Productos

SurveyMonkey está para apoyarte. Explora nuestro producto y descubre todo lo que tenemos para ti.

Obtén percepciones basadas en datos con un líder en encuestas.

Más de 100 integraciones para aumentar la productividad.

Crea formularios online para recabar información y recibir pagos.

Mejora tus encuestas y detecta percepciones más rápido con la IA.

Soluciones especializadas para satisfacer todas tus necesidades.

Plantillas

Mide la satisfacción de los clientes y su lealtad hacia tu negocio.

Conoce qué hace felices a los clientes y conviértelos en defensores de tu marca.

Obtén datos precisos para mejorar la experiencia de los usuarios.

Recopila información de contacto de clientes potenciales, invitados, etc.

Mantén el control de tu evento confirmando quiénes asistirán.

Descubre qué les gusta a los asistentes y mejora tu próximo evento.

Descubre percepciones para mejorar su nivel de compromiso y sus resultados.

Pide la opinión de los asistentes y organiza mejores reuniones.

Usa la retroalimentación entre compañeros para mejorar el desempeño.

Crea mejores cursos y perfecciona métodos de enseñanza.

Averigua qué opinan los estudiantes de los diversos aspectos de los cursos.

Descubre qué opinan los clientes sobre tus nuevas ideas de productos.

Recursos

Consejos para hacer encuestas y usar los datos.

Nuestro blog sobre encuestas, consejos para empresas y más.

Tutoriales y guías prácticas para usar SurveyMonkey.

Las mejores marcas impulsan su crecimiento con SurveyMonkey.

Contacta a VentasIniciar sesión
Contacta a VentasIniciar sesión

63% of people consider a company's privacy and security history before using their products or services.

Legal sidebar stats

Descarga una copia del DPA para clientes de SurveyMonkey aquí.

Cláusulas contractuales tipo

Hemos redactado este DPA de manera que incluya todas las configuraciones de SCC posibles. No todas corresponden a tu caso. Para mayor claridad:  

  • Si eres cliente de la UE o del Reino Unido, no necesitas ninguna SCC, ya que tu contrato es con la entidad irlandesa de SurveyMonkey, y no se necesitan SCC entre entidades de la UE o el Reino Unido.
  • Si eres cliente de EE. UU. y te consideras controlador de datos, se aplica la Sección 9.2(a). Tú eres controlador y exportador, y SurveyMonkey es procesador e importador. A tu contrato le corresponde el Módulo 2 de las SCC. 
  • Si eres cliente de EE. UU. y te consideras controlador de datos, se aplica la Sección 9.2(a). Tú eres controlador y exportador, y SurveyMonkey es procesador e importador. A tu contrato le corresponde el Módulo 2 de las SCC. 
  • Si no te encuentras en EE. UU., la UE o el Reino Unido, pero decides usar nuestro almacenamiento de datos de la UE, se aplica la Sección 9.2(c). Tú eres controlador y exportador, y SurveyMonkey es procesador e importador. A tu contrato le corresponde el Módulo 2 de las SCC. 
  • Si no te encuentras en los EE. UU., la UE o el Reino Unido y no usas nuestro almacenamiento de datos de la UE, no necesitas SCC ya que los datos personales se transfieren a SurveyMonkey Europe UC (con sede en Irlanda). No se necesita ningún mecanismo de transferencia para las transferencias a la UE.

Este Acuerdo de procesamiento de datos (“DPA”) de SurveyMonkey  forma parte de tu Acuerdo con SurveyMonkey y contiene ciertos términos que se relacionan con la protección, la privacidad y la seguridad de los datos de conformidad con la Ley de Protección de Datos, cuando corresponda. En el caso de que (y solo en la medida en que) exista una discrepancia entre el RGPD y la CCPA, las partes cumplirán con el requisito más oneroso o el estándar más estricto que, en caso de controversia al respecto, será determinado únicamente por SurveyMonkey. 

El presente DPA  se  celebra entre el Cliente y la entidad de SurveyMonkey correspondiente, que se determina de la siguiente manera: 

(i) En el caso de los Clientes ubicados en cualquier país que no sea Estados Unidos, SurveyMonkey Europe UC será la  entidad contratante.

(ii)  En el caso de los Clientes ubicados en Estados Unidos, SurveyMonkey Inc. será la entidad contratante. 

Esta es la última versión del DPA (con fecha del 15 de febrero de 2024). 

Salvo que el contexto exija lo contrario, en el presente DPA las siguientes expresiones tendrán el significado que se indica a continuación : 

“Acuerdo” significa cualquier acuerdo celebrado entre SurveyMonkey Inc. o SurveyMonkey Europe y un cliente en relación con los Servicios. Dicho acuerdo podrá tener diferentes denominaciones, como “Formulario de pedido”, “Orden de venta”, “Términos de uso” o Contrato maestro de servicios”. 

Artículo 28” se refiere al artículo 28 del RGPD y del RGPD del Reino Unido, según se aplique al procesamiento de los Datos personales del Cliente.  

Cliente” o “” significa el cliente que se identifica en el Acuerdo o que es parte de este. 

Datos del Cliente” se refiere a todos los datos (incluidos, entre otros, los Datos personales del Cliente) que son proporcionados a SurveyMonkey por el Cliente, o en su nombre, a través del uso de los Servicios por parte del Cliente, así como cualquier dato que terceros envíen al Cliente a través de los Servicios. 

Datos personales del Cliente” se refiere a todos los Datos personales que son enviados a los Servicios por el Cliente o para el Cliente, procesados por SurveyMonkey a los efectos de la prestación de los Servicios al Cliente, incluidos, entre otros, los datos personales establecidos en el Apéndice 2 de este DPA. 

Legislación sobre protección de datos” se refiere a todas las leyes sobre privacidad y protección de datos obligatorias directamente aplicables a SurveyMonkey en su carácter de procesador o proveedor de servicios (sea cual sea el caso) en relación con el procesamiento de Datos personales en virtud del Acuerdo, e incluye: 
(i) el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)("RGPD") y todas las demás leyes o reglamentos aplicables de la UE, el EEE o los estados miembros del mercado único europeo, o cualquier actualización, enmienda o sustitución de estos que se aplique al procesamiento de datos personales en virtud del Acuerdo;

(ii) la nueva Ley Federal de Suiza sobre Protección de Datos (“nFADP ”);

(iii) todas las leyes y los reglamentos de EE. UU. que se apliquen al procesamiento de datos personales en virtud del Acuerdo, incluida , sin carácter restrictivo , la Ley de Privacidad del Consumidor de California de 2018 (Código Civil de California §§ 1798.100-1798.199) (“CCPA”); 

(iv) todas las leyes y regulaciones que se apliquen al procesamiento de datos personales en virtud del Acuerdo oportunamente en vigor en el Reino Unido (incluido el RGPD del Reino Unido); y

(v) la Ley de Protección de Datos Personales y Documentos Electrónicos (“PIPEDA”), o cualquier actualización, enmienda o sustitución de esta que se aplique al procesamiento de datos personales en Canadá.

