ADENDA SOBRE PROCESAMIENTO DE DATOS (CLIENTES)

Esta Adenda sobre procesamiento de datos (la “Adenda”) se celebra entre GoDaddy.com, LLC, a Delaware limited liability company y sus Afiliados (“GoDaddy”) y usted (“Cliente”) y se anexa y complementa nuestros Términos universales del servicio, Política de privacidad y cualquiera de los acuerdos que rigen los Servicios Cubiertos (en conjunto, los “Términos del Servicio”).  A menos que esta Adenda indique lo contrario, todos los términos en mayúscula y no definidos en esta Adenda, tendrán el significado que se les dio en los Términos del Servicio.

“Afiliadas” se refiere a cualquier entidad controlada por GoDaddy, que controla o ejerce el control en forma conjunta con GoDaddy.

"CCPA” se refiere a la Ley de Privacidad del Consumidor de California, Código Civil de California 1798.100 ss., incluyendo cualquier enmienda y cualquier reglamentación implementada a ello que entre en vigencia en la fecha de entrada vigencia de esta Adenda de Procesamiento de Datos o después de la misma.

“Servicios Cubiertos” se refiere a cualquier servicio de hosting que le ofrecemos que pueda implicar nuestro Procesamiento de Datos Personales.

“Datos del Cliente” son los Datos Personales de cualquier Titular de los Datos Procesados por GoDaddy dentro de la red de GoDaddy en nombre del Cliente de conformidad o en relación con los Términos de Servicio.

“Controlador de Datos” se refiere al Cliente, como la entidad que determina los propósitos y medios del Procesamiento de los Datos Personales.

“Procesador de Datos” se refiere a GoDaddy, como la entidad que procesa Datos Personales en nombre del Controlador de los Datos, o el proveedor de servicios según la definición de CCPA de dicho término.

“Leyes de Protección de datos” se refiere a todas las leyes de privacidad o protección de datos y reglamentos aplicables al Procesamiento de datos personales conforme al Contrato, inclusive la CCPA, (ii) el GDPR, (iii) la Directiva de privacidad electrónica de la UE (Directiva 2002/58/EC), (iv) cualquier ley de protección de datos nacional hecha conforme a (ii) o (iii), (v) la Ley de Protección de Datos Federales de Suiza del 19 de junio de 1992 y su Ordenanza y (vi), con respecto al Reino Unido, la ley de Protección de Datos de 2018 y cualquier legislación nacional aplicable que reemplace o convierta en ley interna la GPDR o cualquier otra ley relacionada con los datos y la privacidad si el Reino Unido abandona la Unión Europea; en cada caso según se modifique, suspenda o reemplace.

“Titular de los Datos” es la persona con quien están relacionados los Datos Personales.

“EEE” significa Espacio Económico Europeo.

“GDPR” se refiere a la Reglamentación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas naturales con respecto al procesamiento de datos personales y el libre movimiento de dichos datos, y deroga la Directiva 95/46/EC (Reglamentación de Protección de Datos General).

“Red de GoDaddy” se refiere a las instalaciones del centro de datos, los servidores, el equipo de redes y los sistemas host de software (p. ej., los firewall virtuales) de GoDaddy que están en control de GoDaddy y se usan para proporcionar los Servicios Cubiertos.

“Datos personales” se refiere a cualquier información relacionada con una persona o grupo familiar identificados o identificables como se define según las leyes de Protección de datos.

“Procesamiento” se refiere a toda operación o conjunto de operaciones realizadas en los Datos Personales, por medios automáticos o no automáticos, como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, la combinación o asociación, restricción, cancelación o destrucción. Los términos “proceso”, “procesos” y “procesado” se interpretarán según corresponda. Los detalles del procesamiento se mencionan en el Anexo 1.

“Incidente de Seguridad” es (a) una violación de la seguridad de los Estándares de Seguridad de GoDaddy que lleva a la destrucción accidental o ilegal, pérdida, alteración, revelación no autorizada de cualquiera de los Datos del Cliente o el acceso a ellos; o (b) todo acceso no autorizado al equipo o las instalaciones de GoDaddy, donde en cualquiera de los casos el acceso produce la destrucción, pérdida, revelación no autorizada o alteración de los Datos del Cliente.

“Estándares de seguridad” se refiere a los estándares de seguridad que se adjuntan a esta Adenda como Anexo 2.

“Cláusulas Contractuales Estándar” o “CCE” son el Anexo 3, que se adjunta y forma parte de esta Adenda conforme a la Decisión de la Comisión Europea del 5 de febrero de 2010 sobre cláusulas contractuales estándar para la transferencia de datos personales a los procesadores en terceros países conforme a la Directiva. 

“Subprocesador” se refiere a cualquier Procesador de datos contratado por el Procesador para procesar datos en nombre del Controlador de Datos.                                                               

2.1 Alcance y funciones. Esta Adenda se aplica cuando GoDaddy procesa los Datos del Cliente.  En este contexto, GoDaddy actuará como el Procesador de Datos en nombre del Cliente como el Controlador de Datos con respecto a los Datos del Cliente.

