Anexo sobre procesamiento de datos
Última actualización: 21 de marzo del 2023
Este Anexo sobre procesamiento de datos («APD») entre usted, el usuario, junto con cualquier otra empresa o entidad comercial que represente, de ser el caso (conjuntamente, el «Cliente»), y la Parte contratante de VistaPrint, según corresponda en virtud del Acuerdo («VistaPrint»), se incorpora por referencia, complementa y forma parte de las condiciones que rigen el uso de los diversos Servicios de VistaPrint, según se modifiquen de forma oportuna (conjuntamente, el «Acuerdo»). Este APD se aplica en los casos y en la medida en que VistaPrint cumpla el papel de Procesador o Proveedor de servicios (según corresponda) de Datos personales en nombre del Cliente de conformidad con el Acuerdo. Este APD entrará en vigencia y reemplazará cualquier condición vigente hasta entonces en relación con su objeto a partir de la Fecha de vigencia del Acuerdo, y permanecerá vigente hasta el momento en que se dé por concluido el Acuerdo.
1. DEFINICIONES
«País adecuado» se refiere, según corresponda, a (i) una jurisdicción en donde rija el Reglamento General de Protección de Datos («RGPD») de la UE, el Espacio Económico Europeo («EEE»), o un país o territorio que la Comisión Europea considere capaz de garantizar un nivel de protección adecuado; (ii) una jurisdicción en donde rija el RGPD del Reino Unido, el Reino Unido o un país o territorio considerado capaz de garantizar una protección de datos adecuada de acuerdo con la sección 17A de la Ley de Protección de Datos del Reino Unido de 2018 y sus reformas; y (iii) una jurisdicción en donde rija la Ley Federal de Protección de Datos de Suiza («LFPD») y sus reformas, Suiza u otro país o territorio fuera de Suiza que el comisario federal de Información y Protección de Datos considere capaz de proporcionar un nivel adecuado de protección.
«Objeto social» se refiere al propósito limitado que se identifica de modo específico en el Anexo I y por el cual VistaPrint recibe Datos personales o accede a estos.
«Leyes de protección de datos» se refiere a todas las leyes y normas vigentes relativas a la protección de datos y la privacidad, según se apliquen a cada parte, e incluyen, según corresponda y sin carácter restrictivo, las Leyes de protección de datos de la UE, las Leyes de protección de datos de EE. UU., y cualquier otra ley estatal o nacional de protección de datos, privacidad de datos o seguridad de datos dentro del alcance de los Servicios, con sus reformas oportunas en cada caso.
«Datos personales de los usuarios finales» se refiere a los Datos personales de visitantes o usuarios de los servicios del Cliente, que son procesados por VistaPrint en nombre del Cliente para la prestación de Servicios.
«Leyes de protección de datos de la UE» se refiere a (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de personas físicas en relación con el procesamiento de datos personales y la circulación libre de tales datos, el cual deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o «RGPD de la UE»), (ii) el RGPD según se incorpora a las leyes nacionales del Reino Unido de acuerdo con el artículo 3 de la Ley (de Retirada) de la Unión Europea del 2018 (el «RGPD del Reino Unido»); (iii) la Ley Federal de Protección de Datos de Suiza del 19 de junio de 1992 y sus ordenanzas («LFPD»); (iv) la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas; y (v) cualquier ley de un estado miembro de la UE o del Reino Unido promulgada de acuerdo con los puntos (i) - (iii), con sus reformas oportunas en cada caso.
«Datos personales», «Interesado», «Procesar» o «Procesamiento», «Controlador» y «Procesador» tendrán el significado otorgado en las Leyes de protección de datos correspondientes o, si estas no especifican su significado, en el RGPD, y los términos «Empresa» y «Proveedor de servicios» tendrán el significado otorgado en la CCPA (California Consumer Privacy Act).
«Servicios» se refiere a los distintos servicios proporcionados por VistaPrint al Cliente en su sitio web, en los casos y en la medida en que VistaPrint cumpla el papel de Procesador o Proveedor de servicios (según corresponda) en nombre del Cliente en virtud del Acuerdo pertinente, e incluyen, sin carácter restrictivo, el Acuerdo del Programa ProAdvantage y los Términos de uso de ProShop.
«Cláusulas contractuales tipo» o «CCT» se refiere a (i) aquellas jurisdicciones en las que rijan el RGPD de la UE o la LFPD de Suiza, las Cláusulas contractuales tipo de la UE aprobadas por la Decisión de la Comisión Europea (UE) 2021/914 del 4 de junio del 2021 («CCT de la UE»); y (ii) aquellas jurisdicciones en las que rija el RGPD del Reino Unido, las CCT de la UE y sus reformas en virtud del Anexo sobre la transferencia internacional de datos de las Cláusulas contractuales tipo de la Comisión de la UE publicado por la Oficina del Comisario de Información del Reino Unido («Anexo del Reino Unido»), con sus reformas oportunas en cada caso. Las CCT de la UE y el Anexo del Reino Unido se incorporan por referencia y forman parte integral de este APD.
