GoDaddy - ADENDA SOBRE EL PROCESAMIENTO DE DATOS

Esta Adenda sobre procesamiento de datos (la “Adenda”) se celebra entre GoDaddy.com, LLC, a Delaware limited liability company y sus Afiliados (“GoDaddy”) y usted (“Cliente”) y se anexa y complementa nuestros Términos universales del servicio, Política de privacidad y cualquiera de los acuerdos que rigen los Servicios Cubiertos (en conjunto, los “Términos del Servicio”).

1.1 A menos que esta Adenda indique lo contrario, todos los términos en mayúscula y no definidos en esta Adenda, tendrán el significado que se les dio en los Términos del Servicio.

“Afiliados” se refiere a cualquier entidad controlada por, que controla o ejerce el control en forma conjunta con GoDaddy.

“Servicios cubiertos” se refiere a los servicios de hosting que podrían implicar nuestro Procesamiento de datos personales y que están sujetos a los términos y condiciones de los siguientes Contratos: (1) Servicios de Email Marketing, (2) Hosting, (3) Tienda online/Carrito de compras rápido, (4) Servicios de Creador de sitios web, (5) Servicio de Workspace.

“Datos del Cliente” son los Datos Personales de cualquier Titular de los Datos Procesados por GoDaddy dentro de la red de GoDaddy en nombre del Cliente de conformidad o en relación con los Términos de Servicio.

“Leyes de protección de datos” se refiere a todas las leyes y reglamentos de protección de datos o privacidad aplicables al Tratamiento de Datos Personales en virtud del Acuerdo, incluidos, entre otros (i) los Principios de Privacidad Australianos y la Ley de Privacidad Australiana (1988), (ii) la Lei Geral de Proteção de Dados (LGPD) de Brasil, (iii) la Ley de Privacidad del Consumidor de California (CCPA), (iv) la Ley Federal de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) (v) el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, (vi) cualquier ley nacional de protección de datos elaborada en virtud del RGPD o de conformidad con el mismo, (vii) la Directiva sobre privacidad electrónica de la UE (Directiva 2002/58/CE), (viii) la Ley de Protección de Datos Personales de Singapur de 2012 (PDPA), (ix) la Ley Federal de Protección de Datos de Suiza de 19 de junio de 1992 y su Ordenanza y (x) el RGPD del Reino Unido o la Ley de Protección de Datos de 2018; en cada caso, tal y como se puedan modificar, sustituir o reemplazar.

“EEE” significa Espacio Económico Europeo.

“GDPR de la EU” se refiere a la Reglamentación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas naturales con respecto al procesamiento de datos personales y el libre movimiento de dichos datos, y deroga la Directiva 95/46/EC.

“Cláusulas contractuales estándar de la UE” se refiere a las cláusulas estándar de protección de datos aprobadas por la decisión 2021/914 de la Comisión Europea de 4 de junio de 2021, incorporadas aquí por referencia. El Módulo Dos (Controlador a Procesador) de las Cláusulas Contractuales Estándar de la UE y el Módulo Tres (Procesador a Procesador) de las Cláusulas Contractuales Estándar de la UE pueden descargarse en el sitio web de EUR-Lex.

“GoDaddy Red” se refiere a las instalaciones del centro de datos de GoDaddy, los servidores, el equipo de redes y los sistemas host de software (p. ej., los firewall virtuales) que están en control de GoDaddy y se usan para proporcionar los Servicios Cubiertos.

“Incidente de seguridad”se refiere a una violación de la seguridad de los GoDaddy Estándares de Seguridad con resultado de destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a cualquier Dato del Cliente en los sistemas gestionados o controlados por GoDaddy.

“Estándares de seguridad” se refiere a los estándares de seguridad que se adjuntan a esta Adenda como Apéndice 2.

"Información confidencial" significa (a) número de seguridad social, número de pasaporte, número de permiso de conducir o identificador similar (o cualquier parte del mismo); (b) número de tarjeta de crédito o débito (que no sea el truncado (últimos cuatro dígitos) de una tarjeta de crédito o débito), información financiera, números de cuentas bancarias o contraseñas; (c) información laboral, financiera, genética, biométrica o de salud; (d) la afiliación racial, étnica, política o religiosa, la pertenencia a un sindicato o la información sobre la vida sexual o la orientación sexual; (e) las contraseñas de cuentas, el nombre de soltera de la madre o la fecha de nacimiento; (f) los antecedentes penales; o (g) cualquier otra información o combinación de información que entre dentro de la definición de "categorías especiales de datos" en virtud del GDPR o de cualquier otra ley o reglamento aplicable en materia de privacidad y protección de datos.