2.2 Detalles sobre el procesamiento de datos. El objeto del procesamiento de los Datos del Cliente por parte de GoDaddy es el desempeño de los Servicios Cubiertos conforme a los Términos de Servicio y contratos específicos del producto. GoDaddy solo procesará los Datos del Cliente en nombre de y de acuerdo con las instrucciones documentadas del Cliente y con la siguiente finalidad: (i) el procesamiento de acuerdo con los Términos del Servicio o los correspondientes contratos específicos del producto; (ii) el procesamiento iniciado por usuarios finales en el uso que hacen de los Servicios Cubiertos; (iii) el procesamiento para cumplir toda otra instrucción documentada y razonable proporcionada por los Clientes (p. ej. por correo electrónico) donde esas instrucciones son compatibles con los términos del contrato. GoDaddy no hará lo siguiente: no procesará, retendrá, usará, venderá ni divulgará los Servicios Cubiertos de acuerdo con los Términos de Servicio, o según lo exija la ley; (b) no venderá dichos Datos del Cliente a ningún tercero; (c) no retendrá, usará ni divulgará dichos Datos del Cliente fuera de la relación comercial directa entre GoDaddy y el Cliente.

Para evitar dudas, las instrucciones del Cliente para el Procesamiento de Datos Personales deben cumplir con todas las leyes de privacidad de datos pertinentes. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y los medios por los cuales el Cliente adquiere los Datos Personales. GoDaddy no estará obligado a cumplir o a atenderse a las instrucciones del Cliente si estas instrucciones infringen leyes sobre Protección de datos. La duración, naturaleza y finalidad del Procesamiento, los tipos de datos personales y las categorías de Titulares de los Datos Procesados conforme a esta Adenda se especifican con más detalle en el Anexo 1 (“Detalles del Procesamiento”) a esta Adenda.

GoDaddy no revelará los Datos del Cliente a ningún gobierno ni a ningún otro tercero, salvo que lo exija la ley o una orden válida y obligatoria de un organismo encargado del cumplimiento de la ley (por ejemplo una citación o una orden judicial). En caso de que GoDaddy reciba una citación civil válida, y en la medida de lo permitido, GoDaddy se esforzará por entregarle al Cliente una notificación razonable de la demanda por correo electrónico o postal para permitirle al Cliente buscar una orden de protección u otra solución adecuada.

4.1 GoDaddy ha implementado y mantendrá las medidas técnicas y organizativas para la red de GoDaddy de acuerdo con lo que se describe en esta sección y más adelante en el Anexo 2 a esta Adenda, Estándares de Seguridad. En particular, GoDaddy ha implementado y mantendrá las siguientes medidas técnicas y organizativas que abordan (i) la seguridad de la red de GoDaddy; (ii) la seguridad física de las instalaciones; (iii) los controles sobre el acceso de los empleados y contratistas a (i) y/o (ii); y (iv) los procesos para probar, analizar y evaluar la eficacia de las medidas técnicas y organizativas implementadas por GoDaddy. En caso de que no podamos cumplir con las obligaciones establecidas en el presente, proporcionaremos un aviso escrito (por correo electrónico o en nuestro sitio web) tan pronto como sea factible en la práctica.

4.2 GoDaddy pone a disponibilidad una cantidad de características y funcionalidades de seguridad que el Cliente puede elegir usar en relación con los Servicios Cubiertos. El cliente tiene la responsabilidad de (a) configurar adecuadamente los Servicios Cubiertos, (b) utilizar los controles disponibles en relación con los Servicios Cubiertos (incluidos los controles de seguridad) para garantizar la constante confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento, (c) utilizar los controles disponibles en relación con los Servicios Cubiertos (incluidos los controles de seguridad) para que el cliente pueda restaurar la disponibilidad y acceder oportunamente a los Datos del Cliente ante la eventualidad de un incidente físico o técnico (p. ej., copias de seguridad y archivos de rutina de los Datos del Cliente) y (d) tomar las medidas que el Cliente considere adecuadas para mantener la adecuada seguridad, protección y eliminación de los Datos del Cliente; esto incluye el uso de tecnología de encriptación para proteger a los Datos del Cliente de accesos no autorizados y medidas para controlar los derechos de acceso a los Datos del Cliente.

Considerando la naturaleza de los Servicios cubiertos, GoDaddy ofrece al Cliente determinados controles, tal como se describe en la sección Seguridad de esta Adenda y que el Cliente puede elegir usar para recuperar, corregir, eliminar o restringir el uso y divulgación de los Datos del Cliente tal como se indica en los Servicios Cubiertos. El cliente puede usar estos controles como medidas técnicas y organizativas para que le ayuden con sus obligaciones conforme a las leyes aplicables sobre privacidad incluida sus obligaciones de responder a los pedidos de los Titulares de los Datos. Siempre que sea comercialmente razonable y en la medida que sea legítimamente solicitado o permitido, GoDaddy notificará inmediatamente al Cliente si GoDaddy recibe directamente una solicitud del Titular de los datos para ejercer esos derechos conforme a cualquier ley aplicable sobre privacidad de datos (“Solicitud del titular de los datos”). Además, cuando el uso de los Servicios Cubiertos por parte del Cliente limita su capacidad de resolver una solicitud del Titular de los Datos, GoDaddy podrá, cuando sea legítimamente permitido y adecuado y a pedido específico del cliente, proporcionar asistencia comercialmente razonable para resolver el pedido, con costos a cargo del cliente (si los hubiera).

6.1 Subprocesadores autorizados. El Cliente acepta que GoDaddy use subprocesadores para cumplir con sus obligaciones contractuales de acuerdo con sus Términos de Servicio y esta Adenda o para proporcionar determinados servicios en su nombre, por ejemplo, servicios de soporte. Por el presente el cliente acepta que GoDaddyuse subprocesadores de la manera que se indica en esta Sección. Salvo por lo indicado en esta sección o según lo autorizado explícitamente por usted de otra manera, GoDaddy no permitirá ninguna otra actividad de subprocesamiento.