«Subprocesador» se refiere a cualquier entidad contratada por VistaPrint, incluidos sus Afiliados, para asistir en el cumplimiento de sus obligaciones en virtud del Acuerdo o de este APD.
«Evaluación del riesgo de transferencia» se refiere a las garantías adicionales que complementan las garantías provistas por las CCT y el Anexo del Reino Unido.
«Leyes de protección de datos de EE. UU.» se refiere a todas las leyes y normas vigentes de cualquier jurisdicción de Estados Unidos relativas a los asuntos de privacidad, protección de datos o seguridad de datos (y sus reformas oportunas en cada caso), e incluyen, sin carácter restrictivo y según corresponda, la Ley de Privacidad del Consumidor de California y sus modificaciones en virtud de la Ley de Derechos de Privacidad en California, junto con los reglamentos promulgados en virtud de esta (conjuntamente, la «CCPA»); la Ley de Protección de Datos del Consumidor de Virginia; la Ley de Derechos de Privacidad en Colorado; la Ley de Privacidad de Datos de Connecticut; y la Ley de Privacidad del Consumidor de Utah.
Otros términos con mayúscula inicial que se empleen en este APD sin incluir su definición tendrán el significado otorgado en el Acuerdo.
2. FUNCIONES Y ALCANCE DEL PROCESAMIENTO
2.1. Función de las Partes. Las Partes aceptan que, en lo que concierne el Procesamiento de los Datos personales de los usuarios finales en virtud de este APD, el Cliente cumple la función de Controlador de datos o Empresa (según corresponda) y VistaPrint cumple la función de Procesador de datos o Proveedor de servicios (según corresponda).
El Cliente reconoce que VistaPrint cumple la función de Controlador de datos independiente en lo relativo a los Datos personales que recopila de forma directa de clientes o visitantes a través de sus aplicaciones y servicios orientados al consumidor.
2.2. Alcance del Procesamiento. Cada parte cumplirá con todas las Leyes de protección de datos vigentes y sus obligaciones respectivas en virtud del Acuerdo y este APD en lo que concierne su Procesamiento de los Datos personales de los usuarios finales según lo dispuesto en el Anexo I. Sin perjuicio de lo anterior, VistaPrint proporcionará el mismo nivel de protección de privacidad que exige la CCPA a las Empresas (según se definen en la CCPA).
3. OBLIGACIONES DE LAS PARTES
3.1. Obligaciones del Cliente. Al usar los servicios provistos por VistaPrint:
(i) El Cliente garantiza y declara que ha notificado a los Interesados y ha establecido todas las bases jurídicas y obtenido todos los consentimientos necesarios según las Leyes de protección de datos vigentes para VistaPrint y sus Subprocesadores, a fin de Procesar los Datos personales de los usuarios finales en su nombre y proporcionar los Servicios en virtud el Acuerdo, incluido este APD.
(ii) El Cliente es el único responsable de la precisión y calidad de los Datos personales de los usuarios finales proporcionados y de la legalidad de los medios por los cuales el Cliente adquiere, divulga y procesa Datos personales de los usuarios finales. El Cliente sigue siendo el único responsable de su propio cumplimiento de las Leyes de protección de datos vigentes en lo relativo a cualquier recopilación y procesamiento independiente de Datos personales no relacionados con los Servicios.
(iii) El Cliente le solicita a VistaPrint que procese los Datos personales de los usuarios finales en su nombre en virtud de este APD y se asegurará de que sus instrucciones cumplan con las Leyes de protección de datos vigentes. Este APD y el Acuerdo son las instrucciones completas y definitivas del Cliente para VistaPrint. Las instrucciones adicionales fuera del alcance del Acuerdo o de este APD deben acordarse por separado y por escrito, incluidas las tarifas adicionales que el Cliente deba pagar a VistaPrint por llevar a cabo tales instrucciones adicionales.
3.2. Obligaciones de VistaPrint. Con respecto al Procesamiento de los Datos personales de los usuarios finales, VistaPrint se compromete a cumplir lo siguiente:
(i) Procesar únicamente los Datos personales de los usuarios finales para los fines del Objeto social y de acuerdo con las instrucciones del Cliente, en la medida en que las instrucciones sean compatibles con el Acuerdo y este APD.