“Subprocesador” se refiere a cualquier procesador contratado por el Procesador para procesar datos en nombre del Controlador.

“RGPD del Reino Unido” se refiere al GDPR de la UE modificado e incorporado a la legislación del Reino Unido conforme a la Ley de la Unión Europea (Retirada) del Reino Unido de 2018, y a la legislación secundaria aplicable realizada en virtud de dicha Ley.

“Adenda de Transferencia Internacional de Datos del Reino Unido” se refiere a la Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la UE emitida por el Comisionado de Información del Reino Unido, Versión B1.0, aplicable el 21 de marzo de 2022, incorporada aquí por referencia. La Adenda de Transferencia Internacional de Datos del Reino Unido está disponible para su descarga en el sitio web del Comisario de Información del Reino Unido

1.2 Los términos “datos personales”, “sujeto de los datos”, “procesamiento”, “controlador” y “procesador”, empleados en esta Adenda, se ajustan al significado dado en el RGPD de la UE, con independencia de las leyes de protección de datos que se apliquen.

2.1 GoDaddy como Procesador. Las partes reconocen y acuerdan lo siguiente (i) que GoDaddy es un procesador de los Datos del Cliente conforme a las Leyes de Protección de Datos; (ii) que el Cliente es un controlador o procesador, según corresponda, de los Datos del Cliente conforme a las Leyes de Protección de Datos; y (iii) que cada parte cumplirá con sus obligaciones conforme a las Leyes de Protección de Datos aplicables relativas al procesamiento de los Datos del Cliente.

2.2 Detalles sobre el procesamiento de datos. El objeto del procesamiento de los Datos del Cliente por parte de GoDaddy es el desempeño de los Servicios Cubiertos conforme a los Términos de Servicio y contratos específicos del producto. GoDaddy solo procesará los Datos del Cliente en nombre de y de acuerdo con las instrucciones documentadas del Cliente y con la siguiente finalidad: (i) el procesamiento de acuerdo con los Términos del Servicio; (ii) el procesamiento iniciado por usuarios finales en el uso que hacen de los Servicios Cubiertos; (iii) el procesamiento para cumplir toda otras instrucciones documentadas y razonables proporcionadas por los Clientes (p. ej. por correo electrónico) donde esas instrucciones son compatibles con los términos del contrato. GoDaddy no hará lo siguiente: (a) no procesará, retendrá, usará, venderá ni divulgará Datos del cliente de acuerdo con los Términos de Servicio, o según lo exija la ley; (b) no venderá dichos Datos del Cliente a ningún tercero; (c) no retendrá, usará ni divulgará dichos Datos del Cliente fuera de la relación comercial directa entre GoDaddy y el Cliente.

Para evitar dudas, las instrucciones del Cliente para el procesamiento de Datos del Cliente deben cumplir con todas las leyes de protección de datos. El Cliente tiene la responsabilidad exclusiva de la exactitud, la calidad y la legalidad de los Datos del Cliente y de los medios por los que el Cliente adquirió los Datos del Cliente. Si el Cliente es un controlador de los Datos del Cliente, reconoce y acepta que lo siguiente: (i) deberá hacer esfuerzos comercialmente razonables para revelar con claridad, y obtener el consentimiento, cualquier colección, intercambio y uso de datos que tenga lugar en cualquiera de los Servicios Cubiertos; y (ii) deberá explicar claramente que, como consecuencia de su uso de los Servicios Cubiertos, los datos del Usuario Final pueden procesarse fuera de su país de origen. Si el Cliente es un procesador de los Datos del Cliente, el Cliente garantizará que las instrucciones y acciones del Cliente relativas a los Datos del Cliente, incluida la designación de GoDaddy como otro procesador, están autorizadas por el controlador correspondiente. GoDaddy no estará obligado a cumplir ni a acatar las instrucciones del Cliente si dichas instrucciones infringen las leyes de protección de datos. La duración, naturaleza y finalidad del Procesamiento, los tipos de datos personales y las categorías de Titulares de los Datos Procesados conforme a esta Adenda se especifican con más detalle en el Apéndice 1 (“Detalles del Procesamiento”) a esta Adenda.

