en materia de protección o privacidad de los datos en virtud de la Legislación sobre Protección de Datos) en la realización de las tareas de dicha autoridad de control cuando sea necesario.

(h) Ayudará al Cliente, en la medida en que sea razonablemente necesario, cuando el Cliente: 

(i) lleve a cabo una evaluación del impacto de la protección de datos que comprenda los Servicios (lo que puede incluir mediante el suministro de documentación para que el cliente realice su propia evaluación); o

(ii) deba notificar un Incidente de seguridad (tal como se define a continuación) a una autoridad de control o a un Interesado relevante.

(i) No venderá ni compartirá ninguna Información personal.

(j) No recopilará, retendrá, usará, divulgará ni procesará de ninguna otra manera la Información personal, salvo para los Fines comerciales o Fines de negocios que se detallan a continuación: (1) para prestar nuestros Servicios según se describe en el presente Acuerdo; (2) para mejorar nuestros servicios existentes y desarrollar nuevos servicios (por ejemplo, realizando investigaciones para el desarrollo de nuevos productos o funciones); (3) con fines operativos, tanto de nuestra empresa como de nuestros proveedores de servicios y socios de integraciones; (4) para garantizar la seguridad e integridad en la medida en que el uso de la información personal del Interesado sea necesario y proporcional para tales fines; (5) para depurar e identificar y reparar errores que puedan afectar la funcionalidad existente; (6) para hacer un uso transitorio a corto plazo; por ejemplo, para la personalización del contenido que nosotros o nuestros proveedores de servicios mostramos en los servicios; y (7) para otros usos que te notifiquemos como permitidos en virtud de la Ley de Protección de Datos.

(k) Se comprometerá a no retener, usar, combinar ni divulgar la Información personal recopilada en virtud del Acuerdo más allá de la relación comercial entre SurveyMonkey y el Cliente, salvo que se permita expresamente en la CCPA;  

(l) Cuando así lo exija la Ley de Protección de Datos, SurveyMonkey informará al Cliente si entrara en conocimiento de que alguna instrucción recibida del Cliente infringe las disposiciones de la Ley de Protección de Datos. No obstante lo anterior, SurveyMonkey no tendrá obligación alguna de controlar ni revisar la legalidad de las instrucciones recibidas del Cliente. Si SurveyMonkey determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA, deberá informárselo al Cliente. 

(m) SurveyMonkey certifica que entiende las restricciones y obligaciones establecidas en  este DPA  y en todas las leyes aplicables en materia de protección de datos, y se compromete a cumplir tales requisitos. 

6.1 Subprocesamiento. El Cliente otorga una autorización general a SurveyMonkey para contratar a subprocesadores subsiguientes, siempre que se cumplan los requisitos de esta Sección 6.

Lista de subprocesadores. Sujeto a las disposiciones de confidencialidad del Acuerdo o a las que pudiera imponer SurveyMonkey, SurveyMonkey realizará lo siguiente:

(a) Pondrá a disposición del Cliente una lista de los subcontratistas de SurveyMonkey que participan en el procesamiento o subprocesamiento de los Datos personales del Cliente en relación con la prestación de los Servicios (“Subprocesadores”), junto con una descripción de la naturaleza de los servicios prestados por cada Subprocesador (“Lista de Subprocesadores”). Se puede solicitar una copia de esta Lista de Subprocesadores aquí. 

(b) Se asegurará de que todos los Subprocesadores de la Lista de Subprocesadores estén sujetos a términos contractuales que, en todos los aspectos importantes, no sean menos onerosos que los contenidos en este DPA.

(c) Será responsable de los actos y las omisiones de sus Subprocesadores en la misma medida en que SurveyMonkey sería responsable si prestara los servicios de cada uno de esos Subprocesadores directamente en virtud de los términos del presente DPA, salvo que se establezca lo contrario en el Acuerdo. 