(ii) Tratar los Datos personales de los usuarios finales como información confidencial y Procesar estos datos solo en la medida y de la manera en que sea necesario para cumplir con las obligaciones en virtud del Acuerdo y para los propósitos especificados en el Anexo I a continuación. VistaPrint no tiene permiso para Procesar los Datos personales de los usuarios finales para ningún otro propósito, a menos que lo exija la ley. En tal caso, VistaPrint notificará al Cliente por escrito de este requisito legal antes de llevar cabo el Procesamiento, a menos que la ley prohíba tal notificación por motivos relevantes de interés público.
(iii) Ayudar al Cliente a garantizar el cumplimiento de sus obligaciones de conformidad con las Leyes de protección de datos vigentes, la cuales podrían incluir, sin carácter restrictivo, la realización de cualquier evaluación obligatoria de impacto sobre la privacidad, o la consulta previa con autoridades de protección de datos pertinentes a partir de la solicitud razonable del Cliente.
(iv) Informar al Cliente si cree que las instrucciones de Procesamiento del Cliente infringen las Leyes de protección de datos vigentes. En tal caso, VistaPrint se reserva el derecho de dejar de Procesar los Datos personales de los usuarios finales hasta que el Cliente proporcione instrucciones nuevas, y VistaPrint no será responsable ante el Cliente por la falta de prestación de los Servicios en virtud del Acuerdo durante tal período.
(v) Asegurarse de que sus empleados y Subprocesadores con acceso a los Datos personales de los usuarios finales estén sujetos a las obligaciones de confidencialidad correspondientes.
(vi) Notificar al Cliente sobre cualquier decisión que implique la incapacidad para cumplir con sus obligaciones en virtud de este APD o las Leyes de protección de datos.
(vii) Notificar sin demora al Cliente sobre cualquier solicitud realizada por un Interesado u organismo de control en relación con el Procesamiento de los Datos personales de los usuarios finales para que el Cliente pueda responder a tal solicitud.
(viii) Proporcionar sin demora la cooperación y asistencia que requiera razonablemente el Cliente para cumplir con sus obligaciones de conformidad con las Leyes de protección de datos en lo concerniente a las solicitudes de los Interesados, o cualquier solicitud de entes reguladores del Gobierno o autoridades de control.
En la medida que lo permitan las Leyes de protección de datos vigentes, VistaPrint podrá usar de forma interna datos agregados y anonimizados derivados de los Datos personales de los usuarios finales («Datos anonimizados») para desarrollar y mejorar la calidad de los Servicios, siempre y cuando tales Datos anonimizados no sean Datos personales según las Leyes de protección de datos vigentes.
3.3. Actividades de procesamiento prohibidas para VistaPrint. VistaPrint no podrá hacer lo siguiente:
(i) Vender o compartir (según se define en la CCPA) los Datos personales de los usuarios finales, o retener, usar o divulgar los Datos personales de los usuarios finales para Fines comerciales (según se definen en la CCPA) o por fuera de su relación comercial directa con el Cliente, a menos que cuente con la autorización previa y por escrito del cliente; y
(ii) mezclar o combinar los Datos personales de los usuarios finales con sus propios datos o los datos de un tercero, excepto cuando sea estrictamente necesario para prestar los Servicios.
VistaPrint certifica que comprende las restricciones sobre el uso de los Datos personales de los usuarios finales en relación con los Servicios descritos en este APD y cumplirá con estas.
4. DERECHOS DEL INTERESADO
En la medida de las capacidades de VistaPrint, de acuerdo con la ley vigente y teniendo en cuenta el carácter del Procesamiento, VistaPrint brindará asistencia razonable a fin de permitir que el Cliente responda a cualquier solicitud recibida de los Interesados que deseen ejercer sus derechos de conformidad con las Leyes de protección de datos vigentes. El Cliente cubrirá todos los costos incurridos por VistaPrint en relación con la prestación de esta asistencia. Si la solicitud se presenta directamente a VistaPrint, VistaPrint informará al Cliente, a menos que tenga prohibido hacerlo por ley, y el Cliente será el único responsable de responder a tal solicitud. VistaPrint no asume ninguna responsabilidad por la información proporcionada de buena fe al Cliente en virtud de esta sección.
5. SUBPROCESADORES
5.1. Autorización general. Por medio de la presente, el Cliente otorga a VistaPrint una autorización general para contratar Subprocesadores (incluidos sus Afiliados) con el fin de procesar los Datos personales de los usuarios finales para proporcionar los Servicios y cumplir con sus obligaciones en virtud del Acuerdo y este APD. En la medida en que lo permitan las disposiciones de confidencialidad del Acuerdo y previa solicitud del Cliente, VistaPrint proporcionará al Cliente una lista de los Subprocesadores que contrate.
