Acuerdo de procesamiento de datos

El presente Acuerdo de Procesamiento de Datos ("APD") complementa las Condiciones de Uso, que se actualizan periódicamente entre usted (junto con sus filiales y empresas asociadas, denominadas conjuntamente "Cliente") y Claspo.io (junto con su(s) filial(es), denominada(s) conjuntamente "Claspo.io") cuando el GDPR se aplica al uso por parte del Cliente de los Servicios de Claspo.io para procesar los datos del Cliente.

El presente APD entrará en vigor en la fecha en que el Cliente acepte las Condiciones de Uso. En caso de conflicto entre el presente APD y las Condiciones de Uso, prevalecerán los términos pertinentes del presente APD.

Póngase en contacto con nuestro responsable de protección de datos (RPD) en info@claspo.io si necesita asesoramiento o recomendaciones sobre la interpretación o aplicación de las normas de protección de datos.

EL PRESENTE ACUERDO SE CELEBRA ENTRE:

1. Cliente

2. ARDAS INTERNATIONAL INC., COUNTY OF SUSSEX, EE.UU., debidamente representada por Andrii Ryzhokhin con el debido poder y autoridad a los efectos del presente documento, con domicilio social en 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, EE.UU.

SE ACUERDA LO SIGUIENTE:

1. Ámbito de aplicación y orden de precedencia

El presente acuerdo (el "Acuerdo de Tratamiento de Datos") se aplica al Tratamiento por su parte de los Datos Personales facilitados a Claspo.io por el Cliente, tal y como se especifica en el acuerdo suscrito entre Claspo.io y el Cliente con fecha de aceptación de las Condiciones de Uso por parte del Cliente (el "Acuerdo").

El presente Acuerdo de Procesamiento de Datos está sujeto a los términos del Acuerdo y se incorpora al mismo. Salvo que se indique lo contrario en el presente Acuerdo de Procesamiento de Datos, en caso de conflicto entre los términos del Acuerdo y los términos del presente Acuerdo de Procesamiento de Datos, prevalecerán los términos pertinentes del presente Acuerdo de Procesamiento de Datos.

2. Definiciones

Los términos en mayúsculas no definidos de otro modo en el presente Acuerdo de Proceso de Datos tendrán los significados respectivos que se les asignan en el Acuerdo.

"Cliente" o "Responsable del tratamiento" se refiere al Cliente.

Por "Directiva" se entiende la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, modificada, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

"Cláusulas tipo" significa las cláusulas contractuales tipo anexas a la Decisión 2021/914/UE de la Comisión de la UE, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (transferencias del responsable al encargado del tratamiento), en su versión modificada, sustituida o reemplazada de vez en cuando.

Por "Datos Personales" se entenderá cualquier información relativa a una persona física identificada o identificable que (i) el Cliente o cualquier persona que actúe en su nombre facilite a Claspo.io o (ii) Claspo.io procese como parte de los servicios prestados en virtud del Acuerdo. Una persona física identificada o identificable (un "Sujeto de Datos") es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

Por "Tratamiento" o "Procesamiento" se entenderá cualquier operación o conjunto de operaciones que Claspo.io realice en el marco del Acuerdo sobre Datos Personales, ya sea por medios automatizados o no, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

"Procesador" o "Claspo.io" se refiere a la entidad mencionada anteriormente.

"Suben cargado del tratamiento" significa un subcontratista externo contratado por Claspo.io que, como parte de la función del subcontratista de prestar los servicios previstos en el Acuerdo, tratará Datos Personales pertenecientes al Cliente.

El "Reglamento" significa el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Otros términos tienen las definiciones previstas para ellos en el Acuerdo o como se especifica a continuación.

3. Categorías de datos personales y finalidad del tratamiento de datos personales

Tipos de datos personales de la empresa que se tratarán:

A. Clientes y usuarios: datos de identificación y contacto (nombre, dirección, cargo, datos de contacto, nombre de usuario); información financiera (datos de la cuenta, información de pago); datos laborales (empleador, cargo, ubicación geográfica, área de responsabilidad);

B. Abonados: datos de identificación y contacto (nombre, fecha de nacimiento, sexo, general, ocupación u otra información demográfica, dirección, cargo, datos de contacto, incluida la dirección de correo electrónico), intereses o preferencias personales (incluido el historial de compras, preferencias de marketing); información informática (direcciones IP, datos de uso, datos de cookies, datos de navegación en línea, datos de localización, datos del navegador).