6.3 Subprocesadores nuevos/sustitutos.  SurveyMonkey notificará al Cliente por escrito de la incorporación de cualquier Subprocesador nuevo o del reemplazo de un Subprocesador existente en cualquier momento durante la vigencia del Acuerdo (“Notificación de subprocesador nuevo”). El Cliente se suscribirá a una lista de correo puesta a disposición por SurveyMonkey aquí, mediante la cual se entregarán dichas notificaciones por correo electrónico o, alternativamente, consultará las actualizaciones de la lista aquí. Si el Cliente tiene motivos razonables para oponerse al uso por parte de SurveyMonkey de un Subprocesador nuevo o sustituto, el Cliente notificará a SurveyMonkey sin demora y por escrito y, en cualquier caso, dentro de los 30 días siguientes a la recepción de la Notificación de subprocesador nuevo. En caso de que se produzca dicha objeción razonable, el Cliente o SurveyMonkey podrán rescindir la parte de cualquier Acuerdo relativa a los Servicios que no puedan prestarse razonablemente sin el nuevo Subprocesador objetado (lo que podrá implicar, a discreción y elección de SurveyMonkey, la rescisión de la totalidad del Acuerdo) con efecto inmediato mediante notificación por escrito a la otra parte. Dicha rescisión no generará ningún derecho de reembolso de los cargos pagados previamente por el Cliente durante el periodo posterior a la rescisión.

7.1 Medidas de seguridad. Teniendo en cuenta la última tecnología, el costo de implementación y la naturaleza, el alcance, el contexto y los objetivos de los Servicios y el nivel de riesgo, SurveyMonkey ha implementado medidas técnicas y organizativas apropiadas (de acuerdo con el Apéndice 1) para garantizar un nivel de seguridad adecuado frente el riesgo de procesamiento no autorizado o ilegal, o la pérdida accidental de los Datos del  Cliente , o el daño a estos. En intervalos razonables, SurveyMonkey pone a prueba y evalúa la efectividad de estas medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

7.2 Notificación de incidentes y violación de seguridad. Si SurveyMonkey toma conocimiento de cualquier consulta, adquisición, alteración, uso, divulgación o destrucción no autorizados o ilegales de los Datos personales del Cliente (“Incidente de seguridad”), SurveyMonkey adoptará medidas razonables para notificar al Cliente sin demora indebida. El Incidente de seguridad no incluye los intentos infructuosos o las actividades que no comprometan la seguridad de los datos personales, incluidos los intentos fallidos de inicio de sesión, los pings, los escaneos de puertos, los ataques de denegación de servicio u otros ataques de red a los cortafuegos o a los sistemas en red. La notificación de un Incidente de seguridad al Cliente no constituye una aceptación de responsabilidad por parte de SurveyMonkey.

7.3 Asimismo, SurveyMonkey cooperará razonablemente con el Cliente en cualquier investigación relacionada con un Incidente de seguridad para la preparación de cualquier notificación requerida, y proporcionará toda la información que el Cliente solicite razonablemente en relación con cualquier Incidente de seguridad. 

8.1 Auditorías. Cuando SurveyMonkey procese Datos personales del Cliente para el Cliente como procesador (solamente), el Cliente notificará a SurveyMonkey por escrito con al menos un mes de antelación de cualquier auditoría, que podrá ser realizada por el Cliente o por un auditor independiente designado por el Cliente (siempre que la persona que realiza la auditoría no sea un competidor de SurveyMonkey ni actúe en nombre de este competidor) (“Auditor”). Las auditorías tendrán el siguiente alcance:

(a) El Cliente solo tendrá derecho a realizar una auditoría una vez por año de suscripción, a menos que se encuentre de otro modo obligado legalmente o que un organismo regulador con autoridad suficiente sobre el Cliente le exija realizar o facilitar la realización de más de una auditoría el mismo año (en tales circunstancias, el Cliente y SurveyMonkey acordarán, antes de realizar dichas auditorías, una tarifa de reembolso razonable para los gastos de auditoría de SurveyMonkey).