Los términos “controlador”, “evaluación de impacto de la protección de datos”, “proceso”, “procesamiento”, “procesador” y “autoridad de control” tienen el mismo significado que en el RGPD o el RGPD del Reino Unido.

Los términos en inglés equivalentes a “Negocio”, “Fines de negocio”, “Fines comerciales”, “Información personal”, “Proveedor de servicios”, “Vender” y “Compartir” tendrán el mismo significado definido en la CCPA. 

SurveyMonkey” o “nosotros” significa, en el caso de los Clientes que se encuentran en Estados Unidos, SurveyMonkey Inc., y en el caso de los clientes que se encuentran fuera de Estados Unidos, SurveyMonkey Europe. 

SurveyMonkey Europe” significa SurveyMonkey Europe UC, empresa irlandesa, con sede en 2 Shelbourne Buildings, Second Floor,  Shelbourne Road, Dublín 4, Irlanda. 

SurveyMonkey Inc.” significa SurveyMonkey Inc., sociedad de Delaware, con sede en One Curiosity Way, San Mateo, CA 94403, Estados Unidos.  

Aviso de privacidad de SurveyMonkey” significa el Aviso de privacidad de SurveyMonkey disponible en https://es.surveymonkey.com/mp/legal/privacy/.qs

Datos personales” se refiere a la información relativa a una persona viva que es, o puede ser, razonablemente identificada a partir de la información, ya sea sola o junto con otra información (un “Interesado”).

Servicios” significa los servicios solicitados por el Cliente a SurveyMonkey en virtud del Acuerdo. 

SCC” se refiere a las “Cláusulas contractuales tipo” anexas a la Decisión de la Comisión Europea del: i) 4 de junio de 2021 sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el RGPD o ii) (hasta el momento en que SurveyMonkey suscriba las Cláusulas contractuales tipo indicadas en el punto i)), 5 de febrero de 2010 para la Transferencia de Datos personales del Cliente a Procesadores establecidos en Terceros países en virtud de la Directiva 95/46/CE. Cuando aplique la nFADP, todas las referencias a las SCC se interpretarán como referencias correspondientes a la nFADP. Por lo tanto, todos los términos utilizados en este contexto recibirán la definición que se les asigna en la nFADP.

Adenda del Reino Unido” se refiere a (i) la plantilla de adenda emitida por la Oficina del Comisionado de Información del Reino Unido y presentada ante el Parlamento del Reino Unido de conformidad con la sección 119A de la Ley de Protección de Datos del Reino Unido de 2018 el 2 de febrero de 2022, con las modificaciones oportunas introducidas por la Sección 18 de las Cláusulas Obligatorias. Cuando la plantilla de adenda a la que se hace referencia en esta definición significa el documento titulado: Adenda de Transferencia Internacional de Datos de las Cláusulas contractuales tipo de la Comisión de la UE, versión B1.0, en vigor desde el 21 de marzo de 2022; o (ii) (hasta el momento en que SurveyMonkey suscriba la Adenda del Reino Unido indicada en el punto i), la Decisión de la Comisión Europea del 5 de febrero de 2010 para la transferencia de datos personales a procesadores establecidos en terceros países en virtud de la Directiva 95/46/CE.

RGPD del Reino Unido” se refiere al RGPD de la UE que forma parte de las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Sección 3 de la Ley (sobre la retirada) de la Unión Europea de 2018 y modificada por los Reglamentos en materia de Protección de Datos, Privacidad y Comunicaciones Electrónicas (enmiendas, etc.) (salida de la UE) de 2019 y 2020, respectivamente, y toda legislación vigente en el Reino Unido que posteriormente modifique o sustituya el RGPD del Reino Unido.

En la prestación de los Servicios al Cliente, SurveyMonkey es un procesador de Datos personales del Cliente a los efectos del RGPD. En lo que respecta a la CCPA, según corresponda, SurveyMonkey y el Cliente acuerdan, por el presente, que SurveyMonkey es un “Proveedor de servicios” y el Cliente es la “Empresa” con respecto a la Información personal.

El presente DPA permanecerá en vigor hasta el momento en que se produzca la rescisión (en virtud de sus términos) o la extinción del Acuerdo.

Por el presente, el Cliente garantiza y manifiesta que tiene derecho a transferir los Datos del Cliente a SurveyMonkey, de modo que SurveyMonkey pueda procesar y transferir legalmente los Datos personales de acuerdo con este DPA. El Cliente se asegurará de que se haya informado a todos los interesados pertinentes de dicho uso, procesamiento y transferencia, tal y como exige la Ley de Protección de Datos, y de que se hayan obtenido los consentimientos legales (cuando proceda). El Cliente se asegurará de que los Datos personales se procesen o transfieran a SurveyMonkey de forma legal y adecuada. El Cliente deberá cumplir con toda las leyes aplicables en materia de protección de datos.

Cuando SurveyMonkey procese Datos personales del Cliente para el Cliente como procesador, SurveyMonkey:

(a) Solo lo hará siguiendo las instrucciones documentadas del Cliente y de conformidad con la Ley de Protección de Datos, incluso en lo que respecta a las transferencias de Datos personales a otras jurisdicciones o a una organización internacional, y las partes aceptan que el Acuerdo constituye dichas instrucciones documentadas del Cliente a SurveyMonkey para el procesamiento de los Datos personales del Cliente (incluso a lugares fuera del EEE) junto con otras instrucciones razonables impartidas por el Cliente a SurveyMonkey (por ejemplo, por correo electrónico) cuando dichas instrucciones sean coherentes con el Acuerdo. 

(b) Se asegurará de que todo el personal de SurveyMonkey que participe en el procesamiento de los Datos personales del Cliente esté sujeto a obligaciones de confidencialidad con respecto a los datos personales.

(c) Pondrá a disposición la información necesaria para que el Cliente pueda demostrar el cumplimiento de sus obligaciones en virtud del Artículo 28 (o de otros requisitos similares que imponga la Ley de Protección de Datos, si es aplicable al Cliente) cuando dicha información esté en poder de SurveyMonkey y no esté disponible de otro modo para el Cliente a través de su cuenta y áreas de usuario, ni en los sitios web de SurveyMonkey, siempre que el Cliente notifique a SurveyMonkey por escrito de dicha solicitud de información con al menos 14 días de antelación.

(d) Cooperará en la medida en que el Cliente lo solicite razonablemente para permitirle cumplir con cualquier ejercicio de los derechos por parte de un Interesado que la Ley de Protección de Datos otorgue a los Interesados con respecto a los Datos personales procesados por SurveyMonkey en la prestación de los Servicios. 