GoDaddy no revelará los Datos del Cliente a ningún gobierno ni a ningún otro tercero, salvo que lo exija la ley o una orden válida y obligatoria de un organismo encargado del cumplimiento de la ley (por ejemplo una citación o una orden judicial). En caso de que GoDaddy reciba una citación civil válida, y en la medida de lo permitido, GoDaddy se esforzará por entregarle al Cliente una notificación razonable de la demanda por correo electrónico o postal para permitirle al Cliente buscar una orden de protección u otra solución adecuada.

4.1 GoDaddy ha implementado y mantendrá las medidas técnicas y organizativas para la red de GoDaddy de acuerdo con lo que se describe en esta sección y más adelante en el Anexo 2 a esta Adenda, Estándares de Seguridad. En particular, GoDaddy ha implementado y mantendrá las siguientes medidas técnicas y organizativas que abordan (i) la seguridad de la red de GoDaddy; (ii) la seguridad física de las instalaciones; (iii) los controles sobre el acceso de los empleados y contratistas a (i) y/o (ii); y (iv) los procesos para probar, analizar y evaluar la eficacia de las medidas técnicas y organizativas implementadas por GoDaddy. En caso de que no podamos cumplir con nuestras obligaciones establecidas en el presente, proporcionaremos un aviso escrito (por correo electrónico o en nuestro sitio web) tan pronto como sea factible en la práctica.

4.2 GoDaddy pone a disponibilidad una cantidad de características y funcionalidades de seguridad que el Cliente puede elegir usar en relación con los Servicios Cubiertos. El cliente tiene la responsabilidad de (a) configurar adecuadamente los Servicios Cubiertos, (b) utilizar los controles disponibles en relación con los Servicios Cubiertos (incluidos los controles de seguridad) para garantizar la constante confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento, (c) utilizar los controles disponibles en relación con los Servicios Cubiertos (incluidos los controles de seguridad) para que el cliente pueda restaurar la disponibilidad y acceder oportunamente a los Datos del Cliente ante la eventualidad de un incidente físico o técnico (p. ej., copias de seguridad y archivos de rutina de los Datos del Cliente) y (d) tomar las medidas que el Cliente considere adecuadas para mantener la adecuada seguridad, protección y eliminación de los Datos del Cliente; esto incluye el uso de tecnología de encriptación para proteger a los Datos del Cliente de accesos no autorizados y medidas para controlar los derechos de acceso a los Datos del Cliente.

Considerando la naturaleza de los Servicios cubiertos, GoDaddy ofrece al Cliente determinados controles que el Cliente puede elegir usar para recuperar, corregir, eliminar o restringir el uso y divulgación de los Datos del Cliente tal como se indica en los Servicios Cubiertos. El Cliente puede usar estos controles como medidas técnicas y organizativas para que le ayuden con sus obligaciones conforme a las leyes aplicables de protección de datos, incluida sus obligaciones de responder a los pedidos de los titulares de los datos. Siempre que sea comercialmente razonable y en la medida que sea legítimamente solicitado o permitido, GoDaddy notificará inmediatamente al Cliente si GoDaddy recibe directamente una solicitud del titular de los datos para ejercer esos derechos conforme a cualquier ley aplicable sobre protección de datos (“Solicitud del titular de los datos”). Además, cuando el uso de los Servicios Cubiertos por parte del Cliente limita su capacidad de resolver una solicitud del Titular de los Datos, GoDaddy podrá, cuando sea legítimamente permitido y adecuado y a pedido específico del cliente, proporcionar asistencia comercialmente razonable para resolver el pedido, con costos a cargo del cliente (si los hubiera).

6.1 Subprocesadores autorizados. El Cliente acepta que GoDaddy use subprocesadores para cumplir con sus obligaciones contractuales de acuerdo con sus Términos de Servicio y esta Adenda o para proporcionar determinados servicios en su nombre, por ejemplo, servicios de asistencia técnica. Por el presente el cliente acepta que GoDaddyuse subprocesadores de la manera que se indica en esta Sección.