(b) SurveyMonkey acuerda, sujeto a cualquier restricción de confidencialidad apropiada y razonable, proporcionar evidencia de cualquier certificación y estándar de cumplimiento que mantenga y, a pedido, pondrá a disposición del Cliente un resumen ejecutivo de las pruebas de penetración anuales más recientes de SurveyMonkey, que deberá incluir las medidas correctivas adoptadas por SurveyMonkey a raíz de tales  pruebas  de penetración.

(c) El alcance de la auditoría se limitará a los sistemas, los procesos y la documentación de SurveyMonkey relevantes para el procesamiento y la protección de los Datos personales del Cliente, y los Auditores realizarán auditorías con sujeción a las restricciones de confidencialidad apropiadas y razonables solicitadas por SurveyMonkey.

(d) El Cliente notificará a SurveyMonkey y le proporcionará de inmediato y de forma confidencial todos los detalles de cualquier incumplimiento o problema de seguridad detectados durante el desarrollo de una auditoría.

8.2 Las partes acuerdan que, a menos que una orden u otro dictamen vinculante de una autoridad de control u organismo regulador con suficiente autoridad sobre el Cliente exijan lo contrario, esta Sección 8 establece el alcance completo de los derechos de auditoría del Cliente frente a SurveyMonkey.

9.1 En la medida en que corresponda, para las transferencias de Datos personales del Cliente desde el  Espacio Económico Europeo (“EEE”), Suiza o el Reino Unido a lugares fuera del EEE, de Suiza y del Reino Unido (ya sea directamente o mediante una transferencia posterior) que no cuenten con normas adecuadas de protección de datos según las disposiciones de la Comisión Europea o la Ley de Protección de Datos pertinente, SurveyMonkey adhiere a lo siguiente:

(a) las SCC; y

(b) para las transferencias sujetas al RGPD del Reino Unido, la Adenda del Reino Unido; o

(c) otras salvaguardias apropiadas o derogaciones (en la medida en que sean apropiadas), especificadas o permitidas por la Ley de Protección de Datos. 

9.2 En caso necesario, por el presente, las partes suscriben las SCC (se puede acceder a una copia aquí) y la Adenda del Reino Unido (Apéndice 3). Las SCC se incorporan al presente Acuerdo por referencia y se aplicarán de la siguiente manera: 

(a) cuando el Cliente celebra un contrato con SurveyMonkey Inc. en los Estados Unidos en virtud del Acuerdo de Servicios y es controlador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales del Cliente desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, SurveyMonkey celebra las SCC como importador de datos y el Cliente celebra las SCC como exportador de datos, y se aplicará únicamente el Módulo dos de las SCC; o

(b) cuando el Cliente celebra un contrato con SurveyMonkey Inc. en los Estados Unidos en virtud del Acuerdo de Servicios y es procesador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales del Cliente desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, SurveyMonkey celebra las SCC como importador de datos y el Cliente celebra las SCC como exportador de datos, y se aplicará únicamente el Módulo tres de las SCC; o

(c) cuando el Cliente no es residente del EEE y celebra un contrato con SurveyMonkey Europe UC para el almacenamiento de Datos personales del Cliente dentro del EEE en virtud del Acuerdo, es controlador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, SurveyMonkey celebra las SCC como exportador de datos y el Cliente celebra las SCC como importador de datos, y se aplicará únicamente el Módulo cuatro de las SCC; y

(d) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;

(e) en la Cláusula 11, no se aplicará el texto opcional;

(f) en la Cláusula 17, las SCC se regirán por las leyes irlandesas;

(g) en la Cláusula 18, las controversias se resolverán ante los tribunales de Irlanda; y

(h) los Anexos I y II de las SCC se considerarán completados con la información indicada en el Acuerdo y los datos proporcionados en los Apéndices de este DPA.