(e) brindará asistencia, cuando así lo requiera el Cliente, con las solicitudes recibidas directamente de un Interesado con respecto a los Datos personales de un Interesado enviadas a través de los Servicios;

(f) Una vez eliminados por ti, no conservará los Datos personales del Cliente en tu cuenta más que para cumplir con las leyes y los reglamentos aplicables, y según puedan conservarse en copias de seguridad de rutina realizadas con fines de recuperación ante catástrofes y continuidad del negocio, de acuerdo con nuestras políticas de conservación.

(g) Colaborará con cualquier autoridad de control o con cualquier organismo que la sustituya o suceda oportunamente (o, en la medida en que el Cliente lo requiera, con cualquier otro organismo regulador en materia de protección o privacidad de los datos en virtud de la Legislación sobre Protección de Datos) en la realización de las tareas de dicha autoridad de control cuando sea necesario.

(h) Ayudará al Cliente, en la medida en que sea razonablemente necesario, cuando el Cliente: 

(i) lleve a cabo una evaluación del impacto de la protección de datos que comprenda los Servicios (lo que puede incluir mediante el suministro de documentación para que el cliente realice su propia evaluación); o

(ii) deba notificar un Incidente de seguridad (tal como se define a continuación) a una autoridad de control o a un Interesado relevante.

(i) No venderá ni compartirá ninguna Información personal.

(j) No recopilará, retendrá, usará, divulgará ni procesará de ninguna otra manera la Información personal, salvo para los Fines comerciales o Fines de negocios que se detallan a continuación: (1) para prestar nuestros Servicios según se describe en el presente Acuerdo; (2) para mejorar nuestros servicios existentes y desarrollar nuevos servicios (por ejemplo, realizando investigaciones para el desarrollo de nuevos productos o funciones); (3) con fines operativos, tanto de nuestra empresa como de nuestros proveedores de servicios y socios de integraciones; (4) para garantizar la seguridad e integridad en la medida en que el uso de la información personal del Interesado sea necesario y proporcional para tales fines; (5) para depurar e identificar y reparar errores que puedan afectar la funcionalidad existente; (6) para hacer un uso transitorio a corto plazo; por ejemplo, para la personalización del contenido que nosotros o nuestros proveedores de servicios mostramos en los servicios; y (7) para otros usos que te notifiquemos como permitidos en virtud de la Ley de Protección de Datos.

(k) se comprometerá a no retener, usar, combinar ni divulgar la Información personal recopilada en virtud del Acuerdo más allá de la relación comercial entre SurveyMonkey y el Cliente, salvo que se permita expresamente en la CCPA;  

(l) cuando así lo exija la Legislación sobre protección de datos, se informará al Cliente si se entrara en conocimiento de que alguna instrucción recibida del Cliente infringe las disposiciones de la Legislación sobre protección de datos. No obstante lo anterior, SurveyMonkey no tendrá obligación alguna de controlar ni revisar la legalidad de las instrucciones recibidas del Cliente. Si SurveyMonkey determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA, deberá informárselo al Cliente; y

(m) SurveyMonkey certifica que entiende las restricciones y obligaciones establecidas en  este DPA  y en todas las leyes aplicables en materia de protección de datos, y se compromete a cumplir tales requisitos. 

6.1 Subprocesamiento. El Cliente otorga una autorización general a SurveyMonkey para contratar a subprocesadores subsiguientes, siempre que se cumplan los requisitos de esta Sección 6.

Lista de subprocesadores. Sujeto a las disposiciones de confidencialidad del Acuerdo o a las que pudiera imponer SurveyMonkey, SurveyMonkey realizará lo siguiente:

(a) Pondrá a disposición del Cliente una lista de los subcontratistas de SurveyMonkey que participan en el procesamiento o subprocesamiento de los Datos personales del Cliente en relación con la prestación de los Servicios (“Subprocesadores”), junto con una descripción de la naturaleza de los servicios prestados por cada Subprocesador (“Lista de Subprocesadores”). Se puede solicitar una copia de esta Lista de Subprocesadores aquí. 

(b) Se asegurará de que todos los Subprocesadores de la Lista de Subprocesadores estén sujetos a términos contractuales que, en todos los aspectos importantes, no sean menos onerosos que los contenidos en este DPA.

(c) Será responsable de los actos y las omisiones de sus Subprocesadores en la misma medida en que SurveyMonkey sería responsable si prestara los servicios de cada uno de esos Subprocesadores directamente en virtud de los términos del presente DPA, salvo que se establezca lo contrario en el Acuerdo. 

6.3 Subprocesadores nuevos/sustitutos.  SurveyMonkey notificará al Cliente por escrito de la incorporación de cualquier Subprocesador nuevo o del reemplazo de un Subprocesador existente en cualquier momento durante la vigencia del Acuerdo (“Notificación de subprocesador nuevo”). El Cliente se suscribirá a una lista de correo puesta a disposición por SurveyMonkey aquí, mediante la cual se entregarán dichas notificaciones por correo electrónico o, alternativamente, consultará las actualizaciones de la lista aquí. Si el Cliente tiene motivos razonables para oponerse al uso por parte de SurveyMonkey de un Subprocesador nuevo o sustituto, el Cliente notificará a SurveyMonkey sin demora y por escrito y, en cualquier caso, dentro de los 30 días siguientes a la recepción de la Notificación de subprocesador nuevo. En caso de que se produzca dicha objeción razonable, el Cliente o SurveyMonkey podrán rescindir la parte de cualquier Acuerdo relativa a los Servicios que no puedan prestarse razonablemente sin el nuevo Subprocesador objetado (lo que podrá implicar, a discreción y elección de SurveyMonkey, la rescisión de la totalidad del Acuerdo) con efecto inmediato mediante notificación por escrito a la otra parte. Dicha rescisión no generará ningún derecho de reembolso de los cargos pagados previamente por el Cliente durante el periodo posterior a la rescisión.

7.1 Medidas de seguridad. Teniendo en cuenta la última tecnología, el costo de implementación y la naturaleza, el alcance, el contexto y los objetivos de los Servicios y el nivel de riesgo, SurveyMonkey ha implementado medidas técnicas y organizativas apropiadas (de acuerdo con el Apéndice 1) para garantizar un nivel de seguridad adecuado frente el riesgo de procesamiento no autorizado o ilegal, o la pérdida accidental de los Datos del  Cliente , o el daño a estos. En intervalos razonables, SurveyMonkey pone a prueba y evalúa la efectividad de estas medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

7.2 Notificación de incidentes y violación de seguridad. Si SurveyMonkey toma conocimiento de cualquier consulta, adquisición, alteración, uso, divulgación o destrucción no autorizados o ilegales de los Datos personales del Cliente (“Incidente de seguridad”), SurveyMonkey adoptará medidas razonables para notificar al Cliente sin demora indebida. El Incidente de seguridad no incluye los intentos infructuosos o las actividades que no comprometan la seguridad de los datos personales, incluidos los intentos fallidos de inicio de sesión, los pings, los escaneos de puertos, los ataques de denegación de servicio u otros ataques de red a los cortafuegos o a los sistemas en red. La notificación de un Incidente de seguridad al Cliente no constituye una aceptación de responsabilidad por parte de SurveyMonkey.