6.2 Obligaciones del subprocesador. Cuando GoDaddy usa cualquier Subprocesador autorizado tal como se indica en la Sección 6.1:

(i) GoDaddy limitará el acceso del subprocesador a los Datos del Cliente solo para lo que sea necesario para mantener los Servicios Cubiertos o para brindar Servicios Cubiertos al Cliente y cualquier usuario final de acuerdo con los Servicios Cubiertos. GoDaddy prohibirá al subprocesador que acceda a los Datos del Cliente con cualquier otra finalidad;

(ii) GoDaddy celebrará un contrato por escrito con el Subprocesador y en la medida en que el Subprocesador esté realizando los mismos servicios de procesamiento de datos que proporciona GoDaddy conforme a esta Adenda, GoDaddy impondrá al Subprocesador las mismas obligaciones contractuales que GoDaddy tiene conforme a esta Adenda; y

(iii) GoDaddy será responsable de cumplir con las obligaciones de esta Adenda y de los actos u omisiones del Subprocesador que hagan que GoDaddy no cumpla con cualquiera de las obligaciones de GoDaddy en virtud de esta Adenda.

6.3 Nuevos subprocesadores.  Periódicamente, contrataremos a nuevos subprocesadores de acuerdo con los términos de esta Adenda.  En ese caso, avisaremos con 60 días de antelación (a través de nuestro sitio web y correo electrónico) antes de que un nuevo subprocesador obtenga los Datos del cliente. Si su Cliente no aprueba al nuevo subprocesador, el Cliente podrá dar por terminado los Servicios Cubiertos sin ninguna sanción y proporcionando, dentro de los 10 días de haber recibo nuestra notificación, una notificación por escrito de la terminación en la que explicará los motivos por los que no otorga la aprobación. Si los Servicios Cubiertos son parte de un paquete o compra en paquete, entonces la terminación se aplicará al conjunto.

7.1 Incidente de seguridad. Si GoDaddy toma conocimiento de un Incidente de Seguridad, GoDaddy deberá, sin demorarse injustificadamente: (a) notificar el Incidente de Seguridad al Cliente y (b) tomar las medidas necesarias para mitigar los efectos y minimizar los daños resultantes del Incidente de Seguridad.

7.2 GoDaddy Asistencia.  Para ayudar al Cliente con relación a cualquier notificación de incumplimiento de los datos personales que se requiere que el Cliente haga conforme a las leyes aplicables sobre privacidad, GoDaddy incluirá en la notificación la información sobre el Incidente de Seguridad en la medida que GoDaddy pueda razonablemente revelar al cliente, considerando la naturaleza de los Servicios Cubiertos, la información disponible para GoDaddy y toda restricción sobre la revelación de la información, por ejemplo, la confidencialidad  

7.3 Incidentes de falla de seguridad. El Cliente acepta que:

(i) Un Incidente de Seguridad fallido no estará sujeto a los términos de esta Adenda. Un Incidente de Seguridad fallido es el que resulta en un acceso no autorizado a los Datos del Cliente o a cualquiera de las redes, equipos o instalaciones para almacenar Datos del Cliente pertenecientes a GoDaddy, y pueden incluir, entre otros, pings y otros ataques de difusión (broadcast) en firewalls o servidores perimetrales, exploraciones de puertos, intentos sin éxito de inicio de sesión, ataques de denegación de servicio, detección de paquetes (u otro acceso no autorizado a los datos de tráfico que no implique un acceso más allá de los encabezados) o incidentes similares; y

(ii) La obligación de GoDaddy de informar o responder a un Incidente de Seguridad en virtud de esta Sección no es ni se considerará como un reconocimiento por parte de GoDaddy de alguna falta o responsabilidad de GoDaddy con respecto al Incidente de Seguridad.

7.4 Comunicación. Las notificaciones de los Incidentes de seguridad, si las hubiera, se entregarán a uno o más administradores del Cliente por cualquiera de los medios que elija GoDaddy, incluido el correo electrónico. Es responsabilidad exclusiva del Cliente garantizar que la información de contacto que mantienen sus administradores en la consola de administración de GoDaddy es verdadera y garantiza la transmisión en todo momento.

8.1 Determinación independiente. El Cliente tiene la responsabilidad de revisar la información que GoDaddy puso a disposición y que está relacionada con la seguridad de los datos y sus Estándares de Seguridad y de tomar una decisión independiente en cuanto a si los Servicios Cubiertos cumplen con los requisitos y las obligaciones legales del Cliente además de la obligaciones del Cliente conforme a esta Adenda. La información disponible es para ayudar al Cliente a cumplir con las obligaciones del Cliente conforme a las leyes aplicables sobre privacidad, incluida la RGPD, con relación a las evaluaciones y consulta previa del impacto de la protección de datos.