9.3 Para transferencias protegidas por la FADP/nFADP, las SCC se implementarán de conformidad con la Sección 9.2 anterior, excepto por lo siguiente: 

(a) cualquier referencia en las SCC al RGPD se interpretará como una referencia a la FADP/nFADP;  

(b) cualquier referencia a “UE”, “Unión” y “leyes de los estados miembros” se interpretará como una referencia a Suiza y la ley suiza; y  

(c) cualquier referencia a “autoridad de control competente” o “tribunales competentes” se interpretará como una referencia a la autoridad y los tribunales de protección de datos pertinentes en Suiza, a menos que las SCC, implementadas como se describe anteriormente, no puedan utilizarse para transferir legalmente dichos Datos personales del Cliente conforme a la FADP/nFADP, en cuyo caso las SCC suizas deberán incorporarse a modo de referencia y formarán parte integral de este DPA, y se aplicarán a dichas transferencias. Para los propósitos de las SCC suizas, los Anexos relevantes de las SCC suizas se completarán con la información incluida en los Apéndices I y II de este DPA (cuando proceda) y se implementarán las disposiciones interpretativas establecidas en esta Sección 9.3 (según corresponda y según se requiera a los fines de cumplir con la FADP/nFADP).

9.4 Previa solicitud por escrito y de conformidad con las disposiciones de las Cláusulas contractuales tipo o de la Adenda del Reino Unido (según corresponda), SurveyMonkey proporcionará al Cliente copias de las Cláusulas contractuales tipo o de la Adenda del Reino Unido que haya suscrito con los importadores de datos en su calidad de procesador.

10.1 Responsabilidad por el procesamiento de datos. La responsabilidad total de cada una de las partes en relación con todas las reclamaciones, ya sean contractuales, extracontractuales (incluida la negligencia), de incumplimiento de obligaciones legales o de otro tipo, que se deriven de este DPA o estén relacionadas con él, será la que se establece en el Acuerdo, salvo que las partes acuerden lo contrario por escrito.

10.2 Discrepancia. En caso de discrepancia o ambigüedad entre: (i) los términos del presente DPA y los términos del Acuerdo, con respecto al objeto del presente DPA, prevalecerán los términos del presente DPA ; (ii) los términos de cualquier disposición contenida en el presente DPA y cualquier disposición contenida en las Cláusulas contractuales tipo, prevalecerá la disposición de las Cláusulas contractuales tipo.

10.3 Procesamiento independientes. El Cliente sigue siendo exclusivamente responsable de su propio cumplimiento de la Ley de Protección de Datos con respecto a cualquier recopilación y procesamiento independiente de datos personales no relacionados con los Servicios. El Cliente debe proporcionar sus propios avisos de privacidad claros y visibles, que describan con precisión cómo lo hace , y SurveyMonkey no será responsable de ningún tratamiento de datos personales por parte del Cliente en dichas circunstancias. Por el presente, el Cliente exime a SurveyMonkey por completo de cualquier reclamación o responsabilidad que surja como consecuencia de dicha recopilación y uso de datos personales por su parte en esas circunstancias.

10.4 Acuerdo completo El Acuerdo (que incorpora este DPA) y cualquier Formulario de pedido representan la totalidad del acuerdo celebrado entre las partes y sustituyen cualquier otro acuerdo o términos y condiciones anteriores o actuales, escritos u orales, relativos a su objeto. Cada una de las partes confirma que no se ha basado en ninguna declaración no registrada en el Acuerdo que la indujera a celebrarlo.

10.5 Divisibilidad de las cláusulas Si un tribunal de jurisdicción competente determinara que alguna disposición de este DPA fuera inexigible, tal disposición quedará invalidada y el resto de los términos permanecerán en plena vigencia. Ninguna disposición del presente DPA tiene por objeto establecer una asociación o empresa conjunta entre cualquiera de las partes, ni autorizar a alguna de ellas a contraer un compromiso en nombre o representación de la contraparte, salvo que se estipule expresamente lo contrario en el presente.