6.2 Obligaciones del subprocesador. Cuando GoDaddy usa cualquier Subprocesador autorizado tal como se indica en la Sección 6.1:

(i) GoDaddy limitará el acceso del subprocesador a los Datos del Cliente solo para lo que sea necesario para mantener los Servicios Cubiertos o para brindar Servicios Cubiertos al Cliente y cualquier usuario final de acuerdo con los Términos del servicio. GoDaddy prohibirá al subprocesador que acceda a los Datos del Cliente con cualquier otra finalidad;

(ii) GoDaddy celebrará un contrato por escrito con el Subprocesador y, en la medida en que el Subprocesador esté realizando los mismos servicios de procesamiento de datos que proporciona GoDaddy conforme a esta Adenda, GoDaddy impondrá al Subprocesador obligaciones contractuales sustancialmente similares que GoDaddy tiene conforme a esta Adenda; y

(iii) GoDaddy será responsable de cumplir con las obligaciones de esta Adenda y de los actos u omisiones del Subprocesador que hagan que GoDaddy no cumpla con cualquiera de las obligaciones de GoDaddy en virtud de esta Adenda.

6.3 Nuevos subprocesadores.  Periódicamente, contrataremos a nuevos subprocesadores de acuerdo con los términos de esta Adenda.  En ese caso, notificaremos con 30 días de antelación (a través de nuestro sitio web o correo electrónico) antes de que un nuevo subprocesador obtenga los Datos del cliente. Si el Cliente no aprueba el nuevo subprocesador, el Cliente podrá dar por terminados los Servicios Cubiertos sin ninguna sanción y proporcionando, dentro de los 10 días de haber recibo nuestra notificación, una notificación por escrito de la terminación en la que explicará los motivos por los que no otorga la aprobación. Si los Servicios Cubiertos son parte de un paquete o compra en paquete, entonces la terminación se aplicará a la totalidad.

7.1 Incidente de seguridad. Si GoDaddy tiene conocimiento de un Incidente de seguridad, GoDaddy deberá, sin demora injustificada: (a) notificar el Incidente de seguridad al Cliente y (b) tomar las medidas necesarias para mitigar los efectos y minimizar los daños resultantes del Incidente de Seguridad.

7.2 GoDaddy Asistencia. Para ayudar al Cliente con relación a cualquier notificación de incumplimiento de los datos personales que se requiere que el Cliente haga conforme a las leyes aplicables sobre protección de datos, GoDaddy incluirá en la notificación la información sobre el Incidente de Seguridad en la medida que GoDaddy pueda razonablemente revelar al cliente, considerando la naturaleza de los Servicios Cubiertos, la información disponible para GoDaddy y toda restricción sobre la revelación de la información, por ejemplo, la confidencialidad

7.3 Incidentes de falla de seguridad. El Cliente acepta que un incidente de seguridad fallido no estará sujeto a los términos de esta Adenda. Un Incidente de Seguridad fallido es el que resulta en un acceso no autorizado a los Datos del Cliente o a cualquiera de las redes, equipos o instalaciones para almacenar Datos del Cliente pertenecientes a GoDaddy, y pueden incluir, entre otros, pings y otros ataques de difusión (broadcast) en firewalls o servidores perimetrales, exploraciones de puertos, intentos sin éxito de inicio de sesión, ataques de denegación de servicio, detección de paquetes (u otro acceso no autorizado a los datos de tráfico que no implique un acceso más allá de los encabezados) o incidentes similares.

7.4 Notificación. La notificación de los Incidentes de seguridad, si las hubiera, se entregará a uno o más administradores del Cliente por cualquiera de los medios que elija GoDaddy, incluido el correo electrónico. Es responsabilidad exclusiva del Cliente garantizar que los administradores del Cliente mantengan información de contacto exacta en la GoDaddy consola de administración y garanticen la transmisión en todo momento.

7.5 Sin reconocimiento de culpa por GoDaddy: La obligación de GoDaddy de informar o responder a un Incidente de Seguridad en virtud de esta Sección no es ni se considerará como un reconocimiento por parte de GoDaddy de alguna falta o responsabilidad de GoDaddy con respecto al Incidente de Seguridad.

