Momentive ofrece sus productos en todo el mundo, y usa subprocesadores globales para ayudarnos a brindar estos productos y servicios. En nuestro contrato contigo, nos comprometemos a que cada transferencia de datos personales a nosotros cumpla con las leyes de protección de datos. Además, garantizamos que, para todas las transferencias subsiguientes de datos personales, el destinatario proteja los datos personales con medidas de seguridad que no sean menos onerosas que las estándar que aplicamos a los datos personales bajo nuestro control.

Para ayudarte a determinar que hay un nivel adecuado de protección para los datos personales transferidos a Momentive y con posterioridad, teniendo en cuenta la sentencia del Tribunal de Justicia de la UE (“TJUE”), del 16 de julio, 2020, en el Caso C-311/18, Comisionado de Protección de Datos vs. Facebook Ireland Limited y Maximilian Schrems (“Schrems II”) y el Comité Europeo de Protección de Datos (“EDPB”) en cuanto a las pautas sobre medidas complementarias, a continuación, brindamos información sobre cómo se protege tu información a medida que se transfiere.

Para obtener más información sobre cómo procesamos generalmente los datos personales, consulta nuestro Aviso de privacidad.

Parte I: Transferencias a Momentive

Parte II: Transferencias subsiguientes a subprocesadores

Si eres un cliente de los EE. UU., tu contrato incluirá un Anexo sobre procesamiento de datos (“DPA”) con la entidad estadounidense de Momentive: Momentive Inc. Si tienes usuarios en el Espacio Económico Europeo (“EEE”) o en el Reino Unido (“RU”) y, por lo tanto, necesitas un mecanismo de transferencia para datos de usuario a Momentive, puedes solicitar que agreguemos Cláusulas contractuales estándar para la UE y el RU (“SCC”).

Si eres un cliente con base en el EEE o en el RU, tu contrato incluirá un Anexo sobre procesamiento de datos (“DPA”) con la entidad irlandesa de Momentive: Mometive Europe UC. Dado que tu transferencia a Momentive se realiza entre entidades europeas,  para las que no se necesita un mecanismo de transferencia (o que hayan reconocido el estado de suficiencia de cada una), no es necesario ningún otro mecanismo de transferencia.

Si eres un cliente con base fuera de EE. UU., el EEA o el RU, pero no tienes usuarios en el EEA o el RU y necesitas asegurarte de que exista un mecanismo de transferencia para la transferencia subsiguiente, tu contrato incluirá un DPA con la entidad irlandesa de Momentive, Mometive Europe UC, y puedes solicitar que agreguemos Cláusulas contractuales estándar para la UE y el RU.

Transfieres datos personales a Momentive de modo que es posible que procesemos los datos personales para los siguientes fines:

Deberías evaluar si transfieres datos con cualquier otro fin.

Los datos personales del cliente transferidos a Momentive pueden contener tantos o tan pocos datos personales como decidas proporcionar en las preguntas de las encuestas, los formularios y los cuestionarios. Como plataforma, asumimos que recopilas una gran variedad de datos personales, lo que incluye datos de potenciales categorías especiales. 

La información que recopilamos se especifica en la sección 2 de nuestro Aviso de privacidad.

Como se menciona anteriormente, contratarás con una entidad Momentive en los EE. UU. o Irlanda, según tu ubicación. De acuerdo con el asesoramiento externo especializado en la protección de datos y el análisis de las leyes por las que Momentive se rige, consideramos que el riesgo relacionado con el régimen legal en los EE. UU. es bajo, y el riesgo relacionado con el régimen legal en Irlanda no representa un riesgo sustancial para el interesado. Consulta la sección “Medidas complementarias: Organización” para obtener más información sobre la ley estadounidense de forma específica.

Incluso cuando no exista un riesgo sustancial o el riesgo sea bajo, Momentive ha implementado medidas complementarias para una mayor seguridad de los datos personales. Las medidas complementarias se dividen en tres categorías: (i) contratos; (ii) organización y (iii) controles de seguridad. 

Como se describe anteriormente, Momentive aceptará firmar cláusulas contractuales estándar con los clientes. El juicio de Schrems II indica que las partes pueden usar las SCC y (cuando sea apropiado) medidas de seguridad adicionales para la transferencia de datos personales desde el Reino Unido y el Espacio Económico Europeo (“Datos europeos”) a los Estados Unidos. Si has firmado un acuerdo con Momentive o estás obteniendo servicios de Momentive que requerirán que Momentive procese datos personales de interesados europeos, Momentive (como sea apropiado según la entidad Momentive con la que estés contratando): 

Para obtener más información sobre nuestro acuerdo, que cumple las Cláusulas contractuales estándar, consulta los Términos de uso (para los clientes de autoservicio), el Contrato maestro de servicios (para los clientes de SurveyMonkey Enterprise o GetFeedback Digital), o cualquier otro acuerdo que puedas haber negociado con Momentive.