Está prohibido el tratamiento de categorías especiales de datos personales.

Los datos se transfieren de forma continua.

El tratamiento de los datos consiste en lo siguiente: recogida, clasificación, almacenamiento, transferencia, restricción y supresión de los datos del responsable del tratamiento para proporcionar las comunicaciones de marketing pertinentes.

La finalidad del tratamiento es ayudar al responsable del tratamiento a proporcionar comunicaciones de marketing pertinentes.

Los datos personales se tratarán y conservarán mientras sea necesaria la ejecución del Acuerdo y se eliminarán a petición del responsable del tratamiento y de conformidad con sus instrucciones.

4. Instrucciones del controlador

Durante la vigencia del Acuerdo, el Cliente podrá dar instrucciones a Claspo.io adicionales a las especificadas en el Acuerdo en relación con el tratamiento de los Datos Personales. Claspo.io cumplirá todas esas instrucciones sin cargo adicional en la medida en que sea necesario para que Claspo.io cumpla la legislación aplicable a Claspo.io como encargado del tratamiento de datos en la ejecución del Contrato.

Claspo.io informará inmediatamente al Cliente si, en opinión de Claspo.io, una instrucción infringe la Directiva, el Reglamento u otras disposiciones aplicables en materia de protección de datos y/o privacidad.

El control de los Datos Personales sigue correspondiendo al Cliente, y entre el Cliente y Claspo.io, el Cliente seguirá siendo en todo momento el responsable del tratamiento a los efectos del Contrato y del presente Acuerdo de Tratamiento de Datos. El Cliente es responsable del cumplimiento de sus obligaciones como responsable del tratamiento en virtud de las leyes de protección de datos, en particular de sus decisiones y acciones relativas al Tratamiento y uso de los datos.

5. Derechos del interesado

Claspo.io se compromete a ayudar al Cliente a responder a las solicitudes de los interesados que ejerzan sus derechos de acceso, rectificación, supresión, limitación, portabilidad de datos u oposición.

En particular, siguiendo las instrucciones del Cliente, Claspo.io borrará, liberará, corregirá o restringirá el acceso a cualquier Dato Personal específico y se compromete a transmitir sin demora al Cliente cualquier solicitud de un interesado individual para acceder, rectificar, borrar, restringir u oponerse a los Datos Personales Tratados en virtud del Acuerdo.

6. Obligaciones del procesador

Además de otras disposiciones del presente Acuerdo de Tratamiento de Datos, Claspo.io se compromete a:

designar a un responsable de la protección de datos, cuando así lo exija la legislación aplicable, y facilitar al Cliente sus datos de contacto;
se asegurará de que todas las personas que tengan acceso a los Datos Personales pertenecientes al Cliente en virtud del Acuerdo y del Acuerdo de Tratamiento de Datos se comprometan a mantener la confidencialidad y hayan firmado acuerdos con Claspo.io que contengan protecciones no menos estrictas que las aquí previstas, y serán informadas por Claspo.io de cualquier requisito de protección de datos relacionado con el Tratamiento de los Datos Personales, incluida la limitación del uso a la finalidad específica del Acuerdo y las instrucciones del Cliente; y
ayudar al Cliente a garantizar el cumplimiento de sus obligaciones en materia de seguridad de los datos personales. En particular, Claspo.io se compromete a notificar sin demora al Cliente cualquier violación de los datos, tal y como se describe en el apartado 11 siguiente, y a prestar toda la asistencia razonable al Cliente en la realización de una evaluación de impacto en materia de protección de datos relacionada directa o indirectamente con el Acuerdo y/o el Acuerdo de Tratamiento de Datos.

7. Transferencia transfronteriza y ulterior de datos

Claspo.io tratará todos los Datos Personales de conformidad con los requisitos del Acuerdo y del presente Acuerdo de Tratamiento de Datos en todos los lugares del mundo.