8.1 Determinación independiente. El Cliente tiene la responsabilidad de revisar la información que GoDaddy puso a disposición y que está relacionada con la seguridad de los datos y sus Estándares de Seguridad, así como de tomar una decisión independiente en cuanto a si los Servicios Cubiertos cumplen con los requisitos y las obligaciones legales del Cliente además de la obligaciones del Cliente conforme a esta Adenda. La información disponible tiene como objetivo ayudar al Cliente a cumplir con sus obligaciones conforme a las leyes de protección de datos aplicables. El Cliente acepta que los Servicios Cubiertos y los Estándares de Seguridad implementados y mantenidos por GoDaddy ofrecen un nivel de seguridad adecuado al riesgo para los datos personales (teniendo en cuenta el estado tecnológico, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento de los datos personales, así como los riesgos para las personas).

8.2 Derechos de auditoría del cliente. El Cliente tiene derecho a confirmar el cumplimiento de GoDaddy de este Apéndice en lo que respecta a los Servicios Cubiertos mediante una solicitud específica por escrito, a intervalos razonables, a la dirección establecida en los Términos de servicio. Si GoDaddy se niega a seguir cualquiera de las instrucciones del Cliente con relación a una auditoría o inspección debidamente solicitada y enfocada, el Cliente tiene derecho a finalizar esta Adenda y los Términos del Servicio.

9.1 U.S. Procesamiento basado. Excepto cuando se lo indique específicamente en los Términos de Servicio, los Datos del Cliente se transferirán fuera del Reino Unido o el AEE y se procesarán en Estados Unidos.

9.2 Aplicación de las Cláusulas Contractuales Estándar de la UE. Las Cláusulas Contractuales Tipo de la UE del Módulo Dos (Controlador a Procesador) o las Cláusulas Contractuales Tipo de la UE del Módulo Tres (Procesador a Procesador) se aplicarán a los Datos del Cliente que se transfieran fuera del EEE, ya sea directamente o mediante transferencias sucesivas, a cualquier país donde la Comisión Europea considere que no se proporciona el nivel adecuado de protección para los Datos del cliente. Las Cláusulas Contractuales Estándar de la UE no se aplicarán a los Datos del Cliente no transferidos, ya sea directamente o mediante transferencias sucesivas, fuera del EEE. No obstante esto, las Cláusulas Contractuales Estándar de la UE no se aplicarán cuando los datos se transfieran de acuerdo con los estándares de cumplimiento reconocidos para la transferencia legal de los Datos personales fuera del EEE, cuando sea necesario para los Servicios cubiertos de acuerdo con los Términos de servicio o con su consentimiento.

1. Para cada Módulo, cuando corresponda:
   1. en la Cláusula 7 de las Cláusulas Contractuales Estándar de la UE, no se aplicará la cláusula opcional de acoplamiento;
   2. en la Cláusula 9 de las Cláusulas Contractuales Estándar de la UE, se aplicará la Opción 2 y el plazo de notificación previa por escrito de los cambios de subprocesador será el establecido en la Sección 6. 3 (Nuevos subprocesadores) de esta Adenda;
   3. en la Cláusula 11 de las Cláusulas Contractuales Tipo de la UE, no se aplicará el lenguaje opcional;
   4. en la Cláusula 17 (Opción 1), las Cláusulas Contractuales Tipo de la UE se regirán por la legislación alemana;
   5. en la Cláusula 18(b) de las Cláusulas Contractuales Tipo de la UE, las disputas se juzgarán ante los tribunales de la República Federal de Alemania;
   6. en el Anexo I, Parte A de las Cláusulas Contractuales Tipo de la UE:
      • Lista de Partes
        
        Exportador(es) de datos: El exportador de datos es la entidad identificada como “Cliente” en la Adenda
        Firma y fecha: A partir de la fecha de aceptación electrónica por parte del exportador de datos de los Términos de servicio del importador de datos, se considera que el exportador de datos firmó estas cláusulas contractuales estándar.
        Cargo: Controlador (en el Módulo Dos) o Procesador (en el Módulo Tres)
        