10.6 Copia electrónica. El DPA se entrega como documento electrónico.

10.7 Legislación aplicable. El presente DPA se regirá por las leyes de Irlanda y las partes se someten a la jurisdicción exclusiva de los tribunales irlandeses (en relación con todas las controversias contractuales y extracontractuales), excepto en el caso de cualquier incumplimiento o presunto incumplimiento de las leyes de privacidad, los reglamentos, las normas, las directrices reglamentarias y las directrices de autorregulación, presentes o futuros, a nivel estatal o federal en Estados Unidos de América, en cuyo caso regirán las leyes del estado de California, a menos que la ley disponga lo contrario.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por SurveyMonkey 

SurveyMonkey mantendrá salvaguardias administrativas, físicas y técnicas adecuadas (“Salvaguardias de seguridad”) para proteger la seguridad, confidencialidad e integridad de los datos personales que se le faciliten para la prestación de los Servicios al Cliente. 

Las Salvaguardias de seguridad incluyen las siguientes: 

(a) Dominio: Organización de la seguridad de la información.

(i) Funciones y responsabilidades de seguridad. El personal de SurveyMonkey con acceso a los datos está sujeto a obligaciones de confidencialidad.

(ii) Programa de gestión de riesgos. Cuando corresponde, SurveyMonkey realiza una evaluación de riesgos antes de procesar los datos.

(b) Dominio: Gestión de activos

(i) Manejo de activos.

(1) SurveyMonkey cuenta con procedimientos para la eliminación de materiales impresos que contengan Datos del Cliente.

(2) SurveyMonkey lleva un inventario del hardware donde se almacenan los Datos del Cliente.

(c) Dominio: Seguridad de los recursos humanos.

(i) Capacitación sobre seguridad.

(1) SurveyMonkey informa a su personal sobre los procedimientos de seguridad pertinentes y sus respectivas funciones. SurveyMonkey también informa a su personal de las posibles consecuencias de infringir las normas y los procedimientos de seguridad.

(d) Dominio: Seguridad física y del entorno.

(i) Acceso físico a las instalaciones. SurveyMonkey limita el acceso a las instalaciones en las que se encuentran los sistemas de información que procesan los Datos del Cliente a las personas autorizadas identificadas.

(ii) Protección frente a interrupciones. SurveyMonkey utiliza diversos sistemas estándares de la industria para evitar la pérdida de datos debido a un fallo en el suministro eléctrico o a interferencias en la línea.

(iii) Eliminación de componentes. SurveyMonkey utiliza procesos estándares de la industria para eliminar los Datos del Cliente cuando ya no son necesarios.

(e) Dominio: Gestión de comunicaciones y operaciones. 

(i) Política operativa. SurveyMonkey conserva documentos de seguridad donde se describen sus medidas de seguridad y los procedimientos y responsabilidades pertinentes de su personal que tiene acceso a los  Datos del Cliente. 

(ii) Procedimientos de recuperación de datos. 

(1) De forma regular y continua, SurveyMonkey crea copias de seguridad de los Datos del Cliente a partir de las cuales se pueden recuperar los Datos del Cliente en caso de pérdida de la copia principal. 

(2) SurveyMonkey almacena las copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar diferente de donde se encuentra el equipo informático principal que procesa los Datos del Cliente. 

(3) SurveyMonkey cuenta con procedimientos específicos que regulan el acceso a las copias de los Datos del Cliente. 

(iii) Software malicioso. SurveyMonkey cuenta con controles contra malware para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente, incluido el software malicioso que se origina en las redes públicas.

(iv) Datos más allá de las fronteras. 

(1) SurveyMonkey cifra los Datos del Cliente que se transmiten a través de redes públicas. 

(v) Registro de eventos.

(1) SurveyMonkey registra el uso de sus sistemas de procesamiento de datos. 

(2) SurveyMonkey registra el acceso a los sistemas de información que contienen Datos del Cliente, al igual que su uso, mediante el registro de la id. de acceso, la marca de tiempo y determinada actividad relevante.

(f) Dominio: Gestión de incidentes de seguridad de la información

(i) Proceso de respuesta a incidentes. 

(1) SurveyMonkey cuenta con un plan de respuesta ante incidentes.  