7.3 Asimismo, SurveyMonkey cooperará razonablemente con el Cliente en cualquier investigación relacionada con un Incidente de seguridad para la preparación de cualquier notificación requerida, y proporcionará toda la información que el Cliente solicite razonablemente en relación con cualquier Incidente de seguridad. 

8.1 Auditorías. Cuando SurveyMonkey procese Datos personales del Cliente para el Cliente como procesador (solamente), el Cliente notificará a SurveyMonkey por escrito con al menos un mes de antelación de cualquier auditoría, que podrá ser realizada por el Cliente o por un auditor independiente designado por el Cliente (siempre que la persona que realiza la auditoría no sea un competidor de SurveyMonkey ni actúe en nombre de este competidor) (“Auditor”). Las auditorías tendrán el siguiente alcance:

(a) El Cliente solo tendrá derecho a realizar una auditoría una vez por año de suscripción, a menos que se encuentre de otro modo obligado legalmente o que un organismo regulador con autoridad suficiente sobre el Cliente le exija realizar o facilitar la realización de más de una auditoría el mismo año (en tales circunstancias, el Cliente y SurveyMonkey acordarán, antes de realizar dichas auditorías, una tarifa de reembolso razonable para los gastos de auditoría de SurveyMonkey).

(b) SurveyMonkey acuerda, sujeto a cualquier restricción de confidencialidad apropiada y razonable, proporcionar evidencia de cualquier certificación y estándar de cumplimiento que mantenga y, a pedido, pondrá a disposición del Cliente un resumen ejecutivo de las pruebas de penetración anuales más recientes de SurveyMonkey, que deberá incluir las medidas correctivas adoptadas por SurveyMonkey a raíz de tales  pruebas  de penetración.

(c) El alcance de la auditoría se limitará a los sistemas, los procesos y la documentación de SurveyMonkey relevantes para el procesamiento y la protección de los Datos personales del Cliente, y los Auditores realizarán auditorías con sujeción a las restricciones de confidencialidad apropiadas y razonables solicitadas por SurveyMonkey.

(d) El Cliente notificará a SurveyMonkey y le proporcionará de inmediato y de forma confidencial todos los detalles de cualquier incumplimiento o problema de seguridad detectados durante el desarrollo de una auditoría.

8.2 Las partes acuerdan que, a menos que una orden u otro dictamen vinculante de una autoridad de control u organismo regulador con suficiente autoridad sobre el Cliente exijan lo contrario, esta Sección 8 establece el alcance completo de los derechos de auditoría del Cliente frente a SurveyMonkey.

9.1 En la medida en que corresponda, para las transferencias de Datos personales del Cliente desde el  Espacio Económico Europeo (“EEE”), Suiza o el Reino Unido a lugares fuera del EEE, de Suiza y del Reino Unido (ya sea directamente o mediante una transferencia posterior) que no cuenten con normas adecuadas de protección de datos según las disposiciones de la Comisión Europea o la Ley de Protección de Datos pertinente, SurveyMonkey adhiere a lo siguiente:

(a) las SCC; y

(b) para las transferencias sujetas al RGPD del Reino Unido, la Adenda del Reino Unido; o

(c) otras salvaguardias apropiadas o derogaciones (en la medida en que sean apropiadas), especificadas o permitidas por la Ley de Protección de Datos. 

9.2 En caso necesario, por el presente, las partes suscriben las SCC (se puede acceder a una copia aquí) y la Adenda del Reino Unido (Apéndice 3). Las SCC se incorporan al presente Acuerdo por referencia y se aplicarán de la siguiente manera: 

(a) cuando el Cliente celebra un contrato con SurveyMonkey Inc. en los Estados Unidos en virtud del Acuerdo de Servicios y es controlador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales del Cliente desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, SurveyMonkey celebra las SCC como importador de datos y el Cliente celebra las SCC como exportador de datos, y se aplicará únicamente el Módulo dos de las SCC; o

(b) cuando el Cliente celebra un contrato con SurveyMonkey Inc. en los Estados Unidos en virtud del Acuerdo de Servicios y es procesador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales del Cliente desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, SurveyMonkey celebra las SCC como importador de datos y el Cliente celebra las SCC como exportador de datos, y se aplicará únicamente el Módulo tres de las SCC; o

(c) cuando el Cliente no es residente del EEE y celebra un contrato con SurveyMonkey Europe UC para el almacenamiento de Datos personales del Cliente dentro del EEE en virtud del Acuerdo, es controlador de datos de los Datos personales del Cliente y, a través del uso de los Servicios, transfiere esos Datos personales desde el EEE a lugares que la Comisión Europea ha determinado que no ofrecen niveles adecuados de protección a los Datos personales, SurveyMonkey celebra las SCC como exportador de datos y el Cliente celebra las SCC como importador de datos, y se aplicará únicamente el Módulo cuatro de las SCC; y

(d) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;

(e) en la Cláusula 11, no se aplicará el texto opcional;

(f) en la Cláusula 17, las SCC se regirán por las leyes irlandesas;

(g) en la Cláusula 18, las controversias se resolverán ante los tribunales de Irlanda; y

(h) los Anexos I y II de las SCC se considerarán completados con la información indicada en el Acuerdo y los datos proporcionados en los Apéndices de este DPA.

9.3 Para transferencias protegidas por la nFADP, las SCC se aplicarán de conformidad con la Sección 9.2 anterior, excepto por lo siguiente: 

(a) cualquier referencia en las SCC al RGPD se interpretará como una referencia a la nFADP;  

(b) cualquier referencia a “UE”, “Unión” y “leyes de los estados miembros” se interpretará como una referencia a Suiza y la ley suiza; y  

(c) cualquier referencia a “autoridad de control competente” o “tribunales competentes” se interpretará como una referencia a la autoridad y los tribunales de protección de datos pertinentes en Suiza, a menos que las SCC, implementadas como se describe anteriormente, no puedan utilizarse para transferir legalmente dichos Datos personales del Cliente conforme a la nFADP, en cuyo caso las SCC suizas deberán incorporarse a modo de referencia y formarán parte integral de este DPA, y se aplicarán a dichas transferencias. Para los propósitos de las SCC suizas, los Anexos relevantes de las SCC suizas se completarán con la información incluida en los Apéndices I y II de este DPA (cuando proceda) y se aplicarán las disposiciones interpretativas establecidas en esta Sección 9.3 (según corresponda y según se requiera a los fines de cumplir con la nFADP).

9.4 Previa solicitud por escrito y de conformidad con las disposiciones de las Cláusulas contractuales tipo o de la Adenda del Reino Unido (según corresponda), SurveyMonkey proporcionará al Cliente copias de las Cláusulas contractuales tipo o de la Adenda del Reino Unido que haya suscrito con los importadores de datos en su calidad de procesador.