        Importador(es) de datos: GoDaddy.com, LLC
        Detalles de contacto: Oficina del Delegado de protección de datos – privacy@godaddy.com
        Firma y fecha: A partir de la fecha de aceptación electrónica por parte del exportador de datos de los Términos de servicio del importador de datos, se considera que el exportador de datos firmó estas cláusulas contractuales estándar.
        Cargo: Procesador
   7. en el Anexo I, Parte B de las Cláusulas Contractuales Estándar de la UE:
      • Descripción de la transferencia
        
        Las categorías de personas cuyos datos personales se transfieren se describen en el Apéndice 1 de la Adenda.
        Las categorías de datos personales transferidos se detallan en el Apéndice 1 de la Adenda. Los datos confidenciales transferidos se describen en el Apéndice 1 de esta Adenda.
        La frecuencia de la transferencia es continua durante el periodo de vigencia de los Términos de Servicio.
        La naturaleza del procesamiento se describe en la Sección 2.2 y en el Apéndice 1 de la Adenda.
        El o los propósitos de la transferencia de datos y el procesamiento posterior se describen en la Sección 2.2 y en el Apéndice 1 de esta Adenda.
        El período durante el cual se conservarán los datos personales se describe en el Apéndice 1 de este Addendum.
        Para las transferencias a (sub)procesadores, el objeto, la naturaleza y la duración del procesamiento se establece en el Anexo III de las Cláusulas Contractuales Estándar.
   8. en el Anexo I, Parte C de las Cláusulas Contractuales Tipo de la UE:
      • Autoridad de control competente
        El Comisionado Estatal de Protección de Datos y Libertad de Información de Renania del Norte-Westfalia ('LDI NRW') es la autoridad de control competente.
   9. en el Anexo II de las Cláusulas Contractuales Tipo de la UE:
      
      Las medidas de seguridad técnicas y organizativas aplicadas por el Importador de Datos son las que figuran en el Apéndice 2 de la Adenda.
   10. en el Anexo III de las Cláusulas Contractuales Tipo de la UE:
       
       La lista de subprocesadores está en el Apéndice 3 de esta Adenda.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Para las transferencias de datos desde el Reino Unido sometidas a la Adenda de Transferencia Internacional de Datos del Reino Unido, la Adenda de Transferencia Internacional de Datos del Reino Unido se considerará celebrada (e incorporada a esta Adenda por esta referencia) y completada de la siguiente manera:
   1. En la Tabla 1 de la Adenda de Transferencia Internacional de Datos del Reino Unido, los detalles de las partes y la información de contacto clave se encuentran en la Sección 9.2 (i)(f) de esta Adenda.
   2. En la Tabla 2 de la Adenda de Transferencia Internacional de Datos del Reino Unido, la información sobre la versión de las Cláusulas Contractuales Estándar de la UE, los módulos y las cláusulas seleccionadas a las que se anexa esta Adenda de Transferencia Internacional de Datos del Reino Unido se encuentra en la Sección 9.2 (Cláusulas Contractuales Estándar de la UE) de esta Adenda.
   3. En la Tabla 3 de la Adenda de Transferencia Internacional de Datos del Reino Unido:
      1. La lista de Partes figura en la Sección 9.2 (i)(f) de esta Adenda.
      2. La descripción de la transferencia figura en la Sección 1 (Naturaleza y Finalidad del Tratamiento) del Anexo 1 (Detalles del Tratamiento) de esta Adenda.
      3. El Anexo II se encuentra en el Apéndice 2 (Normas de Seguridad) de esta Adenda.
      4. La lista de subprocesadores está en el Apéndice 3 de esta Adenda.
   4. En la Tabla 4 de la Adenda de Transferencia Internacional de Datos del Reino Unido, el importador y el exportador pueden terminar la Adenda de Transferencia Internacional de Datos del Reino Unido conforme a los términos de la misma.

Esta Adenda seguirá vigente hasta la finalización de nuestro procesamiento de acuerdo con los Términos del Servicio (la “Fecha de terminación”).   

Tal como se indica en los Servicios Cubiertos, se podrá proporcionar al Cliente controles que puede usar para retirar o eliminar Datos del Cliente. La eliminación de los Datos del Cliente tendrá lugar treinta (30) días después de la Fecha de finalización, de acuerdo con los términos de los Servicios Cubiertos particulares. El Cliente es consciente de que es responsable de exportar, antes de la Fecha de Finalización, cualquier dato del Cliente que desee conservar después de la Fecha de Finalización.