5.2. Responsabilidades. VistaPrint exigirá sustancialmente las mismas obligaciones contractuales a sus Subprocesadores que las que se exigen a VistaPrint en virtud de este APD, en la medida correspondiente al carácter de los servicios prestados por cada Subprocesador.
5.3. Derecho de objeción a nuevos Subprocesadores. Cuando contrate nuevos Subprocesadores, VistaPrint notificará al Cliente con anticipación, tan pronto como sea razonablemente posible, en los casos y en la medida en que la contratación esté relacionada con la prestación de los Servicios correspondientes.
5.3.1. El Cliente podrá oponerse por escrito a la designación o sustitución de un Subprocesador de tratamiento por parte de VistaPrint en un plazo de diez (10) días laborables a partir de la recepción de la notificación, basándose en motivos razonables relacionados con las Leyes de protección de datos aplicables. En tal caso, VistaPrint podrá, a su entera discreción, optar por realizar esfuerzos comerciales razonables (pero no está obligado a ello) para poner a su disposición una solución alternativa que evite el Tratamiento de los Datos personales de los Usuarios finales por parte del Subprocesador nuevo o sustituto. Hasta que VistaPrint tome una decisión con respecto a la objeción del Cliente, VistaPrint puede verse obligada a suspender temporalmente el Tratamiento de los Datos personales de los Usuarios finales relacionados, incluyendo, si fuera necesario para este asunto, suspender o limitar el acceso a la Cuenta del Cliente o suspender o limitar determinadas funciones de los Servicios ofrecidos al Cliente. Si VistaPrint es razonablemente capaz de prestar los Servicios al Cliente de conformidad con el Acuerdo sin utilizar el Subprocesador y decide hacerlo a su discreción, el Cliente no tendrá ningún otro derecho en virtud de esta Sección con respecto al uso propuesto del Subprocesador.
5.3.2. Si VistaPrint, a su discreción, requiere el uso del Subprocesador del tratamiento y no puede satisfacer la objeción del Cliente con respecto al uso propuesto del Subprocesador del tratamiento nuevo o sustituto en un plazo de treinta (30) días a partir de la recepción de su objeción razonada válida, entonces el Cliente podrá rescindir el Acuerdo aplicable con efecto a partir de la fecha en que VistaPrint comience a utilizar dicho Subprocesador del tratamiento nuevo o sustituto únicamente con respecto a los Servicios que utilizarán el nuevo Subprocesador del tratamiento propuesto para el Tratamiento de Datos personales mediante notificación por escrito a VistaPrint. Dicha rescisión se realizará sin perjuicio de los honorarios en los que haya incurrido el Cliente antes de la rescisión de los Servicios afectados y el Cliente no tendrá ninguna otra reclamación contra VistaPrint en relación con la rescisión de los Servicios afectados.
5.3.3. Si el Cliente no se opone por escrito a la designación de un nuevo Subprocesador por parte de VistaPrint en un plazo de diez (10) días laborables a partir de la recepción de la notificación, el Cliente acepta que se considerará que ha dado su consentimiento a dicho nuevo Subprocesador.
5.4. Responsabilidad. VistaPrint seguirá siendo responsable de cualquier incumplimiento de este DPA causado por un acto u omisión de sus Subprocesadores del tratamiento, en la misma medida en que VistaPrint sea responsable de los suyos propios, salvo que se establezca lo contrario en el Acuerdo.
6. TRANSFERENCIAS INTERNACIONALES DE DATOS
6.1. Aspectos generales. Como parte de la prestación de los Servicios, el Cliente autoriza a VistaPrint, sus Afiliados y sus Subprocesadores a almacenar, Procesar y transferir Datos personales de los usuarios finales en cualquier parte del mundo en donde VistaPrint, sus Afiliados o Subprocesadores realicen operaciones de procesamiento de datos. Cuando los datos personales de la UE, el Reino Unido o Suiza se transfieran fuera del EEE, el Reino Unido o Suiza, VistaPrint solo podrá Procesar o permitir el Procesamiento de Datos personales de la UE, el Reino Unido o Suiza fuera del EEE, el Reino Unido o Suiza si se cumple una de las siguientes condiciones:
a) los Datos personales de los usuarios finales de la UE, el Reino Unido o Suiza se transfieren a un País adecuado; o
b) VistaPrint y el Cliente, o VistaPrint y el Subprocesador, según corresponda, han acordado Cláusulas contractuales tipo y una Evaluación de riesgo de transferencia.
6.2. Transferencias de Datos personales de la UE. En la medida en que se transfieran Datos personales desde una jurisdicción del EEE en la que el RGPD rija el carácter internacional de la transferencia, las CCT de la UE formarán parte de este APD y se considerarán completadas según lo dispuesto a continuación:
(i) Se aplicarán los términos del Módulo dos (Controlador a Procesador) cuando el Cliente sea un Controlador y exportador de Datos personales y VistaPrint sea un Procesador e importador de datos con respecto a tales Datos personales.