10.1 Responsabilidad por el procesamiento de datos. La responsabilidad total de cada una de las partes en relación con todas las reclamaciones, ya sean contractuales, extracontractuales (incluida la negligencia), de incumplimiento de obligaciones legales o de otro tipo, que se deriven de este DPA o estén relacionadas con él, será la que se establece en el Acuerdo, salvo que las partes acuerden lo contrario por escrito.

10.2 Discrepancia. En caso de discrepancia o ambigüedad entre: (i) los términos del presente DPA y los términos del Acuerdo, con respecto al objeto del presente DPA, prevalecerán los términos del presente DPA ; (ii) los términos de cualquier disposición contenida en el presente DPA y cualquier disposición contenida en las Cláusulas contractuales tipo, prevalecerá la disposición de las Cláusulas contractuales tipo.

10.3 Procesamiento independientes. El Cliente sigue siendo exclusivamente responsable de su propio cumplimiento de la Ley de Protección de Datos con respecto a cualquier recopilación y procesamiento independiente de datos personales no relacionados con los Servicios. El Cliente debe proporcionar sus propios avisos de privacidad claros y visibles, que describan con precisión cómo lo hace , y SurveyMonkey no será responsable de ningún tratamiento de datos personales por parte del Cliente en dichas circunstancias. Por el presente, el Cliente exime a SurveyMonkey por completo de cualquier reclamación o responsabilidad que surja como consecuencia de dicha recopilación y uso de datos personales por su parte en esas circunstancias.

10.4 Acuerdo completo El Acuerdo (que incorpora este DPA) y cualquier Formulario de pedido representan la totalidad del acuerdo celebrado entre las partes y sustituyen cualquier otro acuerdo o términos y condiciones anteriores o actuales, escritos u orales, relativos a su objeto. Cada una de las partes confirma que no se ha basado en ninguna declaración no registrada en el Acuerdo que la indujera a celebrarlo.

10.5 Divisibilidad de las cláusulas Si un tribunal de jurisdicción competente determinara que alguna disposición de este DPA fuera inexigible, tal disposición quedará invalidada y el resto de los términos permanecerán en plena vigencia. Ninguna disposición del presente DPA tiene por objeto establecer una asociación o empresa conjunta entre cualquiera de las partes, ni autorizar a alguna de ellas a contraer un compromiso en nombre o representación de la contraparte, salvo que se estipule expresamente lo contrario en el presente.

10.6 Copia electrónica. El DPA se entrega como documento electrónico.

10.7 Legislación aplicable. El presente DPA se regirá por las leyes de Irlanda y las partes se someten a la jurisdicción exclusiva de los tribunales irlandeses (en relación con todas las controversias contractuales y extracontractuales), excepto en el caso de cualquier incumplimiento o presunto incumplimiento de las leyes de privacidad, los reglamentos, las normas, las directrices reglamentarias y las directrices de autorregulación, presentes o futuros, a nivel estatal o federal en Estados Unidos de América, en cuyo caso regirán las leyes del estado de California, a menos que la ley disponga lo contrario.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por SurveyMonkey 

SurveyMonkey mantendrá salvaguardias administrativas, físicas y técnicas adecuadas (“Salvaguardias de seguridad”) para proteger la seguridad, confidencialidad e integridad de los datos personales que se le faciliten para la prestación de los Servicios al Cliente. 

Las Salvaguardias de seguridad incluyen las siguientes: 

(a) Dominio: Organización de la seguridad de la información.

(i) Funciones y responsabilidades de seguridad. El personal de SurveyMonkey con acceso a los datos está sujeto a obligaciones de confidencialidad.

(ii) Programa de gestión de riesgos. Cuando corresponde, SurveyMonkey realiza una evaluación de riesgos antes de procesar los datos.

(b) Dominio: Gestión de activos

(i) Manejo de activos.

(1) SurveyMonkey cuenta con procedimientos para la eliminación de materiales impresos que contengan Datos del Cliente.

(2) SurveyMonkey lleva un inventario del hardware donde se almacenan los Datos del Cliente.

(3) SurveyMonkey clasifica la Información personal que procesa para el Cliente a fin de ayudar a identificarla y permitir restringir adecuadamente el acceso a ella (por ejemplo, mediante nombres de usuario, contraseñas y cifrado). 

(c) Dominio: Seguridad de los recursos humanos.

(i) Capacitación sobre seguridad.

(1) SurveyMonkey informa a su personal sobre los procedimientos de seguridad pertinentes y sus respectivas funciones. SurveyMonkey también informa a su personal de las posibles consecuencias de infringir las normas y los procedimientos de seguridad.

(d) Dominio: Seguridad física y del entorno.

(i) Acceso físico a las instalaciones. SurveyMonkey limita el acceso a las instalaciones en las que se encuentran los sistemas de información que procesan los Datos del Cliente a las personas autorizadas identificadas.

(ii) Protección frente a interrupciones. SurveyMonkey utiliza diversos sistemas estándares de la industria para evitar la pérdida de datos debido a un fallo en el suministro eléctrico o a interferencias en la línea.

(iii) Eliminación de componentes. SurveyMonkey utiliza procesos estándares de la industria para eliminar los Datos del Cliente cuando ya no son necesarios.

(e) Dominio: Gestión de comunicaciones y operaciones. 

(i) Política operativa. SurveyMonkey conserva documentos de seguridad donde se describen sus medidas de seguridad y los procedimientos y responsabilidades pertinentes de su personal que tiene acceso a los  Datos del Cliente. 

(ii) Procedimientos de recuperación de datos. 

(1) De forma regular y continua, SurveyMonkey crea copias de seguridad de los Datos del Cliente a partir de las cuales se pueden recuperar los Datos del Cliente en caso de pérdida de la copia principal. 

(2) SurveyMonkey almacena las copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar diferente de donde se encuentra el equipo informático principal que procesa los Datos del Cliente. 

(3) SurveyMonkey cuenta con procedimientos específicos que regulan el acceso a las copias de los Datos del Cliente. 

(iii) Software malicioso. SurveyMonkey cuenta con controles contra malware para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los Datos del Cliente, incluido el software malicioso que se origina en las redes públicas.

(iv) Datos más allá de las fronteras. 

(1) SurveyMonkey cifra los Datos del Cliente que se transmiten a través de redes públicas. 

(v) Registro de eventos.

(1) SurveyMonkey registra el uso de sus sistemas de procesamiento de datos. 

(2) SurveyMonkey registra el acceso a los sistemas de información que contienen Datos del Cliente, al igual que su uso, mediante el registro de la id. de acceso, la marca de tiempo y determinada actividad relevante.

(f) Dominio: Gestión de incidentes de seguridad de la información

(i) Proceso de respuesta a incidentes. 

(1) SurveyMonkey cuenta con un plan de respuesta ante incidentes.  

(2) SurveyMonkey lleva un registro de las violaciones de la seguridad que incluye una descripción de la violación, el período, las consecuencias de la violación, el nombre del denunciante y a quién se informó de la violación, al igual que las medidas correctivas, en caso de corresponder.