8.2 Derechos de auditoría del cliente. El cliente tiene derecho a confirmar a GoDaddy el cumplimiento de esta Adenda según corresponda a los Servicios Cubiertos, incluido específicamente el cumplimiento de GoDaddy con sus Estándares de Seguridad, ejerciendo un derecho razonable de realizar una auditoría o inspección que incluye las Cláusulas Contractuales Estándar, si se aplican, mediante un pedido específico por escrito de GoDaddy a la dirección que se indica en sus Términos del Servicio. Si GoDaddy se niega a seguir cualquiera de las instrucciones del Cliente con relación a una auditoría o inspección debidamente solicitada y enfocada, el Cliente tiene derecho a finalizar esta Adenda y los Términos del Servicio. Si se aplican las Cláusulas Contractuales Estándar, nada en esta sección cambia o modifica las Cláusulas Contractuales Estándar ni afecta a los derechos de ninguna autoridad supervisora ni titulares de los datos conforme a las Cláusulas Contractuales Estándar. También se aplicará esta sección en la medida que GoDaddy controle a los subprocesadores del procesamiento en nombre del Cliente.

9.1 Procesamiento en EE. UU. Excepto cuando se lo indique específicamente en los Términos de Servicio, los Datos del Cliente se transferirán fuera del EEE y se procesarán en Estados Unidos.

9.2 Aplicación de las Cláusulas Contractuales Estándar. Las Cláusulas Contractuales Estándar se aplicarán a los Datos del Cliente que se transfieran fuera del EEE, ya sea directamente o mediante transferencias sucesivas, a cualquier país donde la Comisión Europea considere que no se proporciona el nivel adecuado de protección para los Datos personales. Las Cláusulas Contractuales Estándar no se aplicarán a los Datos del Cliente no transferidos, ya sea directamente o mediante transferencias sucesivas, fuera del EEE. No obstante esto, las Cláusulas Contractuales Estándar no se aplicarán cuando los datos se transfieran de acuerdo con los estándares de cumplimiento reconocidos para la transferencia legal de los Datos personales fuera del EEE, cuando sea necesario para los Servicios cubiertos de acuerdo con los Términos de servicio o con su consentimiento.

Esta Adenda seguirá vigente hasta la finalización de nuestro procesamiento de acuerdo con los Términos del Servicio (la “Fecha de terminación”).   

Tal como se indica en los Servicios Cubiertos, se podrá proporcionar al Cliente controles que puede usar para retirar o eliminar Datos del Cliente. Cualquier eliminación de Datos del Cliente se regirá por los términos de los Servicios Cubiertos específicos.

La responsabilidad de cada parte conforme a esta Adenda, estará sujeta a las exclusiones y limitaciones de la responsabilidad que se indican en los Términos del Servicio. El Cliente acepta que se considerará cualquier sanción reglamentaria incurrida por GoDaddy con relación a los Datos del Cliente y que surja como resultado de o esté relacionada con el incumplimiento por parte del Cliente de sus obligaciones conforme a esta Adenda y cualquier legislación aplicable sobre privacidad y reducirá la responsabilidad de GoDaddy conforme a los Términos del Servicio como si fuera responsabilidad del Cliente según los Términos del Servicio.

Esta Adenda sustituye y reemplaza a todas las declaraciones, entendimientos, acuerdos o comunicaciones anteriores o actuales entre el Cliente y GoDaddy, escritas o verbales, con referencia al asunto de esta Adenda, incluida cualquier adenda sobre procesamiento de datos celebrada entre GoDaddy y el Cliente con relación al procesamiento de los datos personales y la libre circulación de estos datos.  Excepto lo modificado por esta Adenda, los Términos del Servicio seguirán teniendo plena vigencia y efecto.  Si hay algún conflicto entre cualquier otro acuerdo entre las partes que incluya a los Términos del Servicio y esta Adenda, prevalecerán los términos de esta Adenda.

** ************************************************

 DETALLES DEL PROCESAMIENTO

 1. Naturaleza y propósito del procesamiento. GoDaddy procesará los Datos Personales en la medida que sea necesario para realizar los Servicios Cubiertos de conformidad con los Términos del Servicio, los acuerdos específicos del producto, y según las instrucciones posteriores del Cliente durante el uso que haga de los Servicios Cubiertos.

 2. Duración del procesamiento. De acuerdo con la Sección 10 de esta Adenda, GoDaddy Procesará Datos Personales durante la vigencia de los Términos de Servicio, pero actuarán de conformidad con los términos de esta Adenda durante la duración del Procesamiento si excede ese período y a menos que se indique otra cosa por escrito.

3. Categorías de titulares de los datos. El Cliente puede cargar los Datos Personales mientras hace uso de los Servicios Cubiertos; su alcance está determinado y controlado por el Cliente a su criterio y puede incluir, entre otros, a los Datos Personales relacionados con las siguientes categorías de Titulares de los Datos:

• Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que son personas físicas)
• Empleados o personas de contacto del Cliente, clientes potenciales, clientes, socios comerciales y proveedores
• Empleados, agentes, asesores, trabajadores independientes del Cliente (que son personas físicas)
• Usuarios del Cliente autorizados por el Cliente a usar los Servicios Cubiertos

4. Tipos de datos personales. El Cliente puede cargar Datos Personales durante su uso de los Servicios Cubiertos; su tipo y en qué medida lo hace lo determina y controla el Cliente según su criterio, y puede incluir, entre otras, a la siguientes categorías de Datos Personales de los Titulares de los datos: 

• Nombre
• Dirección
• Número telefónico
• Fecha de nacimiento
• Dirección de correo electrónico
• Otros datos recopilados que lo podrían identificar directa o indirectamente.

** ************************************************

Estándares de Seguridad

I.  Medidas técnicas y organizativas  

Nos comprometemos a proteger la información de nuestros clientes.  Considerando las mejores prácticas, los costos de la implementación y la naturaleza, el alcance, las circunstancias y el propósito del procesamiento como así también las distintas posibilidades de ocurrencia y la gravedad del riesgo para los derechos y libertades de las personas naturales, tomamos las siguientes medidas técnicas y organizativas.  En la selección de las medidas se tomó en cuenta la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. Se garantiza la rápida recuperación después de un incidente físico o técnico. 