En la medida en que los Datos Personales procedentes del EEE sean transferidos por el Cliente a Claspo.io, o a cualquiera de los Subprocuradores de Claspo.io ubicados en países fuera del EEE que no hayan recibido una decisión vinculante de adecuación por parte de la Comisión Europea de conformidad con el artículo 25, apartado 6, y el artículo 31, apartado 2, de la Directiva o, alternativamente, de conformidad con el artículo 45 del Reglamento o por una autoridad nacional competente en materia de protección de datos, dichas transferencias deberán gestionarse de la siguiente manera:

Las transferencias del Cliente a Claspo.io, en su caso, se realizarán con sujeción a los términos del presente Acuerdo de Tratamiento de Datos y a las Cláusulas Tipo reproducidas en el Apéndice 3.
Para las transferencias de Claspo.io a los Subencargados del Tratamiento de Claspo.io, cuando proceda, Claspo.io se asegurará de que dichas transferencias estén sujetas a (i) cualquier mecanismo de transferencia apropiado que proporcione un nivel de protección adecuado en cumplimiento de los requisitos aplicables de los artículos 25 y 26 de la Directiva/artículo 45 del Reglamento, o (ii) la ejecución de Cláusulas Tipo que incorporen requisitos de seguridad y otros requisitos de privacidad de datos al menos tan restrictivos como los del presente Acuerdo de Tratamiento de Datos.

No debe realizarse ninguna transferencia a un país fuera del EEE sin el consentimiento previo por escrito del Cliente.

8. Subprocuradores

8Claspo.io no subcontratará ninguna de las operaciones de Procesamiento realizadas en nombre del Cliente en virtud del Acuerdo sin el consentimiento previo por escrito del Cliente.

Por la presente, el Cliente acepta expresamente que Claspo.io utilice los Subprocuradores enumerados en el Anexo 1.

Cuando Claspo.io contrate a Subencargados del Tratamiento con el consentimiento del Cliente, Claspo.io sólo lo hará mediante un acuerdo escrito con el Subencargado del Tratamiento que imponga al Subencargado las mismas obligaciones que se imponen a Claspo.io en virtud del presente Acuerdo de Tratamiento de Datos.

Claspo.io será responsable en todo momento del cumplimiento de los términos del Acuerdo y del presente Acuerdo de Tratamiento de Datos por parte de los Subencargados de Tratamiento de Claspo.io.

El Cliente podrá solicitar a Claspo.io que audite al Subencargado del Tratamiento o que le confirme que se ha realizado dicha auditoría (o, cuando esté disponible, obtener o ayudar al Cliente a obtener un informe de auditoría de terceros relativo a las operaciones del Subencargado del Tratamiento) para garantizar el cumplimiento de sus obligaciones. El Cliente también tendrá derecho, previa solicitud por escrito, a recibir copias de los términos pertinentes del acuerdo de Claspo.io con los Subencargados del Tratamiento que puedan tratar Datos Personales.

9. Medidas técnicas y organizativas

Al tratar Datos Personales por cuenta del Cliente en relación con el Contrato, Claspo.io garantiza que Claspo.io ha implementado y mantendrá las medidas de seguridad técnicas y organizativas adecuadas para el tratamiento de dichos datos, incluidas las medidas especificadas en el Apéndice 2.

Estas medidas tienen por objeto proteger los Datos Personales contra la pérdida, la destrucción, la alteración, la difusión o el acceso accidentales o no autorizados, así como contra cualquier otra forma ilícita de tratamiento. En el Acuerdo podrá especificarse información adicional sobre dichas medidas.

Claspo.io se compromete a documentar la aplicación de las medidas técnicas y organizativas para proporcionar esta documentación al Cliente cuando éste lo solicite y a presentarle cualquier actualización de la misma.

10. Derechos de auditoría

El Cliente podrá auditar, a su costa, el cumplimiento por parte de Claspo.io de los términos del Contrato y del presente Acuerdo de Tratamiento de Datos. En caso de que la auditoría deba ser realizada por un tercero, éste deberá ser designado de mutuo acuerdo por el Cliente y Claspo.io y deberá suscribir un acuerdo de confidencialidad por escrito antes de llevar a cabo la auditoría.

Para solicitar una auditoría, el Cliente deberá presentar a Claspo.io un plan de auditoría con al menos dos semanas de antelación a la fecha propuesta para la auditoría en el que se describa el alcance, la duración y la fecha de inicio de la auditoría propuestos. Claspo.io revisará el plan de auditoría y comunicará al Cliente cualquier duda o pregunta que Claspo.io se comprometa a trabajar en colaboración con el Cliente para acordar un plan de auditoría definitivo.

La auditoría se llevará a cabo durante el horario laboral habitual en las instalaciones correspondientes y no podrá interferir de forma injustificada con las actividades comerciales de Claspo.io.