(g) Dominio: Gestión de la continuidad del negocio.

(i) El almacenamiento redundante de SurveyMonkey y sus procedimientos de recuperación de datos están diseñados para intentar reconstruir los Datos del Cliente en su estado original anterior al momento en que se perdieron o destruyeron.   

(h) Control de acceso a las áreas de procesamiento.  Los procesos para evitar que personas no autorizadas accedan a los equipos de procesamiento de datos (en concreto, teléfonos, servidores de bases de datos y aplicaciones y hardware relacionado) donde se procesan o utilizan los Datos personales del Cliente deben incluir: 

(i) Establecimiento de áreas seguras. 

(ii) Protección y restricción de las vías de acceso.

(iii) Protección de los teléfonos móviles/celulares.   

(iv) Equipos de procesamiento de datos y computadoras personales.

(v) Todos los accesos a los centros de datos donde se alojan los Datos personales del Cliente se registran, supervisan y rastrean.  

(vi) Los centros de datos donde se alojan los Datos personales del Cliente están protegidos por un sistema de alarma de seguridad y otras medidas de seguridad adecuadas. 

(vii) Las instalaciones están diseñadas para soportar condiciones meteorológicas adversas y otros fenómenos naturales razonablemente predecibles, están protegidas por guardias las 24 horas del día, control de acceso con tarjeta o biométrico (según el nivel de riesgo), y acceso controlado con escolta, y también cuentan con generadores de respaldo in situ en caso de que se produzca un fallo en el suministro eléctrico.

(i) Control de acceso a los sistemas de procesamiento de datos. Los procesos para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas deben incluir:  

(i) Identificación del terminal o del usuario del terminal a los sistemas de procesamiento de datos. 

(ii) Desconexión automática después de 30 minutos o menos del terminal del usuario si se deja inactivo, y debe requerirse la identificación y la contraseña para volver a abrirlo.

(iii) Emisión y salvaguarda de los códigos de identificación. 

(iv) Requisitos de complejidad de las contraseñas (longitud mínima, caducidad de las contraseñas, etc.). 

(v) Protección contra el acceso externo mediante un cortafuegos estándar de la industria.  

(j) Control de acceso para utilizar áreas específicas de los sistemas de procesamiento de datos. Las medidas para garantizar que las personas autorizadas a utilizar los sistemas de procesamiento de datos solo puedan acceder a los datos dentro del ámbito y en la medida en que lo contemple su respectivo permiso (autorización) de acceso, y que no se puedan leer, copiar, modificar ni eliminar sin autorización los Datos personales del Cliente deben incluir lo siguiente:

(i) Implementación de políticas vinculantes para los empleados y capacitación sobre los derechos de acceso de cada empleado a los Datos personales del Cliente.

(ii) Medidas disciplinarias efectivas y evaluadas contra las personas que accedan a los Datos personales del Cliente sin autorización. 

(iii) Divulgación de los datos solo a las personas autorizadas. 

(iv) Aplicación de los principios de acceso menos privilegiado a la información que contiene Datos personales del Cliente, estrictamente sobre la base de los requisitos de “necesidad de saber”.

(v) Gestión del acceso a la red de producción y a los datos mediante VPN, autenticación de dos factores y controles de acceso basados en la función.

(vi) La información de registro de los sistemas de aplicaciones e infraestructura a una instalación de registro gestionada de forma centralizada para la resolución de problemas, las revisiones de seguridad y los análisis. 

(vii) Políticas para controlar la conservación de las copias de seguridad que se ajusten a la legislación aplicable y que sean adecuadas según la naturaleza de los datos en cuestión y el riesgo correspondiente.

(k) Control de la transmisión. Los procedimientos para evitar que los Datos personales del Cliente sean leídos, copiados, alterados o eliminados por personas no autorizadas durante su transmisión o durante el transporte de los soportes de datos, y para garantizar que sea posible comprobar y establecer a qué organismos está prevista la transferencia de los Datos personales del Cliente mediante instalaciones de transmisión de datos deben incluir: 

(i) Uso de cortafuegos y tecnologías de cifrado para proteger las puertas de enlace y canalizaciones por las que viajan los datos.

(ii) Implementación de conexiones de VPN para salvaguardar la conexión a la red corporativa interna.

(iii) Supervisión constante de la infraestructura (por ejemplo, ICMP-ping a nivel de red, análisis del espacio en disco a nivel de sistema, entrega satisfactoria de páginas de prueba especificadas a nivel de la aplicación).

(iv) Supervisión para comprobar que la transferencia de datos sea completa y correcta (comprobación de extremo a extremo). 

(l) Control del almacenamiento. Cuando se almacenen Datos personales del Cliente: se realizará una copia de seguridad como parte de los procesos previstos de copia de seguridad y recuperación en forma cifrada, utilizando una solución de cifrado con soporte comercial, y todos los datos definidos como Datos personales del Cliente almacenados en cualquier dispositivo informático portátil  o laptop, o cualquier medio de almacenamiento portátil estarán cifrados de la misma manera. Las soluciones de cifrado se desplegarán con una clave de no menos de 128 bits para el cifrado simétrico y una extensión de clave de 1024 bits (o más) para el cifrado asimétrico.

(m) Control de entrada. Las medidas para garantizar que es posible comprobar y establecer si los Datos personales del Cliente se han introducido en los sistemas de procesamiento de datos o se han eliminado, y quién lo ha hecho, deben incluir:

(i) Autenticación del personal autorizado.

(ii) Medidas de protección para la introducción de datos en la memoria, así como para la lectura, alteración y eliminación de los datos almacenados.

(iii) Utilización de códigos de usuario (contraseñas).

(iv) Establecimiento de prueba dentro de la organización del importador de datos de la autorización de entrada.

(v) Garantía de que las puertas de acceso a las instalaciones de procesamiento de datos (las salas donde se encuentran el hardware informático y el equipo relacionado) están cerradas con llave.

(n) Control de disponibilidad. Las medidas para garantizar que los Datos personales del Cliente están protegidos de la destrucción o pérdida accidentales deben incluir la redundancia de la infraestructura y copias de seguridad periódicas realizadas en los servidores de bases de datos. 

(o) Segregación del procesamiento. Los procedimientos para garantizar que los datos recopilados para diferentes fines puedan procesarse por separado deben incluir:

(i) Separar los datos mediante la seguridad de la aplicación para los usuarios adecuados.

(ii) Almacenar los datos, a nivel de la base de datos, en tablas diferentes, separadas por el módulo o la función que admiten.

(iii) Diseñar las interfaces, los procesos por lotes y los informes solo para fines y funciones específicos, de modo que los datos recopilados para fines específicos se procesen por separado.

(iv) Impedir que los datos reales se utilicen con fines de prueba, ya que solo pueden utilizarse para ello los datos ficticios generados con ese fin.