II.  Programa de privacidad de datos  

Nuestro Programa de privacidad de datos se creó para mantener la estructura global del gobierno de datos y garantizar la información durante todo su ciclo de vida. Este programa está a cargo de la oficina del responsable de protección de datos que supervisa la implementación de las prácticas de privacidad y medidas de seguridad. Periódicamente probamos, evaluamos y analizamos la eficacia del Programa de Privacidad de Datos y los Estándares de Seguridad. Periódicamente probamos, evaluamos y analizamos la eficacia del Programa de Privacidad de Datos y los Estándares de Seguridad.   

1. Confidencialidad. “Confidencialidad quiere decir que los datos personales están protegidos contra la revelación no autorizada”.  

Usamos distintas medidas físicas y lógicas para proteger la confidencialidad de los datos personales de los clientes. Esas medidas incluyen:   

  Seguridad física  

• Sistemas de control de acceso físico implementados (control de acceso con credencial, monitoreo de eventos de seguridad, etc.) 
• Sistemas de vigilancia, incluidas alarmas y, si corresponde, monitoreo por CCTV  
• Políticas de escritorio limpio y controles (bloqueo de computadoras que están desatendidas, gabinetes cerrados con llave, etc.)  
•  Administración de acceso de visitante 
• Destrucción de datos en medios físicos y documentos;(trituración, desmagnetización, etc.) 

  Control de acceso y Prevención de acceso no autorizado 

• Restricciones de acceso del usuario; permisos de acceso aplicados y basados en la función provistos/revisados en base al principio de segregación de funciones  
• Autenticación y métodos de autorización sólidos (autenticación multifactor, autorización basada en certificado, desactivación/desconexión automática, etc.) 
• Gestión de contraseña centralizada y políticas de contraseñas seguras/complejas (largo mínimo, complejidad de caracteres, vencimiento de la contraseña, etc.)   
• Acceso controlado a correos electrónicos e Internet 
• Administración del antivirus  
• Administración del Sistema de Prevención de Intrusiones  

Encriptación   

• Encriptación de comunicaciones externas e internas por medio de protocolos de criptografía segura  
• Encriptación de datos de información de identificación personal (IIP)/información de identificación personal sensible (IIPS) almacenados (bases de datos, directorios compartidos, etc.)   
• Encriptación completa del disco para las PC y las computadoras portátiles de la empresa   
• Encriptación de los medios de almacenamiento  
• Las conexiones remotas a las redes de la compañía están encriptadas por medio de VPN  
• Garantizar el ciclo de vida de las claves de encriptación  

 Minimización de datos    

• Minimización de IIP/IPS en registros de aplicación, depuración y seguridad  
• Seudonimización de los datos personales para evitar la identificación directa de una persona 
• Segregación de datos almacenados por función (pruebas, pruebas en simulación, datos activos) 
• Segregación lógica de datos por derechos de acceso basados en la función 
• Período definido de retención de datos para datos personales   

Prueba de seguridad     

• Prueba de penetración para redes y plataformas críticas de empresas que brindan servicios de hosting a datos personales 
• Análisis periódicos de la red y la vulnerabilidad   

2. Integridad. “La integridad se refiere a garantizar la exactitud (integridad) de los datos y el correcto funcionamiento de los sistemas. Cuando el término integridad se usa en relación con el término “datos”, significa que los datos están completos y no tienen cambios”.  

Se han implementado los controles adecuados de administración de cambios y registros, además de controles de acceso para poder mantener la integridad de los datos personales, como:    

Gestión de cambio y versiones    

• Proceso de gestión de cambio y versiones que incluye (análisis del impacto, aprobaciones, pruebas, revisiones de seguridad, pruebas en simulación, monitoreo, etc.)  
• Provisión de acceso basado en el papel y la función (Segregación de Funciones) sobre entornos de producción    

Registro y monitoreo

• Registro de acceso y cambios en los datos  
• Auditoría centralizada y registros de seguridad   
• Monitoreo de la integridad y exactitud de la transferencia de datos (verificación de principio a fin)    

3. Disponibilidad. “La disponibilidad de los servicios y de los sistemas de TI, las aplicaciones de TI y las funciones de la red de TI o de la información está garantizada si los usuarios pueden usarlos en todo momento que deseen”.    

Implementamos medidas adecuadas de continuidad y seguridad para mantener la disponibilidad de sus servicios y datos que residen dentro de esos servicios:    

• Pruebas periódicas de recuperación ante fallos aplicadas a servicios críticos  
• Monitoreo exhaustivo de desempeño/disponibilidad e informes para sistemas críticos  
• Programa de respuesta a incidentes  
• Datos críticos replicados o guardados (replicación en la nube de Copias de seguridad/Discos duros/Base de datos, etc.) 
• Mantenimiento planificado del software, la infraestructura y la seguridad (actualizaciones del software, parches de seguridad, etc.)   
• Sistemas redundantes y resilientes (grupos de servidores, bases de datos en espejo, configuraciones de alta disponibilidad, etc.) ubicados fuera del sitio y/o en lugares separados geográficamente    
• Uso de sistemas de suministro de energía ininterrumpido, sistema redundante contra fallas del hardware y la red  
• Alarma, sistemas de seguridad incorporados  
• Medidas de protección física incorporadas para sitios críticos (protección contra sobretensiones, pisos elevados, sistemas de refrigeración, detectores de fuego y/o humo, sistemas contra incendios, etc.) 
• Protección contra DDOS para mantener la disponibilidad   
• Prueba de carga y fuerza  

4. Instrucciones para el procesamiento de datos. “Las Instrucciones para el procesamiento de datos se refieren a garantizar que los datos personales se procesarán únicamente de acuerdo con las instrucciones del controlador de datos y las medidas relacionadas de la compañía”  

Hemos establecido políticas de privacidad internas, acuerdos y realizamos capacitaciones periódicas sobre privacidad para los empleados para garantizar que los datos personales se procesan de acuerdo con las preferencias e instrucciones de los clientes.   