(ii) Se aplicarán los términos del Módulo tres (Procesador a Procesador) cuando VistaPrint sea un Procesador que actúe en nombre de un Controlador y exportador de Datos personales, y el Subprocesador sea un Procesador e importador de datos con respecto a tales Datos personales.
(iii) Se aplicará la cláusula 7 (a)-(c).
(iv) Se aplicará la cláusula 9, opción 2, y el período para la notificación previa sobre cambios de Subprocesador cumplirá con el proceso de notificación establecido en las disposiciones sobre Subprocesadores de este APD.
(v) No se aplicará la cláusula 11.
(vi) Se aplicará la cláusula 17, opción 1, y las CCT de la UE se regirán según las leyes especificadas en el Acuerdo, siempre y cuando las leyes sean de un Estado miembro de la UE que reconozca los derechos de terceros beneficiarios; de lo contrario, se aplicarán las leyes de los Países Bajos.
(vii) Cláusula 18 (b); las disputas se resolverán ante los tribunales especificados en el Acuerdo, siempre y cuando estos tribunales estén ubicados en un Estado miembro de la UE; de lo contrario, los tribunales serán los de los Países Bajos. En cualquier caso, las cláusulas 17 y 18 (b) serán coherentes en cuanto al hecho de que la elección del tribunal competente y la jurisdicción recaerá sobre el país del derecho aplicable.
(viii) Los Anexos de las CCT de la UE se completarán con la información pertinente establecida en el Anexo I, el Anexo II y el Anexo III de este APD.
(ix) De ser el caso, en la medida en que las CCT de la UE contradigan alguna disposición de este APD, prevalecerán las CCT de la UE.
6.3. Transferencias de Datos personales del Reino Unido. En la medida en que se transfieran Datos personales del Reino Unido y el RGPD del Reino Unido rija el carácter internacional de la transferencia, se aplicarán las CCT de la UE mencionadas en la sección 6.2 junto con el Anexo del Reino Unido, y se considerarán completadas según lo dispuesto a continuación:
(i) Las tablas 1 a 3 de la parte 1 del Anexo del Reino Unido se considerarán completadas sobre la base de la información contenida en los Anexos de este APD.
(ii) La tabla 4 en la parte 2 del Anexo del Reino Unido se considerará completada seleccionando «importador».
(iii) Cualquier conflicto entre las CCT de la UE y el Anexo del Reino Unido se resolverá de acuerdo con la sección 10 y la sección 11 del Anexo del Reino Unido.
6.4. Transferencias de Datos personales de Suiza. En la medida en que se transfieran Datos personales desde Suiza de modo que genere obligaciones de acuerdo con la Ley Federal de Protección de Datos de Suiza («LFPD»), se aplicarán las CCT de la UE a estas transferencias y se considerarán modificadas a fin de incorporar referencias y definiciones pertinentes que conviertan las CCT de la UE en una herramienta adecuada para tales transferencias según la LFPD, incluidas las siguientes, sin carácter restrictivo:
(i) La autoridad de control competente en el Anexo I.C de las CCT de la UE según la cláusula 13 es el comisario federal de Información y Protección de Datos de Suiza.
(ii) El derecho aplicable para reclamaciones contractuales según la cláusula 17 de las CCT de la UE es la legislación suiza o la legislación de un país que permita y otorgue derechos como tercero beneficiario.
(iii) El término «estado miembro» empleado en las CCT de la UE no se interpretará de forma que impida a los Interesados en Suiza presentar demandas por sus derechos en su lugar de residencia habitual (Suiza) de acuerdo con la cláusula 18(c).
(iv) Las CCT de la UE también protegen los datos de las personas jurídicas hasta la entrada en vigencia de la LFPD revisada.
6.5. Garantías adicionales. En la medida en que VistaPrint procese Datos personales de Interesados ubicados en el EEE, el Reino Unido o Suiza, o de Interesados sujetos a las Leyes de protección de datos vigentes en tales jurisdicciones, VistaPrint ha implementado diversas medidas de seguridad adicionales relativas a la transferencia de tales Datos personales desde estas jurisdicciones. VistaPrint ha realizado una Evaluación de riesgo de transferencia, la cual se proporcionará al Cliente previa solicitud por escrito al correo electrónico [email protected].