(p) Programa de gestión de la vulnerabilidad. El programa que garantice la comprobación periódica de los sistemas para identificar vulnerabilidades y la corrección inmediata de aquellas detectadas debe incluir:

(i) Escaneo periódico de todas las redes, incluidos los entornos de prueba y de producción.

(ii) Realización periódica de pruebas de penetración y rápida subsanación de las vulnerabilidades.

(q) Destrucción de datos. En caso de vencimiento o rescisión del Acuerdo por cualquiera de las partes o, de otro modo, a pedido del Cliente tras la recepción de una solicitud de un sujeto de datos o de un organismo regulador: 

(i) Todos los datos del Cliente se destruirán de forma segura en un plazo de 3 meses.

(ii) Todos los datos del Cliente se purgarán de todos los dispositivos de almacenamiento de SurveyMonkey o de terceros, incluidas las copias de seguridad, en un plazo de 6 meses a partir de la rescisión o de la recepción de una solicitud del Cliente, a menos que la ley exija a SurveyMonkey que conserve una categoría de datos durante más tiempo. SurveyMonkey se asegurará de que todos los datos que ya no sean necesarios se destruyan hasta tal punto que se pueda garantizar que ya no son recuperables.

(r) Estándares y certificaciones. Las ubicaciones o soluciones de almacenamiento de datos tienen, como mínimo, informes SOC 1 (SSAE 16) o SOC 2; las certificaciones o los niveles de seguridad equivalentes o similares se analizarán caso por caso.

(s) Control in situ. Cuando se encuentren presentes en las instalaciones del Cliente, todos los empleados y subcontratistas (si corresponde) cumplirán con todas las reglas, regulaciones, prácticas y procedimientos razonables (incluidos, entre otros, los acuerdos relacionados con la seguridad) generalmente prescritos por el Cliente. Asimismo, utilizarán los bienes del Cliente solo para los fines establecidos en un Acuerdo y devolverá dichos bienes al Cliente una vez que se hayan completado los Servicios correspondientes.

(t) Estrategia de calidad de los datos. SurveyMonkey implementa una estrategia de calidad de los datos diseñada para mantener la calidad de los datos en un estándar adecuado y los corrige cuando detectamos que existen datos incorrectos o incompletos por diseño.  SurveyMonkey conserva valores hash criptográficos de ciertos datos de producción y registros de cambios de los datos del dominio para poder monitorear y realizar un seguimiento de los cambios.  Tenemos procesos establecidos para que los usuarios corrijan o cancelen el procesamiento de su información personal y también para corregir problemas relacionados con los datos en el sistema.

(i) SurveyMonkey recopila información precisa, relevante y completa de los clientes para permitir sus operaciones comerciales. 

(ii) SurveyMonkey mantiene los datos de acuerdo con las políticas del ciclo de vida de manera oportuna, lo que permite un acceso constante a los datos. 

(iii) El estándar de calidad de los datos puede variar de un cliente a otro de acuerdo con sus casos de uso. 

(u) Privacidad por diseño. SurveyMonkey ha implementado políticas y procedimientos para implementar la privacidad desde su diseño.  Todos los datos dentro del sistema tienen un alcance de acuerdo con el acceso adecuado (por política) y su ciclo de vida se mantiene mediante políticas.  Todos los sistemas conectados a la producción tienen la minimización de datos y la seudoanonimización de forma predeterminada, con el fin de prevenir problemas de privacidad y seguridad en lugar de tener que solucionarlos más adelante.  

(i) Consideramos los problemas de protección de datos como parte del diseño e implementación de sistemas, servicios, productos y prácticas comerciales, y manejamos la privacidad de los datos como una función central de nuestro servicio. 

(ii) Nos anticipamos a los riesgos y eventos que invaden la privacidad antes de que ocurran, y tomamos las medidas necesarias para evitar daños a las personas.

(iii) Solo procesamos los datos personales que necesitamos para nuestros fines, y solo los utilizamos para esos fines. 

(iv) Nos aseguramos de que los datos personales estén protegidos de forma automática en cualquier sistema de TI, servicio, producto o práctica comercial, de modo que las personas no tengan que tomar ninguna medida específica para proteger su privacidad

(v) Ofrecemos sólidos valores predeterminados de privacidad, opciones y controles fáciles de usar, y respetamos las preferencias del usuario.

(vi) Utilizamos procesadores de datos que proporcionan suficientes garantías de sus medidas técnicas y organizativas para la protección de datos desde el diseño. 

(vii) Cuando utilizamos otros sistemas, servicios o productos en nuestras actividades de procesamiento, nos aseguramos de utilizar solo aquellos en los que los diseñadores y fabricantes tengan en cuenta las cuestiones de privacidad de los datos. 

(v) Prueba de la postura de seguridad de los datos. SurveyMonkey probará su posición de seguridad de los datos al menos una vez al año mediante pruebas de penetración a través de una herramienta estándar de la industria (como BurpScanner) o, como alternativa, un servicio o asesor de terceros certificado. 

(x) Estrategia de prevención de pérdida de datos. SurveyMonkey utiliza la capacitación y la educación como estrategia para prevenir la pérdida de datos.  El acceso a los datos dentro del sistema está limitado y minimizado para evitar que los usuarios tengan acceso innecesario a los datos.  Todos los usuarios deben firmar políticas sobre el acceso adecuado a los datos de los clientes, y esto es parte de la capacitación anual de actualización de seguridad. 

(y) Medidas técnicas de seguridad. SurveyMonkey es una empresa distribuida, por lo que no tiene firewall corporativo interno ni detección de intrusos para nuestra red interna.  Todo acceso a los recursos corporativos se debe realizar a través de canales cifrados.  Todos los recursos corporativos deben almacenarse en sistemas habilitados para MFA. 

Propósitos y naturaleza del procesamiento de datos personales, categorías de datos personales, Interesados 

Propósitos y naturaleza del procesamientoSurveyMonkey podrá procesar los Datos personales del Cliente en la medida en que sea necesario para la ejecución técnica de los Servicios, incluido lo siguiente, cuando corresponda: 
•      Hospedaje y almacenamiento.
•      Copias de seguridad y recuperación ante catástrofes.
•      Mejora técnica del servicio.
•      Gestión de cambios en el servicio.
•      Resolución de problemas.
•      Prestación de servicios seguros y cifrados.
•      Aplicación de nuevas versiones de productos o sistemas, parches, actualizaciones y mejoras.
•      Supervisión y comprobación del uso y el rendimiento del sistema.
•      Detección y eliminación proactiva de errores.
•      Propósitos de seguridad informática, incluida la gestión de incidentes.
•      Mantenimiento y funcionamiento de los sistemas de soporte técnico y de la infraestructura informática.
•      Migración, implementación, configuración y pruebas de rendimiento.
•      Recomendaciones de productos.
•      Asistencia al cliente; transferencia de datos.•      Ayuda con las solicitudes de los Interesados (según sea necesario).
Categorías de datos personalesEl Cliente podrá enviar Datos personales del Cliente a los Servicios y podrá solicitar que los encuestados del Cliente envíen datos personales a los Servicios, cuyo alcance será determinado y controlado por el Cliente a su entera discreción, y que podrá incluir, sin carácter restrictivo: 

•      Datos personales de todo tipo que puedan ser enviados por los encuestados del Cliente al Cliente a través de los usuarios de los Servicios (tal como a través de encuestas u otras herramientas de comentarios). Por ejemplo: nombre, ubicación geográfica, edad, datos de contacto, dirección IP, profesión, sexo, situación financiera, preferencias personales, hábitos personales de compra o consumo, y otras preferencias y otros datos personales que el Cliente solicite o desee recabar de sus encuestados .  