• Términos de privacidad y confidencialidad dentro de los contratos del empleado 
• Capacitaciones periódicas para los empleados sobre privacidad y seguridad de datos
• Las correspondientes disposiciones contractuales a los contratos con los subcontratistas para mantener los derechos de controles de instrucción 
• Controles regulares de privacidad para proveedores externos de servicios 
• Proporcionar a los clientes control total sobre sus preferencias de procesamiento de datos 
• Auditorías regulares de seguridad 

**********************************************

Consulte la Sección 9.2 de la Adenda para obtener información sobre la aplicación de estas CCT

Cláusulas Contractuales Estándar (procesadores)

A efectos del Artículo 26(2) de la Directiva 95/46/CE para la transferencia de datos personales a procesadores en terceros países que no garanticen un nivel adecuado de protección de datos

La entidad identificada como “Cliente” en la Adenda
(el “exportador de datos”)

y

GoDaddy.com, LLC

 (el “importador de datos”)

cada una es una “parte”; en conjunto son “las partes”,

ACUERDAN las siguientes Cláusulas Contractuales (en lo sucesivo, las Cláusulas) para ofrecer las garantías suficientes con respecto de la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transmisión por el exportador de datos al importador de datos de los datos personales que se especifican en el Apéndice 1.

Cláusula 1

Definiciones

A los efectos de las Cláusulas:

(a) “datos personales”, “categorías especiales de datos”, “proceso/procesamiento”, “controlador”, “procesador”, “titulares de los datos” y “autoridad supervisora” tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 sobre la protección de las personas físicas respecto al procesamiento de datos personales y a la libre circulación de esos datos;

(b) “el exportador de datos” es el controlador que transfiere los datos personales;

(c) “el importador de datos” es el procesador que acepta recibir del exportador de datos los datos personales para procesarlos en su nombre después de la transferencia y de acuerdo con sus instrucciones y los términos de las Cláusulas y que no está sujeto al sistema de un tercer país que garantice la adecuada protección en el sentido del Artículo 25(1) de la Directiva 95/46/CE;

(d) “el subprocesador” es cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de otro subprocesador de los datos personales del importador, datos destinados exclusivamente a las actividades de procesamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, con los términos de las Cláusulas y con los términos de la subcontratación por escrito;

(e) “la legislación aplicable sobre protección de datos” es la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al procesamiento de sus datos personales, aplicable al controlador de datos en el Estado Miembro del exportador de datos;

(f) “medidas de seguridad técnicas y organizativas” son las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, revelación o acceso no autorizados, especialmente cuando el procesamiento suponga la transmisión de los datos por redes y contra cualquier otra forma ilícita de procesamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales donde corresponda, se especifican en el Apéndice 1 que forma parte integral de las Cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1.  El titular de los datos puede aplicar contra el exportador de datos esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e) y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 como tercero beneficiario.

2.  El titular de los datos puede aplicar contra el importador de datos esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 cuando el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el titular de los datos puede aplicarlas contra dicha entidad.

3.  El titular de los datos podrá aplicar contra el subprocesador esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12, en los casos en que el exportador de datos y el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, como resultado de lo cual asume los derechos y las obligaciones del exportador de datos, en cuyo caso el titular de los datos puede aplicarlas contra dicha entidad. Dicha responsabilidad frente a terceros del subprocesador se limitará a sus propias operaciones de procesamiento conforme a las Cláusulas.

4.  Las partes no se oponen a que el titular de los datos esté representado por una asociación u otras entidades, si así lo desea expresamente y lo permite la legislación nacional.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza:

(a) que el procesamiento de los datos personales, incluida la transferencia en sí, se ha realizado y seguirá realizándose de conformidad con las disposiciones pertinentes de la legislación aplicable sobre protección de datos (y, donde corresponda, se ha notificado a las autoridades correspondientes del Estado Miembro del exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;

(b) que se ha indicado y durante el período de duración de los servicios de procesamiento de datos personales se indicará al importador de datos que procese los datos personales transferidos únicamente en nombre del exportador de datos y de acuerdo con la legislación aplicable sobre protección de datos y las Cláusulas;

(c) que el importador de datos ofrecerá garantías suficientes en relación con las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;

(d) que después de la evaluación de los requisitos de la legislación aplicable sobre protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra su destrucción accidental o ilícita o contra la pérdida accidental, la alteración, la revelación o el acceso no autorizado, especialmente donde el procesamiento implica la transmisión de datos a través de una red, y contra cualquier otra forma de procesamiento ilícita, y que estas medidas garantizan un nivel de seguridad apropiado para los riesgos que presenta el procesamiento y la naturaleza de los datos que deben protegerse, teniendo en cuenta la vanguardia y el costo de su implementación;