El Cliente facilitará a Claspo.io una copia de todos los informes de auditoría generados en relación con cualquier auditoría realizada en virtud de la presente sección, salvo que la ley lo prohíba. El Cliente podrá utilizar los informes de auditoría únicamente con el fin de cumplir sus requisitos reglamentarios de auditoría y/o confirmar el cumplimiento de los requisitos del Acuerdo, del presente Acuerdo de Proceso de Datos y de la legislación aplicable. Los informes de auditoría son Información Confidencial de las partes según los términos del Acuerdo.

Claspo.io se compromete a proporcionar asistencia razonable en cualquier auditoría realizada por el Cliente.

Claspo.io acepta que la autoridad competente en materia de protección de datos tenga derecho a realizar una inspección de Claspo.io, así como de cualquier Subencargado del tratamiento.

Claspo.io se compromete a poner a disposición del Cliente y/o de la autoridad competente en materia de protección de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo de Tratamiento de Datos y en la legislación aplicable, así como a cooperar plenamente con el Cliente y/o con cualquier autoridad competente en materia de protección de datos en el curso de cualquier auditoría y/o inspección.

11. Notificación de violación de datos

A efectos del presente apartado, se entenderá por "Vulneración de la Seguridad" una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a Datos Personales transmitidos, almacenados o tratados de cualquier otra forma en los sistemas de Claspo.io o en el entorno de Claspo.io. Claspo.io informará inmediatamente al Cliente si determina que los Datos Personales han sido objeto de una Vulneración de la Seguridad (incluso por parte de uno de los empleados de Claspo.io) o de cualquier otra circunstancia en la que el Cliente esté obligado a realizar una notificación en virtud de la legislación aplicable.

Claspo.io investigará sin demora la violación de la seguridad y adoptará medidas razonables para identificar sus causas y evitar que se repita. A medida que la información se recopile o esté disponible, Claspo.io proporcionará al Cliente una descripción de la violación de seguridad, el tipo de datos objeto de la violación y cualquier otra información que el Cliente pueda solicitar razonablemente sobre las personas afectadas. Las partes acuerdan coordinarse de buena fe para desarrollar el contenido de cualquier declaración pública relacionada o cualquier notificación requerida para las personas afectadas y/o las autoridades de protección de datos pertinentes.

12. Devolución y eliminación de datos personales al finalizar el contrato o a petición del cliente

Salvo que se estipule lo contrario en el Contrato, tras la rescisión del Contrato, Claspo.io devolverá o pondrá a disposición para su recuperación todos los Datos Personales del Cliente.

Tras la devolución de los datos, o según se especifique de otro modo en el Acuerdo, Claspo.io eliminará sin demora todas las copias de los Datos Personales que Claspo.io pueda tener, salvo en la medida en que lo exija la ley.

13. Divulgaciones legalmente obligatorias

Salvo que la ley exija lo contrario, Claspo.io notificará sin demora al Cliente cualquier citación, orden judicial, administrativa o arbitral de un organismo ejecutivo o administrativo u otra autoridad gubernamental ("Demanda") que reciba y que esté relacionada con los Datos Personales que Claspo.io esté tratando en nombre del Cliente.

A petición del Cliente, Claspo.io facilitará al Cliente la información razonable que obre en poder de Claspo.io y que pueda responder a la Demanda, así como cualquier ayuda razonablemente necesaria para que el Cliente pueda responder a la Demanda en tiempo y forma.

Por: ....................................

En nombre y representación de ARDAS INTERNATIONAL INC. debidamente facultado para firmar el presente Acuerdo.

Por: ………………………………

Por y en nombre del Cliente debidamente facultado para firmar el presente Acuerdo.

Apéndice 1: Lista de subencargados del tratamiento (si procede)

Nombre del subprocesador	Dirección	Actividad de Subprocesador para Claspo.io	Medidas de seguridad de los subprocesadores
Servicios web de Amazon	Dublín, Irlanda	alquilar servidores y otros recursos para procesar los datos	https://aws.amazon.com/products/security
Interfono	California, EE.UU	soluciones de chat en directo y servicio de asistencia	https://www.intercom.com/security
Hetzner Online GmbH	Gunzenhausen, Alemania	alquiler de servidores y otros recursos para alojar servicios en línea	https://www.hetzner.com/unternehmen/zertifizierung/
Google Ireland Ltd.	Dublín, Irlanda	almacenamiento de datos, creación de cuadros de mando analíticos	https://www.google.com/about/datacenters/data-security/
Stripe, Inc.	Dublín, Irlanda	procesamiento de pagos en línea	https://stripe.com/docs/security

Apéndice 2: Medidas organizativas y técnicas aplicadas por Claspo.io

Control de acceso físico (medidas para impedir que personas no autorizadas accedan a los equipos de tratamiento de datos (por ejemplo, dispositivos, servidores de bases de datos y aplicaciones y hardware relacionado) en los que se tratan o utilizan los datos personales).