7. SEGURIDAD DE DATOS Y NOTIFICACIÓN DE VULNERACIÓN DE LA SEGURIDAD DE LOS DATOS
7.1. Medidas de seguridad. VistaPrint ha implementado y mantendrá medidas de seguridad técnicas y organizativas adecuadas para proteger los Datos personales de los usuarios finales contra el Procesamiento no autorizado o ilegal y la pérdida o alteración accidentales («Incidente de seguridad»). En particular, VistaPrint ha implementado las medidas técnicas y organizativas que se indican en el Anexo II.
7.2. Notificación de vulneración de la seguridad de los datos. En caso de que VistaPrint tenga conocimiento de un Incidente de seguridad que afecte los Datos personales de los usuarios finales, VistaPrint tomará medidas razonables para notificar al Cliente sin demoras indebidas y realizará lo siguiente:
(i) Proporcionar al Cliente la información sobre el Incidente de seguridad que le pueda revelar razonablemente, en consideración del carácter de los Servicios, la información disponible para VistaPrint y cualquier restricción sobre la divulgación de tal información, como el deber de confidencialidad.
(ii) A pedido del Cliente, brindar asistencia razonable para permitir que este notifique a las autoridades correspondientes o a los Interesados afectados según lo exijan las Leyes de protección de datos vigentes.
Un Incidente de seguridad no incluye intentos fallidos o actividades que no comprometan la seguridad de los Datos personales de los usuarios finales. La notificación sobre un Incidente de seguridad por parte de VistaPrint, o su respuesta ante uno, no constituirá un reconocimiento de culpa o responsabilidad con respecto a tal Incidente de seguridad.
8. AUDITORÍAS
8.1. Informes de auditoría. Previa solicitud por escrito del Cliente en intervalos razonables (no más de una vez al año) y en la medida en que lo permitan sus obligaciones de confidencialidad, VistaPrint proporcionará una copia de sus resúmenes de auditorías externas, certificaciones o informes más recientes, según corresponda. Las partes acuerdan que los derechos de auditoría del Cliente descritos en las Leyes de protección de datos vigentes se cumplirán mediante la entrega de tales resúmenes o informes por parte de VistaPrint.
8.2. Auditoría de la autoridad de control. VistaPrint proporcionará al Cliente un acceso razonable a su documentación y sistemas en caso de una auditoría exigida por un ente regulador del Gobierno o una autoridad de control para el cumplimiento de las Leyes de protección de datos vigentes.
8.3. Información confidencial. Cualquier información proporcionada por VistaPrint de acuerdo con esta sección 8 es información confidencial. VistaPrint no estará obligado a revelar secretos empresariales, los cuales incluyen algoritmos, códigos fuente, secretos comerciales e información similar.
9. ELIMINACIÓN DE DATOS
Las partes acuerdan que, tras la conclusión del APD o a solicitud por escrito del Cliente, VistaPrint deberá destruir de forma segura todos los Datos personales de los usuarios finales y cualquier copia de tales datos tan pronto como sea razonablemente posible de acuerdo con los términos del Acuerdo y las leyes vigentes, y obligará a sus Subprocesadores a hacer lo mismo. Sin perjuicio de lo anterior, VistaPrint podrá retener la totalidad o parte de los Datos personales de los usuarios finales divulgados si así lo exige el Acuerdo o la ley o norma vigente (incluidas las Leyes de protección de datos correspondientes), siempre y cuando tales Datos personales de los usuarios finales permanezcan protegidos de acuerdo con los términos de este APD y las Leyes de protección de datos vigentes.
10. DISPOSICIONES VARIAS
10.1. Jerarquía. En caso de incongruencias o contradicciones entre las disposiciones de este APD y las disposiciones del Acuerdo, las disposiciones de este APD prevalecerán en relación con el Procesamiento de los Datos personales de los usuarios finales. En la medida en que exista alguna contradicción entre las Cláusulas contractuales tipo (cuando corresponda), este APD o el Acuerdo, prevalecerán las Cláusulas contractuales tipo.
10.2. Actualizaciones del APD. VistaPrint puede modificar este APD según sea necesario oportunamente y publicará la versión más reciente en el sitio. Cualquier cambio o modificación de este tipo entrará en vigencia en el momento de su publicación. El Cliente acepta regirse por el APD modificado si continúa usando los Servicios o accediendo a estos luego de la entrada en vigencia de la modificación.
10.3. Derecho aplicable. Este APD se regirá e interpretará de acuerdo con las disposiciones del Acuerdo sobre derecho aplicable y jurisdicción, a menos que las Leyes de protección de datos vigentes exijan lo contrario.
10.4. Limitación de responsabilidad. Todas las actividades atinentes a este APD (incluida, entre otras, el Procesamiento de Datos personales de los usuarios finales) permanecen sujetas a las limitaciones de responsabilidad correspondientes establecidas en el Acuerdo.