(e) que garantizará el cumplimiento de las medidas de seguridad;

(f) que, si la transferencia implica categorías especiales de datos, el titular de los datos ha sido informado o será informado antes, o tan pronto como sea posible después de la transferencia, de que sus datos podrían transferirse a un tercer país sin la protección adecuada dentro del significado de la Directiva 95/46/CE;

(g) reenviar cualquier notificación recibida por parte del importador de datos o de cualquier subprocesador conforme a la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos, si el exportador de datos decide continuar la transferencia o levantar la suspensión;

(h) pondrá a disposición de los titulares de datos, previa solicitud, una copia de las Cláusulas, con la excepción del Apéndice 2 y una breve descripción de las medidas de seguridad como así también una copia de cualquier contrato de servicios de subprocesamiento que se realizará de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

(i) que, en caso de subprocesamiento, esta actividad la realiza un subprocesador de acuerdo con la Cláusula 11, el que proporciona al menos, el mismo nivel de protección de los datos personales y los derechos del titular de los datos que el importador de datos en virtud de las Cláusulas; y

(j) que garantizará el cumplimiento con la Cláusula 4(a) a (i).

Cláusula 5¹.

Obligaciones del importador de datos

El importador de datos acuerda y garantiza:

(a) procesar los datos personales solo en nombre del exportador de datos y en cumplimiento de sus instrucciones y las Cláusulas; si por cualquier motivo no puede cumplir, acepta informar oportunamente al exportador de datos de su incapacidad, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(b) que no tiene motivos para creer que la legislación aplicable a la misma le impide cumplir con las instrucciones recibidas del exportador de datos y con sus obligaciones en virtud del contrato y, que en caso de un cambio en esta legislación, que podría tener un efecto adverso sustancial sobre las garantías y obligaciones estipuladas en las Cláusulas, se notificará oportunamente al exportador de datos, tan pronto como tenga conocimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(c) que tiene implementada las medidas de seguridad técnicas y organizativas que se especifican en el Apéndice 2 antes de procesar los datos personales transferidos;

(d) que notificará inmediatamente al exportador de datos sobre:

(i) cualquier solicitud legalmente vinculante que realice una autoridad encargada de la aplicación de la ley para revelar los datos personales, a menos que se prohíba, por ejemplo, en virtud de la legislación penal para mantener la confidencialidad de una investigación judicial,

(ii) cualquier acceso accidental o no autorizado y

(iii) cualquier solicitud recibida directamente de los titulares de los datos, sin responder a esa solicitud, a menos que de otro modo se haya autorizado;

(e) tratar en tiempo y forma y de manera adecuada todas las consultas del exportador de datos relacionadas con el procesamiento de los datos personales sujetos a la transferencia y cumplir con el asesoramiento de la autoridad supervisora con referencia al procesamiento de los datos transferidos;

(f) a petición del exportador de datos, presentar sus instalaciones de procesamiento de datos para la realización de auditorías de las actividades de procesamiento incluidas en las Cláusulas, las cuales deberá realizar el exportador de datos o un organismo de inspección integrado por miembros independientes con las calificaciones profesionales necesarias, vinculados por un deber de confidencialidad y seleccionados por el exportador de datos, donde corresponda, de común acuerdo con la autoridad supervisora;

(g) poner a disposición del titular de los datos, previa solicitud, una copia de las Cláusulas o de cualquier contrato de subprocesamiento existente, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar esa información comercial, a excepción del Apéndice 2 que será reemplazado por una breve descripción de las medidas de seguridad en los casos en que el titular de los datos no pueda obtener una copia del exportador de datos;

(h) que en caso de subprocesamiento, se ha informado previamente al exportador de datos y se ha obtenido su consentimiento previo por escrito;

(i) que los servicios de procesamiento del subprocesador se realizarán de acuerdo con la Cláusula 11

(j) enviar sin demora al exportador de datos una copia de cualquier contrato de subprocesamiento pactado en virtud de las cláusulas.

Cláusula 6

Responsabilidad

1.  Las partes aceptan que cualquier titular de los datos que haya sufrido daños como resultado de algún incumplimiento de las obligaciones previstas en la Cláusula 3 o en la Cláusula 11 por parte de cualquiera de las partes o del subprocesador tiene derecho a percibir una indemnización del exportador de datos por el daño sufrido.

2.  Si, de acuerdo con el párrafo 1, un titular de los datos no puede presentar una reclamación de indemnización contra el exportador de datos por incumplimiento de cualquiera de las obligaciones a las que se hace referencia en la Cláusula 3 o en la Cláusula 11 por parte del importador de datos o de su subprocesador, debido a que el exportador ha desaparecido de hecho, ha dejado de existir legalmente o se ha vuelto insolvente, el importador de datos acepta que el titular de los datos pueda presentar una reclamación contra él como si fuera el exportador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, en cuyo caso el titular de los datos podrá exigir el cumplimiento de sus derechos a esa entidad. El importador de datos no puede alegar el incumplimiento de obligaciones del subprocesador con el fin de evitar sus propias responsabilidades.

3.  Si el titular de los datos no puede presentar contra el exportador de datos o el importador de datos la demanda a la que se refieren los apartados 1 y 2, por incumplimiento de cualquiera de las obligaciones a las que se hace referencia en la Cláusula 3 o en la Cláusula 11 por parte del subprocesador, porque tanto el exportador de datos como el importador de datos han desaparecido de hecho, han dejado de existir legalmente o son insolventes, el subprocesador acepta que el titular de los datos pueda demandarle con relación a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por procedimiento legal, en cuyo caso el titular de los datos podrá exigir el cumplimiento de sus derechos a esa entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.