Procesamiento externalizado: Alojamos nuestro Servicio con proveedores de infraestructura en la nube subcontratados. Además, mantenemos relaciones contractuales con proveedores para prestar el Servicio de conformidad con nuestra APD. Nos basamos en acuerdos contractuales, políticas de privacidad y programas de cumplimiento de los proveedores para proteger los datos procesados o almacenados por estos proveedores.

Seguridad física y medioambiental: Alojamos la infraestructura de nuestros productos con proveedores de infraestructura subcontratados y con múltiples inquilinos. Los controles de seguridad física y medioambiental de los proveedores se someten a auditorías de cumplimiento de las normas SOC 2 Tipo II e ISO 27001, entre otras certificaciones.

Control de acceso al sistema (medidas para impedir que los sistemas de tratamiento de datos sean utilizados por personas no autorizadas)

Autorización: Los Datos de los Clientes se almacenan en sistemas de almacenamiento multiusuario accesibles a los Clientes únicamente a través de interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no pueden acceder directamente a la infraestructura de aplicaciones subyacente. El modelo de autorización de cada uno de nuestros productos está diseñado para garantizar que sólo las personas debidamente asignadas puedan acceder a las funciones, vistas y opciones de personalización pertinentes. La autorización a los conjuntos de datos se realiza mediante la validación de los permisos del usuario frente a los atributos asociados a cada conjunto de datos.

Autenticación: Aplicamos una política uniforme de contraseñas para nuestros productos de cliente. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a datos no públicos del cliente.

Control de acceso a los datos (medidas para garantizar que las personas autorizadas a utilizar los sistemas de tratamiento de datos sólo puedan acceder a los datos dentro del ámbito y en la medida cubiertos por su respectivo permiso de acceso (autorización) y que los datos personales no puedan ser leídos, copiados o modificados o eliminados sin autorización).

Acceso a los productos: Un subconjunto de nuestros empleados tiene acceso a los productos y a los datos de los clientes a través de interfaces controladas. El objetivo de proporcionar acceso a un subconjunto de empleados es proporcionar una asistencia eficaz al cliente, solucionar posibles problemas, detectar y responder a incidentes de seguridad y aplicar la seguridad de los datos. El acceso se habilita mediante solicitudes de acceso "justo a tiempo"; todas estas solicitudes se registran. A los empleados se les concede acceso por función, y las revisiones de las concesiones de privilegios de alto riesgo se inician diariamente. Las funciones de los empleados se revisan al menos una vez cada seis meses.

Verificación de antecedentes: Todos los empleados se someten a una comprobación de antecedentes por parte de terceros antes de recibir una oferta de empleo, de acuerdo con la legislación aplicable y según lo permitido por ésta. Todos los empleados deben comportarse de acuerdo con las directrices de la empresa, los requisitos de confidencialidad y las normas éticas.

Control de la transmisión (medidas para impedir que los datos personales puedan ser leídos, copiados, alterados o suprimidos por personas no autorizadas durante su transmisión o durante el transporte de los soportes de datos)

En tránsito: Hacemos que el cifrado HTTPS (también denominado SSL o TLS) esté disponible en cada una de sus interfaces de inicio de sesión. Nuestra implementación de HTTPS utiliza algoritmos y certificados estándar del sector.

En reposo: Almacenamos las contraseñas de los usuarios siguiendo políticas que siguen las prácticas estándar del sector en materia de seguridad. Hemos implementado tecnologías para garantizar que los datos almacenados estén cifrados en reposo.

Control de entrada (medidas para garantizar que sea posible comprobar y establecer si se han introducido datos personales en los sistemas de tratamiento de datos o se han eliminado, y quién lo ha hecho)

Detección: Diseñamos nuestra infraestructura para registrar amplia información sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos agregan datos de registro y alertan a los empleados adecuados de actividades maliciosas, no intencionadas o anómalas. Nuestro personal, incluido el de seguridad, operaciones y soporte, responde a los incidentes conocidos.