10.5 Contacto. Cualquier pregunta relacionada con este APD debe dirigirse al Responsable de protección de datos al correo electrónico [email protected]. VistaPrint intentará resolver cualquier reclamo relacionado con el uso de los Datos personales de los usuarios finales de acuerdo con este APD y el Acuerdo.
ANEXO I - DESCRIPCIÓN DEL PROCESAMIENTO/DE LA TRANSFERENCIA
A. LISTA DE LAS PARTES
Exportador(es) de datos:
- Nombre: La entidad identificada como el «Cliente» o el nombre especificado en la cuenta del Cliente.
- Dirección: La Dirección de facturación del Cliente especificada en la cuenta del Cliente.
- Nombre de la persona de contacto, su cargo y datos de contacto: La información de contacto especificada en la cuenta del Cliente.
- Actividades relacionadas con los datos transferidos de acuerdo con estas cláusulas: Cualquier actividad pertinente para los fines de recibir los Servicios proporcionados por VistaPrint en relación con el Acuerdo.
- Firma y fecha: Con la firma del APD por parte del exportador de datos, se considera que este ha firmado las Cláusulas contractuales tipo y los Anexos incorporados en el presente a partir de la Fecha de vigencia del APD.
- Función (controlador/procesador): Controlador
Importador(es) de datos:
- Nombre: la Parte contratante de VistaPrint, según corresponda en virtud del Acuerdo.
- Dirección: la dirección de la Parte contratante de VistaPrint, según corresponda en virtud del Acuerdo.
- Nombre de la persona de contacto, su cargo y datos de contacto: [email protected].
- Actividades relacionadas con los datos transferidos de acuerdo con estas cláusulas: Procesamiento de Datos personales en relación con el uso de los Servicios de VistaPrint por parte del Cliente.
- Firma y fecha: Con la firma del APD por parte del importador de datos, se considera que este ha firmado las Cláusulas contractuales tipo y los Anexos incorporados en el presente a partir de la Fecha de vigencia del APD.
- Función (controlador/procesador): Procesador
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de Interesados: Los Interesados pueden incluir los siguientes, entre otros:
- Usuarios finales (que sean personas físicas), como clientes o visitantes existentes y potenciales, que sean usuarios del servicio del Cliente.
- Representantes, empleados, candidatos, agentes, consultores, trabajadores autónomos, socios comerciales, subcontratistas o colaboradores (que sean personas físicas) actuales, anteriores o potenciales del Cliente.
- Personas externas con las que el Cliente decida interactuar a través del Servicio.
Categorías de datos personales: Datos personales enviados de acuerdo con el alcance y carácter determinados por el Controlador a su exclusivo criterio.
Datos confidenciales transferidos (si corresponde) y restricciones o garantías aplicadas: Las partes no prevén la transferencia de datos confidenciales.
Frecuencia de la transferencia: De forma continua, según el uso de los Servicios por parte del Cliente.
Carácter del procesamiento: Prestación de los Servicios de conformidad con el Acuerdo.
Fines de la transferencia de datos y su procesamiento posterior: Podemos utilizar sus Datos personales para los siguientes propósitos (y las tareas relacionadas con tales fines), siempre de conformidad con el Acuerdo y de manera adecuada y respetuosa de los Datos personales de los usuarios finales:
- proporcionarle los Servicios;
- responder a sus instrucciones;
- implementar el Acuerdo y este APD, y hacerlos cumplir;
- defender nuestros derechos;
- prevenir riesgos e incidentes de seguridad de datos, fraudes, errores y actividades ilegales o prohibidas, e investigar y mitigar dichos riesgos e incidentes;
- cumplir con las leyes y normas vigentes.
Plazo durante el cual se retendrán los datos personales o, de no ser posible, los criterios empleados para determinar tal plazo: VistaPrint retendrá los Datos personales hasta la conclusión del Acuerdo y de conformidad con la sección 9 del APD, a menos que se establezca lo contrario en el Acuerdo.
Para realizar transferencias a (sub)procesadores, especifique también el objeto, el carácter y la duración del procesamiento: Los Subprocesadores realizarán el Procesamiento de los Datos personales según sea necesario para prestar los Servicios de conformidad con el Acuerdo y durante la vigencia de este, a menos que se acuerde lo contrario por escrito.
C. AUTORIDAD DE CONTROL COMPETENTE
Identifique las autoridades de control competentes de conformidad con la cláusula 13: La Autoridad holandesa de protección de datos, a menos que la sección 6 del APD exija lo contrario.
ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
VistaPrint implementa actualmente las siguientes medidas de seguridad técnicas y organizativas para la protección, confidencialidad e integridad de los Datos personales. Tenga en cuenta que VistaPrint puede modificar estas prácticas a su criterio. Ninguna modificación realizada reducirá sustancialmente la seguridad y protección general de los Datos personales.