Cláusula 7

Mediación y jurisdicción

1.  El importador de datos acepta que si el titular de los datos invoca en su contra los derechos de tercero beneficiario y/o reclama indemnización por daños conforme a las Cláusulas, el importador de datos aceptará la decisión del titular de los datos:

(a) someter el conflicto a mediación de una persona independiente o, donde corresponda, de una autoridad supervisora;

(b) someter el conflicto a los tribunales del Estado miembro donde esté establecido el exportador de datos.

2.  Las partes aceptan que la elección hecha por el titular de los datos no va a afectar sus derechos sustantivos o procedimentales a obtener soluciones de acuerdo con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de supervisión

1.  El exportador de datos acepta depositar una copia de este contrato ante la autoridad supervisora si así se lo solicita o si lo exige la ley de protección de datos aplicable.

2.  Las partes aceptan que la autoridad supervisora tiene el derecho de llevar a cabo una auditoría del importador de datos y de cualquier subprocesador, que tenga el mismo alcance y esté sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable sobre protección de datos.

3.  El importador de datos informará inmediatamente al exportador de datos acerca de la existencia de una legislación aplicable a él o a cualquier subprocesador que impida la realización de una auditoría del importador de datos o de cualquier subprocesador, conforme al apartado 2. En ese caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la Cláusula 5 (b).

Cláusula 9

Legislación aplicable

Las Cláusulas se regirán por la legislación del Estado Miembro del exportador de datos y cuando haya dudas o múltiples exportadores de datos, se regirán por la legislación de Inglaterra y Gales. 

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar las Cláusulas. Esto no excluye que las partes añadan cláusulas sobre temas relacionados con sus negocios en caso necesario y siempre que no contradigan la Cláusula.

Cláusula 11

Subprocesamiento

1.  El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas, sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará solo por medio de un contrato escrito con el subprocesador, en el que se impongan las mismas obligaciones al subprocesador que las impuestas al importador de datos en virtud de las Cláusulas. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho contrato por escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho contrato.

2.  El contrato previo por escrito entre el importador de datos y el subprocesador también deberá establecer una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3, para los casos en que el titular de los datos no pueda interponer la demanda de indemnización a la que se refiere el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos debido a que han desaparecido de hecho, han dejado de existir legalmente o se han vuelto insolventes, y ninguna entidad sucesora ha asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por procedimiento legal. Dicha responsabilidad frente a terceros del subprocesador se limitará a sus propias operaciones de procesamiento conforme a las Cláusulas.

3.  Las disposiciones relativas a los aspectos de la protección de datos para el subprocesamiento del contrato a los que se hace referencia en el apartado 1 se regirán por la legislación del Estado Miembro del exportador de datos.

4.  El exportador de datos mantendrá una lista de contratos de subprocesamiento pactados en virtud de las Cláusulas y notificados por el importador de datos conforme a la Cláusula 5 (j), la que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad supervisora de protección de datos del exportador de datos.

Cláusula 12

Obligación después del término de los servicios de procesamiento de datos personales

1.  Las partes aceptan que al terminar la provisión de los servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y sus copias al exportador de datos o deberán destruir todos los datos personales y certificar este hecho al exportador de datos, a menos que la legislación aplicable al importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En ese caso, el importador de datos garantizará la confidencialidad de los datos personales transferidos y dejará de procesarlos activamente.

2.  El importador de datos y el subprocesador garantizan que a petición del exportador de datos y/o de la autoridad supervisora, presentará sus instalaciones de procesamiento de datos para realizar una auditoría de las medidas a las que se hace referencia en el apartado 1.

**********************************************

Apéndice 1 a las Cláusulas Contractuales Estándar

Exportador de datos

El exportador de datos es la entidad identificada como “Cliente” en la Adenda

Importador de datos

El importador de datos es GoDaddy.com, LLC , un proveedor de servicios de hosting.

Titulares de los datos

En la Sección 1.3 y en el Anexo 1 de la Adenda se definen a las operaciones de procesamiento.

Categorías de datos

En la Sección 1.3 y en el Anexo 1 de la Adenda se definen a las operaciones de procesamiento.

Operaciones de procesamiento

En la Sección 1.3 y en el Anexo 1 de la Adenda se definen a las operaciones de procesamiento.

Apéndice 2 a las Cláusulas Contractuales Estándar

Este Apéndice forma parte de las Cláusulas.  Al comprar los Servicios Cubiertos de GoDaddy, se considera que las partes aceptaron y firmaron la Adenda y el Apéndice 2.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o documento o legislación adjuntos):

Las medidas de seguridad técnica y organizativa implementadas por el importador de datos son las que se describen en la Adenda, específicamente en el Anexo 2, que se incorporó y adjuntó a ella.

[1]              Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses que se indican en el Artículo 13(1) de la Directiva 95/46/CE, es decir, si dichas obligaciones constituyen una medida necesaria para salvaguardar la seguridad nacional, la defensa, la prevención, investigación, detección y enjuiciamiento de delitos o incumplimiento de la ética en las profesiones reguladas, un interés económico o financiero importante del Estado o la protección de los titulares de datos o de los derechos y libertades de otras personas, no se contradicen con las Cláusulas Contractuales Estándar. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas internacionalmente, las obligaciones de notificación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.