Respuesta y seguimiento: Mantenemos un registro de los incidentes de seguridad conocidos que incluye la descripción, las fechas y horas de las actividades relevantes y la disposición del incidente. Los incidentes de seguridad sospechosos y confirmados son investigados por el personal de seguridad, operaciones o soporte, y se identifican y documentan los pasos adecuados para su resolución. Para cualquier incidente confirmado, tomaremos las medidas adecuadas para minimizar los daños al producto y al cliente o la divulgación no autorizada. La notificación al Cliente se realizará de conformidad con los términos del Acuerdo.

Control del trabajo (medidas para garantizar que los datos se tratan estrictamente de acuerdo con las instrucciones del Cliente)

Nuestro sistema está ubicado en una nube segura, utilizamos encriptación para cualquier dato sensible, gestión de acceso centralizada con roles estrictos y acceso muy limitado a las bases de datos para nuestro material. Además, registramos cualquier acción en los servidores y la plataforma en la nube.

Control de disponibilidad (medidas para garantizar la protección de los datos frente a la destrucción o pérdida accidental)

Disponibilidad de la infraestructura: Los proveedores de infraestructuras realizan esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen una redundancia mínima de N+1 en los servicios de alimentación, red y climatización.

Tolerancia a fallos: Las estrategias de copia de seguridad y replicación están diseñadas para garantizar la redundancia y las protecciones de conmutación por error durante un fallo de procesamiento importante. Se realizan copias de seguridad de los datos de los clientes en varios almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad en línea: Siempre que sea factible, las bases de datos de producción están diseñadas para replicar datos entre no menos de 1 base de datos primaria y 1 secundaria. Se realizan copias de seguridad de todas las bases de datos y se mantienen utilizando, como mínimo, los métodos estándar del sector.

Nuestros productos están diseñados para garantizar la redundancia y la conmutación por error sin fisuras. Las instancias de servidor que soportan los productos también están diseñadas con el objetivo de evitar puntos únicos de fallo. Este diseño ayuda a nuestras operaciones a mantener y actualizar las aplicaciones de productos y el backend, limitando al mismo tiempo el tiempo de inactividad.

Segregación de datos (Segregación de datos (medidas para separar el tratamiento con fines y/u operaciones diferentes) Medidas para prever el tratamiento por separado (almacenamiento, modificación, supresión, transmisión) de los datos para distintos fines:

a) Los entornos utilizados para el desarrollo, las pruebas y la producción están separados físicamente.

b) No se permite el uso de datos de producción no anonimizados en el entorno de desarrollo.

Apéndice 3: Cláusulas tipo (si procede)

Unidad C.3: Protección de datos

Decisión de la Comisión C (2010)593

Cláusulas contractuales tipo (procesadores)

A efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE, para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos.

Nombre de la organización exportadora de datos: Cliente

Cliente

Tel.: N/A ; fax:N/A ; e-mail:

Otra información necesaria para identificar a la organización: N/A

(el exportador de datos)

Nombre de la organización importadora de datos: ARDAS INTERNATIONAL INC.

Dirección: 16192 COASTAL HIGHWAY, LEWES, DE 19958, CONDADO DE SUSSEX, EE.UU.

Correo electrónico: info@claspo.io

(el importador de datos)

cada una "parte"; conjuntamente "las partes",

HAN CONVENIDO en las siguientes Cláusulas Contractuales (las Cláusulas) a fin de establecer garantías adecuadas con respecto a la protección de la intimidad y de los derechos y libertades fundamentales de las personas físicas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.

Artículo 1

Definiciones

A efectos de las Cláusulas:

(a) "datos personales", "categorías especiales de datos", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos1;

(b) "exportador de datos": el responsable del tratamiento que transfiere los datos personales;

(c) "importador de datos": el encargado del tratamiento que acepta recibir del exportador de datos los datos personales destinados a ser tratados en su nombre tras la transferencia, de conformidad con sus instrucciones y los términos de las cláusulas, y que no está sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del apartado 1 del artículo 25 de la Directiva 95/46/CE;

(d) "el subencargado del tratamiento": todo encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos personales destinados exclusivamente a actividades de tratamiento que se llevarán a cabo por cuenta del exportador de datos tras la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;

(e)"legislación aplicable en materia de protección de datos": la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que está establecido el exportador de datos;

(f) "medidas de seguridad técnicas y organizativas": las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otra forma de tratamiento ilícito.