•      Datos personales de todo tipo que puedan incluirse en los formularios y las encuestas alojados en los Servicios para el Cliente (como los que puedan incluirse en las preguntas de las encuestas). 

•  Detalles de contacto y facturación de los empleados del Cliente, usuarios finales autorizados y otros contactos comerciales. Por ejemplo: nombre, cargo, empleador, información de contacto (empresa, correo electrónico, teléfono, dirección, etc.), información de pago y otros datos relacionados con la cuenta.

•      Los encuestados del Cliente podrán enviar al Cliente categorías especiales de datos personales a través de los Servicios, cuyo alcance será determinado y controlado por el Cliente. Para mayor claridad, estas categorías especiales de datos personales pueden incluir información que revele el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical y el procesamiento de datos relativos a la salud o la vida sexual.
Interesados Los Interesados incluyen:
•      personas físicas que envían datos personales a SurveyMonkey a través del uso de los Servicios (como encuestas en línea y formularios alojados por SurveyMonkey en nombre del Cliente);
•      personas físicas cuyos datos personales pueden enviar los Encuestados al Cliente a través del uso de los Servicios;
•      personas físicas que son empleados, representantes u otros contactos comerciales del Cliente;
•      los usuarios del Cliente que están autorizados por el Cliente para acceder y utilizar los Servicios.

ANEXOS DE LAS CLÁUSULAS CONTRACTUALES TIPO

ANEXO I:

A. LISTA DE LAS PARTES

MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferencia de procesador a procesador

MÓDULO CUATRO: Transferencia de procesador a controlador

Exportador(es) de datos: según se indica en el Acuerdo

Nombre, cargo y datos de contacto de la persona de contacto: según se indica en el Acuerdo

Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: según se indica en el Apéndice 2 del DPA

Importador(es) de datos: según se indica en el Acuerdo

Nombre: según se indica en el Acuerdo

Nombre, cargo y datos de contacto de la persona de contacto: según se indica en el Acuerdo

Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: según se indica en el Apéndice 2 del DPA

B. DESCRIPCIÓN DE LA TRANSFERENCIA

MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferencia de procesador a procesador

MÓDULO CUATRO: Transferencia de procesador a controlador

Categorías de interesados cuyos datos personales se transfieren: según se indica en el Apéndice 2 del DPA

Categorías de datos personales transferidos: según se indica en el Apéndice 2 del DPA

Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos asociados, por ejemplo, limitación estricta de la finalidad, restricciones de acceso (incluido el acceso solo para el personal que ha realizado una capacitación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias posteriores o medidas de seguridad adicionales: según se indica en los Apéndices 1 y 2 del DPA

La frecuencia de la transferencia (p. ej., si los datos se transfieren por única vez o de forma continua): por única y de forma continua (según el uso de los Servicios)

Naturaleza del procesamiento: según se indica en el Apéndice 2 del DPA

Propósito(s) de la transferencia de datos y procesamiento posterior: según se indica en el Apéndice 2 del DPA

Período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período: según se indica en el Acuerdo y según se indica aquí

Para las transferencias a (sub)procesadores, especificar también el objeto, la naturaleza y la duración del Procesamiento: El Cliente ha autorizado el uso de los siguientes subprocesadores: consulta aquí.

C. AUTORIDAD DE CONTROL COMPETENTE

Identificar la(s) autoridad(es) de control competente(s) de acuerdo con la Cláusula 13: Irlanda

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS SEGÚN SE INDICA EN EL APÉNDICE 1 DEL DPA

ANEXO III: LISTA DE SUBPROCESADORES

MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferencia de procesador a procesador

MÓDULO CUATRO: Transferencia de procesador a controlador. El Cliente ha autorizado el uso de los siguientes subprocesadores: consulta aquí.

ADENDA DEL REINO UNIDO 

1. En relación con las transferencias de datos sujetas al RGPD del Reino Unido, por el presente, las partes suscriben la Adenda del Reino Unido (se puede acceder a una copia aquí), y la Adenda del Reino Unido se incorpora al presente Acuerdo por referencia. Para las transferencias de datos sujetas al RGPD del Reino Unido, cualquier referencia a “autoridad de control competente” y “tribunales competentes” se interpretará como una referencia a la autoridad y los tribunales de protección de datos pertinentes en el Reino Unido. 

2. Las partes acuerdan que el formato y el contenido de las tablas de la Parte 1 de la Adenda del Reino Unido se modificarán y sustituirán por la siguiente tabla.

Referencia de la tabla de la Adenda del Reino UnidoInformación para completar la tabla
Tabla 1: Fecha de inicioVigente a partir de la Fecha de entrada en vigencia del Acuerdo.
Tabla 1: Detalles de las partesSe considerará completada con la información que se detalla en el Apéndice 2 de este Acuerdo.
Tabla 2: Adenda de SCC de la UELas partes seleccionan la siguiente opción de la Tabla 2:

“SCC de la UE aprobadas, incluida la Información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las SCC de la UE aprobadas en vigor a los fines de esta Adenda”.

Los detalles de los “módulos”, las “cláusulas” y las “disposiciones opcionales” de las SCC que entran en vigor a los fines de la Adenda del Reino Unido se exponen en la Sección 9.2 del presente Acuerdo.
Tabla 3: Anexo 1A, Lista de las partesSe considerará completada con la información que se detalla en el Apéndice 2 de este Acuerdo.
Tabla 3: Anexo 1B, Descripción de las transferenciasSe considerará completada con la información que se detalla en el Apéndice 2 de este Acuerdo.
Tabla 3: Anexo II, Medidas técnicas y organizativasSe considerará completada con la información que se detalla en el Apéndice 1 de este Acuerdo.
Tabla 3: Anexo III, Lista de Subprocesadores (Módulo 2)Se puede encontrar una lista de subprocesadores de acuerdo con las disposiciones sobre subprocesadores del Acuerdo.
Tabla 4: Finalización de esta AdendaLas partes deciden que ninguna de ellas podrá poner fin a la Adenda del Reino Unido, ya que está incorporada al Acuerdo.

3. En caso de discrepancia o incoherencia entre el presente Acuerdo y la Adenda del Reino Unido, la Adenda del Reino Unido regirá y tendrá prioridad en lo que respecta a dicha discrepancia o incoherencia.