Las preocupaciones del TJUE sobre las transferencias de datos a los Estados Unidos se basaron en la recopilación de datos del gobierno de los EE. UU. según la Orden Ejecutiva 12333 (“OE 12333”) y la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (“FISA § 702”), especialmente la vigilancia “a gran escala” según FISA § 702.  Los riesgos planteados por estas disposiciones legales estadounidenses no se aplican al procesamiento de datos de Momentive o pueden reducirse de modo suficiente por las medidas de seguridad que ofrece Momentive.

Momentive no es elegible para recibir pedidos de vigilancia “a gran escala” o en masa según FISA § 702. Momentive Inc. actúa, en parte, como un servicio de comunicaciones electrónicas (“SCE”) y, además, como un servicio informático remoto (“SIR”) (según lo definido en las Seccionesnbsp2510 y 2711 del Títulonbsp18 del Código de EE. UU., respectivamente) en cuanto a determinadas características de los servicios o los productos que brindamos a los clientes.  Momentive Inc. por lo tanto, se encuentra dentro del amplio grupo de empresas con las que el gobierno de los Estados Unidos podría cumplir con una directiva específica según FISA § 702.  No obstante, dado que el gobierno de los EE. UU. ha aplicado FISA § 702, Momentive no es elegible para recibir un tipo de orden que fue una gran preocupación para el TJUE en la sentencia del juicio Schrems II —es decir, una orden   FISA § 702 para una vigilancia “a gran escala”.  Dado que el gobierno de los EE. UU. ha aplicado FISA § 702, usa órdenes a gran escala solo para enfocarse en el tráfico a través de proveedores centrales de Internet que proveen tráfico de Internet a terceros (es decir, operadores de telecomunicaciones).  Por ejemplo, consulta el informe de la Junta de Supervisión de la Privacidad y las Libertades Civiles, Informe sobre el Programa de Vigilancia según la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera(Julio 2, 2014), páginas 35-40, disponible en https://fas.org/irp/offdocs/pclob-702.pdf.  Momentive no proporciona esos servicios centrales de Internet, dado que solo realizamos el tráfico que involucra a nuestros propios clientes.  Por lo tanto, no somos elegibles para recibir el tipo de orden principalmente abordada, y considerada problemática, en la sentencia del juicio Schrems II .

Momentive no ha recibido ninguna directiva según FISA § 702, y no es probable que recibamos alguna. A partir de la fecha de esta declaración, Momentive no ha recibido ninguna directiva según FISA § 702 y no tiene ningún motivo para creer que la recibiría.  Los datos personales que Momentive procesa para nuestros clientes –datos de información – es muy poco probable que sean relevantes para las actividades de inteligencia extranjera regidas por FISA § 702.  Además, en el caso de que algún dato personal fuera relevante para una investigación, es más probable que el gobierno busque ese dato a través de otras formas de proceso legal (como una orden de registro aprobada por una corte) que cumpla con los elevados estándares para el acceso del gobierno a los datos descritos en la sentencia del juicio Schrems II .  Esto se debe a que sería más rápido y más fácil que el gobierno busque un pedido o una orden de registro en algún otro instrumento que no sea FISA § 702 que implementar los mecanismos requeridos para que el gobierno aplique en Momentive las directivas según FISA § 702.

Momentive no colabora, y no se le puede ordenar que colabore, con las autoridades de los EE. UU. para que recopilen información según la Orden Ejecutiva 12333. Momentive no colabora ni colaborará con las autoridades de los EE. UU. para realizar vigilancia según la OE 12333.  La OE 12333 no otorga al gobierno de los EE. UU. la capacidad para obligar a las empresas a proporcionar ayuda con estas actividades, y Momentive no lo hará voluntariamente.  Por lo tanto, Momentive no realiza ninguna acción, ni se le puede ordenar que la realice, para facilitar el tipo de vigilancia masiva según la OE 12333 que la sentencia del juicio Schrems II consideró problemática.

Momentive proporciona una variedad de medidas técnicas que resuelven las deficiencias principales mencionadas en la sentencia del juicio Schrems II que se mencionan anteriormente (vigilancia masiva según FISA § 702 e interceptaciones masivas según OE 12333).  

Momentive cifra todos los datos almacenados en nuestros centros de datos mediante cifrado basado en AES 256. Además, Momentive cifra todos los datos en movimiento utilizando (i) RSA con certificados basados en claves de 2048 bits generados a través de una autoridad certificadora pública, para comunicaciones con entidades fuera de los centros de datos de Momentive, y (ii) certificados RSA 256 generados a través de una autoridad certificadora interna, para todos los datos dentro del centro de datos.  El objetivo de estos esfuerzos de cifrado es prevenir la adquisición no autorizada de datos de manera inteligible y evitar las escuchas telefónicas/la manipulación no autorizadas cuando los datos están en tránsito entre dos puntos de conexión. 

Algunos clientes de Momentive (por ejemplo, clientes de GetFeedback Digital) solo almacenan sus datos en la Unión Europea. En esas instancias, los datos no se almacenan en los EE. UU. y solamente se produce un acceso mínimo a esos datos en los Estados Unidos con fines limitados (por ejemplo, ayudar al cliente con un pedido, hacer el seguimiento de asistencia a las escolta y acceder a recursos limitados de ingeniería para solucionar problemas/errores técnicos o implementar sistemas).