¹Las partes podrán reproducir las definiciones y acepciones contenidas en la Directiva 95/46/CE dentro de esta Cláusula si consideran que es mejor que el contrato sea independiente.

Artículo 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

Artículo 3

Cláusula de tercero beneficiario

TEl interesado puede hacer valer frente al exportador de datos la presente cláusula, la cláusula 4(b) a (i), la cláusula 5(a) a (e), y (g) a (j), la cláusula 6(1) y (2), la cláusula 7, la cláusula 8(2), y las cláusulas 9 a 12 como tercero beneficiario.

El interesado podrá hacer valer frente al importador de datos la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad.

El interesado podrá hacer valer frente al subencargado del tratamiento la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las cláusulas.

Las partes no se oponen a que un interesado esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.

Artículo 4

Obligaciones del exportador de datos

El exportador de datos acepta y garantiza:

a. que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades pertinentes del Estado miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;

b. que ha dado instrucciones y durante toda la duración de los servicios de tratamiento de datos personales dará instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y con las Cláusulas;

c.que el importador de datos ofrecerá garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;

d. que, tras evaluar los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otra forma ilícita de tratamiento, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos que presente el tratamiento y a la naturaleza de los datos que deban protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;

e. que garantizará el cumplimiento de las medidas de seguridad;

f. que, si la transferencia afecta a categorías especiales de datos, se ha informado o se informará al interesado antes de la transferencia, o lo antes posible después de la misma, de que sus datos podrían transmitirse a un tercer país que no ofrezca una protección adecuada en el sentido de la Directiva 95/46/CE;

g. remitir toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la cláusula 5, letra b), y la cláusula 8, apartado 3, a la autoridad de control de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;

h. poner a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial;

i. que, en caso de subtratamiento, la actividad de tratamiento se lleve a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos en virtud de las cláusulas; y

j. que garantizará el cumplimiento de la cláusula 4(a) a (i).

Artículo 5

Obligaciones del importador de datos²

El importador de datos acepta y garantiza:

a. procesar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar dicha conformidad por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

b. que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial sobre las garantías y obligaciones previstas en las Cláusulas, notificará sin demora el cambio al exportador de datos tan pronto como tenga conocimiento del mismo, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;

c. que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos;

d. que notificará sin demora al exportador de datos:

i. cualquier solicitud jurídicamente vinculante de divulgación de datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del Derecho penal para preservar la confidencialidad de una investigación policial,

ii. cualquier acceso accidental o no autorizado, y

iii. cualquier solicitud recibida directamente de los interesados, sin responder a dicha solicitud a menos que se le haya autorizado a hacerlo de otro modo;

e. atender rápida y adecuadamente todas las consultas del exportador de datos relativas a su tratamiento de los datos personales objeto de la transferencia y acatar el dictamen de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

f. a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento cubiertas por las Cláusulas, que será realizada por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujetos a un deber de confidencialidad, seleccionados por el exportador de datos, en su caso, de acuerdo con la autoridad de control;

g. poner a disposición del interesado que lo solicite una copia de las Cláusulas, o de cualquier contrato existente para el subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial, con excepción del Apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;

h. que, en caso de subtratamiento, ha informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;

i. que los servicios de tratamiento por parte del subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;

j. enviar sin demora al exportador de datos una copia de cualquier acuerdo de subencargado del tratamiento que celebre en virtud de las Cláusulas.

2Los requisitos obligatorios de la legislación nacional aplicable al importador de datos que no vayan más allá de lo necesario en una sociedad democrática sobre la base de uno de los intereses enumerados en el artículo 13, apartado 1, de la Directiva 95/46/CE, es decir, si constituyen una medida necesaria para salvaguardar la seguridad nacional, la defensa, la seguridad pública, la prevención, investigación, detección y enjuiciamiento de delitos penales o de infracciones deontológicas de las profesiones reguladas, un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de terceros, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de estos requisitos obligatorios que no van más allá de lo necesario en una sociedad democrática son, entre otros, las sanciones reconocidas internacionalmente, los requisitos de información fiscal o los requisitos de información contra el blanqueo de dinero.

Artículo 6

Responsabilidad

Las partes acuerdan que cualquier interesado que haya sufrido daños como consecuencia de cualquier incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquiera de las partes o subencargados del tratamiento tendrá derecho a recibir una indemnización del exportador de datos por los daños sufridos.