(2) SurveyMonkey lleva un registro de las violaciones de la seguridad que incluye una descripción de la violación, el período, las consecuencias de la violación, el nombre del denunciante y a quién se informó de la violación, al igual que las medidas correctivas, en caso de corresponder.

(g) Dominio: Gestión de la continuidad del negocio.

(i) El almacenamiento redundante de SurveyMonkey y sus procedimientos de recuperación de datos están diseñados para intentar reconstruir los Datos del Cliente en su estado original anterior al momento en que se perdieron o destruyeron.   

(h) Control de acceso a las áreas de procesamiento.  Los procesos para evitar que personas no autorizadas accedan a los equipos de procesamiento de datos (en concreto, teléfonos, servidores de bases de datos y aplicaciones y hardware relacionado) donde se procesan o utilizan los Datos personales del Cliente deben incluir: 

(i) Establecimiento de áreas seguras. 

(ii) Protección y restricción de las vías de acceso.

(iii) Protección de los teléfonos móviles/celulares.   

(iv) Equipos de procesamiento de datos y computadoras personales.

(v) Todos los accesos a los centros de datos donde se alojan los Datos personales del Cliente se registran, supervisan y rastrean.  

(vi) Los centros de datos donde se alojan los Datos personales del Cliente están protegidos por un sistema de alarma de seguridad y otras medidas de seguridad adecuadas. 

(vii) Las instalaciones están diseñadas para soportar condiciones meteorológicas adversas y otros fenómenos naturales razonablemente predecibles, están protegidas por guardias las 24 horas del día, control de acceso con tarjeta o biométrico (según el nivel de riesgo), y acceso controlado con escolta, y también cuentan con generadores de respaldo in situ en caso de que se produzca un fallo en el suministro eléctrico.

(i) Control de acceso a los sistemas de procesamiento de datos. Los procesos para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas deben incluir:  

(i) Identificación del terminal o del usuario del terminal a los sistemas de procesamiento de datos. 

(ii) Desconexión automática después de 30 minutos o menos del terminal del usuario si se deja inactivo, y debe requerirse la identificación y la contraseña para volver a abrirlo.

(iii) Emisión y salvaguarda de los códigos de identificación. 

(iv) Requisitos de complejidad de las contraseñas (longitud mínima, caducidad de las contraseñas, etc.). 

(v) Protección contra el acceso externo mediante un cortafuegos estándar de la industria.  

(j) Control de acceso para utilizar áreas específicas de los sistemas de procesamiento de datos. Las medidas para garantizar que las personas autorizadas a utilizar los sistemas de procesamiento de datos solo puedan acceder a los datos dentro del ámbito y en la medida en que lo contemple su respectivo permiso (autorización) de acceso, y que no se puedan leer, copiar, modificar ni eliminar sin autorización los Datos personales del Cliente deben incluir lo siguiente:

(i) Implementación de políticas vinculantes para los empleados y capacitación sobre los derechos de acceso de cada empleado a los Datos personales del Cliente.

(ii) Medidas disciplinarias efectivas y evaluadas contra las personas que accedan a los Datos personales del Cliente sin autorización. 

(iii) Divulgación de los datos solo a las personas autorizadas. 

(iv) Aplicación de los principios de acceso menos privilegiado a la información que contiene Datos personales del Cliente, estrictamente sobre la base de los requisitos de “necesidad de saber”.

(v) Gestión del acceso a la red de producción y a los datos mediante VPN, autenticación de dos factores y controles de acceso basados en la función.

(vi) La información de registro de los sistemas de aplicaciones e infraestructura a una instalación de registro gestionada de forma centralizada para la resolución de problemas, las revisiones de seguridad y los análisis. 

(vii) Políticas para controlar la conservación de las copias de seguridad que se ajusten a la legislación aplicable y que sean adecuadas según la naturaleza de los datos en cuestión y el riesgo correspondiente.