1- Evitar que personas no autorizadas accedan a los sistemas con los que se procesan o utilizan los Datos personales (control de acceso físico), en particular, a través de las siguientes medidas:
- Acceso controlado para áreas críticas o confidenciales
- Registros de incidentes
- Sistemas automatizados de control de acceso
- Lectores de tarjetas de identificación o tarjetas con chip
- Capacitación en concientización sobre seguridad
2- Evitar que los sistemas de procesamiento de datos se utilicen sin autorización (control de acceso lógico), en particular, a través de las siguientes medidas:
- Dispositivos de red como sistemas de detección de intrusiones, enrutadores y cortafuegos.
- Inicio de sesión seguro con identificación de usuario y contraseña únicos, además de requisitos de complejidad de la contraseña y autenticación multifactor cuando corresponda.
- Políticas de la empresa que exigen el bloqueo de las estaciones de trabajo desatendidas. Implementación de contraseña para el protector de pantalla, a fin de garantizar el bloqueo automático de una estación de trabajo cuando el usuario olvida bloquearla.
- Registro y análisis del uso del sistema.
- Acceso basado en roles para sistemas críticos que contengan Datos personales.
- Proceso de actualizaciones de rutina del sistema para detectar vulnerabilidades conocidas.
- Cifrado de discos duros de computadoras portátiles.
- Monitoreo de vulnerabilidades de seguridad en sistemas críticos.
- Implementación y actualización de software antivirus.
- Dispositivos de red como sistemas de detección de intrusiones, enrutadores y cortafuegos.
- Cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago.
3- Garantizar que las personas con derecho a utilizar un sistema puedan acceder únicamente a los datos a los que tienen derecho de acceso y que, durante su Procesamiento o uso y después de su almacenamiento, los Datos personales no se puedan leer, copiar, modificar ni eliminar sin autorización (control de acceso a los datos), en particular, a través de las siguientes medidas:
- Dispositivos de red como sistemas de detección de intrusiones, enrutadores y cortafuegos.
- Inicio de sesión seguro con identificación de usuario y contraseña únicos, además de requisitos de complejidad de la contraseña y autenticación multifactor cuando corresponda.
- Registro y análisis del uso del sistema.
- Acceso basado en roles para sistemas críticos que contengan Datos personales.
- Cifrado de discos duros de computadoras portátiles.
- Implementación y actualización de software antivirus.
- Cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago.
4- Garantizar que los Datos personales no se puedan leer, copiar, modificar ni eliminar sin autorización durante la transmisión, el transporte o el almacenamiento electrónicos a través de las siguientes medidas:
- Inicio de sesión seguro con identificación de usuario y contraseña únicos, además de requisitos de complejidad de la contraseña y autenticación multifactor cuando corresponda.
- Protocolos de transmisión seguros.
- Registro y análisis del uso del sistema.
- Acceso basado en roles para sistemas críticos que contengan Datos personales.
- Dispositivos de red como sistemas de detección de intrusiones, enrutadores y cortafuegos.
- Implementación de una VPN.
5- Garantizar que los Datos personales se procesen únicamente de acuerdo con la política de la empresa a través de las siguientes medidas:
- Capacitación obligatoria en concientización sobre seguridad y privacidad para todos los empleados.
- Procedimientos de contratación de empleados que requieran completar un formulario de solicitud detallado para empleados clave con acceso a datos personales importantes, donde lo permitan las leyes locales.
- Selección diligente del personal y los proveedores de servicios adecuados.
- Acuerdos de procesamiento de datos adecuados con subprocesadores, los cuales incluyan medidas de seguridad técnicas y organizativas adecuadas.
6- Garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad), en particular, a través de las siguientes medidas:
- Comprobación periódica de la eficacia de las medidas de seguridad.
- Procedimientos de creación de copias de seguridad y sistemas de recuperación.
- Servidores redundantes en una ubicación separada.
- Sistema de alimentación ininterrumpida y unidad de alimentación auxiliar.
- Almacenamiento remoto.
- Monitoreo y control de clima para servidores.
- Implementación y actualización de software antivirus.
- Plan de recuperación ante desastres y de emergencia.
7- Garantizar que los datos recopilados para propósitos o mandantes diferentes puedan procesarse por separado (control de separación), en particular, a través de las siguientes medidas:
- Acceso basado en roles para sistemas críticos que contengan Datos personales.
- Separación de datos de prueba y datos activos.
- Cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago.
ANEXO III - LISTA DE SUBPROCESADORES
A pedido del Cliente, se proporciona una lista de los Subprocesadores que contratamos y el propósito de su contratación.