Si un interesado no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por el importador de datos o su subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente, el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.

Si un interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por el subencargado del tratamiento de cualquiera de sus obligaciones a que se refieren la cláusula 3 o la cláusula 11, debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes, el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento en relación con sus propias operaciones de tratamiento con arreglo a las cláusulas como si fuera el exportador o el importador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.

Artículo 7

Mediación y jurisdicción

El importador de datos acepta que, si el interesado invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:

someter el litigio a la mediación de una persona independiente o, en su caso, de la autoridad de control;
someter el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.

Las partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales a interponer recursos de conformidad con otras disposiciones de la legislación nacional o internacional.

Artículo 8

Cooperación con las autoridades de supervisión

El exportador de datos se compromete a depositar una copia del presente contrato ante la autoridad de control si ésta así lo solicita o si dicho depósito es obligatorio en virtud de la legislación aplicable en materia de protección de datos.

Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos, y de cualquier subencargado del tratamiento, que tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable en materia de protección de datos.

El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra b) de la cláusula 5.

Artículo 9

Derecho aplicable

Las Cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

Artículo 10

Variación del contrato

Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.

Artículo 11

Subprocesamiento

El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos con arreglo a las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas3. En caso de que el subencargado del tratamiento incumpla sus obligaciones en materia de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.

El contrato escrito previo entre el importador de datos y el subencargado del tratamiento también establecerá una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda presentar la reclamación de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de facto o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.

Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

El exportador de datos mantendrá una lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

³Este requisito podrá cumplirse si el subencargado del tratamiento firma conjuntamente el contrato celebrado entre el exportador y el importador de datos en virtud de la presente Decisión.

Artículo 12

Obligación tras la finalización de los servicios de tratamiento de datos personales

Las partes acuerdan que, una vez finalizada la prestación de servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruir todos los datos personales y certificar al exportador de datos que así lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir todos o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que no volverá a tratar activamente los datos personales transferidos.

El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el apartado 1.

En nombre del exportador de datos:

Nombre (escrito completo):

Posición del cliente:

Dirección:

Otra información necesaria para que el contrato sea vinculante (en su caso):

Firma ……………………………………….
(sello de la organización)

En nombre del importador de datos:

Nombre (escrito completo): Andrii Ryzhokhin

Cargo: Director

Dirección:16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA

Otra información necesaria para que el contrato sea vinculante (en su caso):

Firma ……………………………………….
(sello de la organización)

ANEXO 1 A LAS CLÁUSULAS CONTRACTUALES TIPO

Este Anexo forma parte de las Cláusulas y debe ser cumplimentado y firmado por las partes.

Los Estados miembros podrán completar o especificar, con arreglo a sus procedimientos nacionales, cualquier información adicional necesaria que deba figurar en el presente apéndice.

Exportador de datos

Importador de datos

Cliente

Data importer

El importador de datos es (especifique brevemente las actividades relacionadas con la transferencia):

un servicio en línea diseñado para crear y enviar mensajes de marketing y transaccionales a terceros

Interesados

Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquese):

Véase lo especificado en el artículo 3.2 del Acuerdo de Procesamiento de Datos.

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos (especifique):

Véase lo especificado en el artículo 3.1 del Acuerdo de Procesamiento de Datos

Categorías especiales de datos (si procede)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifique): N/A

Operaciones de tratamiento

Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento (especifíquese):

Véase lo especificado en el Contrato de Servicio.

EXPORTADOR DE DATOS

Nombre: Cliente

Firma autorizada

IMPORTADOR DE DATOS

Nombre: ARDAS INTERNATIONAL INC.

Firma autorizada

ANEXO 2 A LAS CLÁUSULAS CONTRACTUALES TIPO

Este Anexo forma parte de las Cláusulas y debe ser cumplimentado y firmado por las partes.

Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjuntos):

Véase el Apéndice 2 del Acuerdo de Tratamiento de Datos.

EL PRESENTE ACUERDO SE CELEBRA ENTRE
SE ACUERDA LO SIGUIENTE
Apéndice 1: Lista de subencargados del tratamiento (si procede)
Apéndice 2: Medidas organizativas y técnicas aplicadas por Claspo.io
Apéndice 3: Cláusulas tipo (si procede)
ANEXO 1 A LAS CLÁUSULAS CONTRACTUALES TIPO
ANEXO 2 A LAS CLÁUSULAS CONTRACTUALES TIPO