(k) Control de la transmisión. Los procedimientos para evitar que los Datos personales del Cliente sean leídos, copiados, alterados o eliminados por personas no autorizadas durante su transmisión o durante el transporte de los soportes de datos, y para garantizar que sea posible comprobar y establecer a qué organismos está prevista la transferencia de los Datos personales del Cliente mediante instalaciones de transmisión de datos deben incluir: 

(i) Uso de cortafuegos y tecnologías de cifrado para proteger las puertas de enlace y canalizaciones por las que viajan los datos.

(ii) Implementación de conexiones de VPN para salvaguardar la conexión a la red corporativa interna.

(iii) Supervisión constante de la infraestructura (por ejemplo, ICMP-ping a nivel de red, análisis del espacio en disco a nivel de sistema, entrega satisfactoria de páginas de prueba especificadas a nivel de la aplicación).

(iv) Supervisión para comprobar que la transferencia de datos sea completa y correcta (comprobación de extremo a extremo). 

(l) Control del almacenamiento. Cuando se almacenen Datos personales del Cliente: se realizará una copia de seguridad como parte de los procesos previstos de copia de seguridad y recuperación en forma cifrada, utilizando una solución de cifrado con soporte comercial, y todos los datos definidos como Datos personales del Cliente almacenados en cualquier dispositivo informático portátil  o laptop, o cualquier medio de almacenamiento portátil estarán cifrados de la misma manera. Las soluciones de cifrado se desplegarán con una clave de no menos de 128 bits para el cifrado simétrico y una extensión de clave de 1024 bits (o más) para el cifrado asimétrico.

(m) Control de entrada. Las medidas para garantizar que es posible comprobar y establecer si los Datos personales del Cliente se han introducido en los sistemas de procesamiento de datos o se han eliminado, y quién lo ha hecho, deben incluir:

(i) Autenticación del personal autorizado.

(ii) Medidas de protección para la introducción de datos en la memoria, así como para la lectura, alteración y eliminación de los datos almacenados.

(iii) Utilización de códigos de usuario (contraseñas).

(iv) Establecimiento de prueba dentro de la organización del importador de datos de la autorización de entrada.

(v) Garantía de que las puertas de acceso a las instalaciones de procesamiento de datos (las salas donde se encuentran el hardware informático y el equipo relacionado) están cerradas con llave.

(n) Control de disponibilidad. Las medidas para garantizar que los Datos personales del Cliente están protegidos de la destrucción o pérdida accidentales deben incluir la redundancia de la infraestructura y copias de seguridad periódicas realizadas en los servidores de bases de datos. 

(o) Segregación del procesamiento. Los procedimientos para garantizar que los datos recopilados para diferentes fines puedan procesarse por separado deben incluir:

(i) Separar los datos mediante la seguridad de la aplicación para los usuarios adecuados.

(ii) Almacenar los datos, a nivel de la base de datos, en tablas diferentes, separadas por el módulo o la función que admiten.

(iii) Diseñar las interfaces, los procesos por lotes y los informes solo para fines y funciones específicos, de modo que los datos recopilados para fines específicos se procesen por separado.

(iv) Impedir que los datos reales se utilicen con fines de prueba, ya que solo pueden utilizarse para ello los datos ficticios generados con ese fin.

(p) Programa de gestión de la vulnerabilidad. El programa que garantice la comprobación periódica de los sistemas para identificar vulnerabilidades y la corrección inmediata de aquellas detectadas debe incluir:

(i) Escaneo periódico de todas las redes, incluidos los entornos de prueba y de producción.

(ii) Realización periódica de pruebas de penetración y rápida subsanación de las vulnerabilidades.

(q) Destrucción de datos. En caso de vencimiento o rescisión del Acuerdo por cualquiera de las partes o, de otro modo, a pedido del Cliente tras la recepción de una solicitud de un sujeto de datos o de un organismo regulador: 

(i) Todos los datos del Cliente se destruirán de forma segura en un plazo de 3 meses.

(ii) Todos los datos del Cliente se purgarán de todos los dispositivos de almacenamiento de SurveyMonkey o de terceros, incluidas las copias de seguridad, en un plazo de 6 meses a partir de la rescisión o de la recepción de una solicitud del Cliente, a menos que la ley exija a SurveyMonkey que conserve una categoría de datos durante más tiempo. SurveyMonkey se asegurará de que todos los datos que ya no sean necesarios se destruyan hasta tal punto que se pueda garantizar que ya no son recuperables.