Momentive también mantiene estrictos procedimientos administrativos, técnicos y físicos para proteger la información almacenada en sus servidores. El acceso a la información personal se limita, mediante credenciales de inicio de sesión, a aquellos empleados que lo requieren para realizar su trabajo. Momentive implementa técnicas para minimizar los datos a fin de limitar la cantidad de datos personales que se transfiere desde la UE a jurisdicciones de terceros para incluir, cuando sea apropiado, el anonimato o la desidentificación de los datos. Además, Momentive usa controles de acceso, como la autenticación de factores múltiples, registro único, acceso según se necesite, sólidos controles de contraseñas y acceso restringido a las cuentas administrativas.  

Además, como SCE/SIR, Momentive está sujeto a la Ley de Privacidad de las Comunicaciones Electrónicas, 18 USC. § 2701, y siguientes  (“ECPA”), de los EE. UU., que brinda protección a los clientes de Momentive.  Por ejemplo, la ECPA prohíbe que las entidades gubernamentales busquen información sobre los clientes de servicios como Momentive, a menos que esas entidades gubernamentales primero obtengan un proceso legítimo, incluso una orden judicial o una orden de registro, para la información que no sea la básica del subscriptor.  Del mismo modo, tanto FISA como ECPA proporcionan resarcimientos a los clientes de Momentive contra el gobierno de los EE. UU. (lo que incluye compensaciones pecuniarias o medidas disciplinarias contra las autoridades gubernamentales pertinentes) si obtiene, de forma inapropiada, información sobre ellos (consulta 18 USC. § 2712).

Los asesores legales externos de Momentive tienen experiencia en responder a solicitudes gubernamentales de los EE. UU. para datos de usuarios, incluidas las solicitudes de seguridad nacionales de los EE. UU. según FISA § 702.  La política de Momentive es remitir esas solicitudes a una instancia superior en el equipo de cumplimiento interno de Momentive y, según sea necesario, a esos asesores externos para su revisión.  Cuando corresponda, Momentive se propone utilizar los mecanismos legales disponibles para objetar las demandas de acceso de datos usando FISA § 702 (incluso las disposiciones o pedidos de no divulgación inherentes a este documento) en el improbable caso de que Momentive reciba una demanda.  La demanda será revisada por una corte de los EE. UU. (el tribunal FISA). 

Momentive también reconoce que una orden para proporcionar acceso a datos según FISA § 702 requeriría que Momentive notificara a nuestros clientes que ya no podríamos cumplir con las Cláusulas contractuales estándar, lo que les permitiría finalizar el acuerdo con nosotros y suspender el flujo de datos hacia nosotros.  Nunca hemos tenido necesidad de emitir un aviso de ese tipo.

Tomando en cuenta el análisis anterior, consideramos que el riesgo de daño a los datos no es sustancial.

La tabla a continuación resume nuestra conclusión de la evaluación de impacto de transferencias.

Riesgo “No sustancial” significa que los datos personales se transfieren a una jurisdicción que la Comisión Europea ha considerado adecuada (y, por lo tanto, los amparos jurídicos son equivalentes a los amparos jurídicos en Europa), y que hay medidas contractuales, técnicas y organizativas vigentes para proteger los datos.

Riesgo “Bajo” significa que los datos personales se transfieren a una jurisdicción con un mecanismo de la RGPD, Capítulo V, que no es la suficiencia. Aunque los amparos jurídicos no son necesariamente equivalentes a los amparos jurídicos en Europa, la transferencia cumple con los aspectos legales, y las medidas contractuales, técnicas y organizativas vigentes los refuerzan para proteger los datos.

Los subprocesadores son proveedores de Momentive que procesan tus datos personales para ayudar a que Momentive te brinde servicio. Todos los subprocesadores de Momentive tienen la obligación contractual de proteger los datos personales con medidas de seguridad que no sean menos onerosas que las estándar que aplicamos a los datos personales bajo nuestro control.

Cuando Momentive transfiere datos personales a subprocesadores, realizamos una Evaluación de impacto de transferencias (“TIA”) similar a los pasos detallados anteriormente. De este modo, garantizamos que tus datos personales estén protegidos a cada paso, como lo exige la ley de protección de datos y nuestro contrato contigo. A continuación, te ofrecemos un resumen de los puntos destacados de la TIA para cada subprocesador.

Ten en cuenta que no todos los subprocesadores se usan para ofrecer todos nuestros servicios. La lista de nuestros subprocesadores está segmentada en servicios específicos de Momentive. 

Si deseas recibir notificaciones por correo electrónico de las actualizaciones de nuestra Lista de subprocesadores, suscríbete aquí.

Monitor de campaña, Turbine Room Ltd (FirstOfficer.io) y Salesloft, Inc., que anteriormente eran subprocesadores de GetFeedback Direct, se eliminaron de esta lista.