(r) Estándares y certificaciones. Las ubicaciones o soluciones de almacenamiento de datos tienen, como mínimo, informes SOC 1 (SSAE 16) o SOC 2; las certificaciones o los niveles de seguridad equivalentes o similares se analizarán caso por caso.

Propósitos y naturaleza del procesamiento de datos personales, categorías de datos personales, Interesados 

ANEXOS DE LAS CLÁUSULAS CONTRACTUALES TIPO

ANEXO I:

A. LISTA DE LAS PARTES

MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferencia de procesador a procesador

MÓDULO CUATRO: Transferencia de procesador a controlador

Exportador(es) de datos: según se indica en el Acuerdo

Nombre, cargo y datos de contacto de la persona de contacto: según se indica en el Acuerdo

Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: según se indica en el Apéndice 2 del DPA

Importador(es) de datos: según se indica en el Acuerdo

Nombre: según se indica en el Acuerdo

Nombre, cargo y datos de contacto de la persona de contacto: según se indica en el Acuerdo

Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: según se indica en el Apéndice 2 del DPA

B. DESCRIPCIÓN DE LA TRANSFERENCIA

MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferencia de procesador a procesador

MÓDULO CUATRO: Transferencia de procesador a controlador

Categorías de interesados cuyos datos personales se transfieren: según se indica en el Apéndice 2 del DPA

Categorías de datos personales transferidos: según se indica en el Apéndice 2 del DPA

Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos asociados, por ejemplo, limitación estricta de la finalidad, restricciones de acceso (incluido el acceso solo para el personal que ha realizado una capacitación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias posteriores o medidas de seguridad adicionales: según se indica en los Apéndices 1 y 2 del DPA

La frecuencia de la transferencia (p. ej., si los datos se transfieren por única vez o de forma continua): por única y de forma continua (según el uso de los Servicios)

Naturaleza del procesamiento: según se indica en el Apéndice 2 del DPA

Propósito(s) de la transferencia de datos y procesamiento posterior: según se indica en el Apéndice 2 del DPA

Período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período: según se indica en el Acuerdo y según se indica aquí

Para las transferencias a (sub)procesadores, especificar también el objeto, la naturaleza y la duración del Procesamiento: El Cliente ha autorizado el uso de los siguientes subprocesadores: consulta aquí.

C. AUTORIDAD DE CONTROL COMPETENTE

Identificar la(s) autoridad(es) de control competente(s) de acuerdo con la Cláusula 13: Irlanda

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS SEGÚN SE INDICA EN EL APÉNDICE 1 DEL DPA

ANEXO III: LISTA DE SUBPROCESADORES

MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferencia de procesador a procesador

MÓDULO CUATRO: Transferencia de procesador a controlador. El Cliente ha autorizado el uso de los siguientes subprocesadores: consulta aquí.

ADENDA DEL REINO UNIDO 

1. En relación con las transferencias de datos sujetas al RGPD del Reino Unido, por el presente, las partes suscriben la Adenda del Reino Unido (se puede acceder a una copia aquí), y la Adenda del Reino Unido se incorpora al presente Acuerdo por referencia. Para las transferencias de datos sujetas al RGPD del Reino Unido, cualquier referencia a “autoridad de control competente” y “tribunales competentes” se interpretará como una referencia a la autoridad y los tribunales de protección de datos pertinentes en el Reino Unido. 

2. Las partes acuerdan que el formato y el contenido de las tablas de la Parte 1 de la Adenda del Reino Unido se modificarán y sustituirán por la siguiente tabla.

3. En caso de discrepancia o incoherencia entre el presente Acuerdo y la Adenda del Reino Unido, la Adenda del Reino Unido regirá y tendrá prioridad en lo que respecta a dicha discrepancia o incoherencia.