La responsabilidad de cada parte conforme a esta Adenda estará sujeta a las exclusiones y limitaciones de la responsabilidad, que se indican en los Términos del Servicio. El Cliente acepta que se considerará cualquier sanción reglamentaria incurrida por GoDaddy con relación a los Datos del Cliente y que surja como resultado de o esté relacionada con el incumplimiento por parte del Cliente de sus obligaciones conforme a esta Adenda y cualquier legislación aplicable sobre protección de datos y reducirá la responsabilidad de GoDaddy conforme a los Términos del Servicio como si fuera responsabilidad del Cliente según los Términos del Servicio.

Esta Adenda sustituye y reemplaza todas las declaraciones, entendimientos, acuerdos o comunicaciones anteriores o actuales entre el Cliente y GoDaddy, escritas o verbales, con referencia al asunto de esta Adenda, incluida cualquier adenda sobre procesamiento de datos celebrada entre GoDaddy y el Cliente con relación al procesamiento de los datos personales y la libre circulación de estos datos.  Si hay algún conflicto o incoherencia entre las Cláusulas Contractuales Estándar de la UE o el Anexo de Transferencia Internacional de Datos del Reino Unido y cualquier otro término de este Anexo o de las Condiciones de Servicio, prevalecerán las disposiciones de las Cláusulas Contractuales Estándar de la UE o del Anexo de Transferencia Internacional de Datos del Reino Unido, según corresponda. Excepto lo modificado por esta Adenda, los Términos del Servicio seguirán teniendo plena vigencia y efecto.  Si hay algún conflicto entre los Términos del Servicio y esta Adenda, prevalecerán los términos de esta Adenda.

 DETALLES DEL PROCESAMIENTO

 1. **Naturaleza y propósito del procesamiento. ** GoDaddy procesará los Datos del cliente en la medida en que sea necesario para realizar los Servicios Cubiertos de conformidad con los Términos del Servicio y según las instrucciones posteriores del Cliente durante el uso que haga de los Servicios Cubiertos.

 2. Duración del procesamiento. Sujeto a las Secciones 10 y 11 de esta Adenda, GoDaddy procesará los Datos del cliente durante la fecha de entrada en vigor de los Términos del servicio. Sin perjuicio de lo anterior, GoDaddy podrá conservar los Datos del cliente, o cualquier parte de estos, si así lo exigen las leyes o reglamentos aplicables, incluidas las Leyes de Protección de Datos aplicables, siempre y cuando dichos Datos del cliente sigan estando protegidos de acuerdo con los términos de esta Adenda y las Leyes de Protección de Datos aplicables.

3. Categorías de titulares de los datos. El Cliente puede cargar los Datos Personales mientras hace uso de los Servicios Cubiertos; su alcance está determinado y controlado por el Cliente a su criterio y puede incluir, entre otros, a los Datos Personales relacionados con las siguientes categorías de Titulares de los Datos:

• Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que son personas físicas)
• Empleados o personas de contacto del Cliente, clientes potenciales, clientes, socios comerciales y proveedores
• Empleados, agentes, asesores, trabajadores independientes del Cliente (que son personas físicas)
• Usuarios del Cliente autorizados por el Cliente a usar los Servicios Cubiertos

4. Categorías de datos personales. El Cliente puede cargar Datos Personales durante su uso de los Servicios Cubiertos; su tipo y en qué medida lo hace lo determina y controla el Cliente según su criterio, y puede incluir, entre otras, a la siguientes categorías de Datos Personales de los Titulares de los datos: 

• Nombre
• Dirección
• Número telefónico
• Fecha de nacimiento
• Dirección de correo electrónico
• Otros datos coleccionados que podrían identificar directa o indirectamente al titular de los datos.

5. Información confidencial o Categorías especiales de los datos. El Cliente puede cargar Información confidencial en el transcurso de su uso de los Servicios cubiertos, cuyo tipo y alcance determina y controla el Cliente a su entera discreción. El Cliente es responsable de aplicar restricciones o salvaguardias que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados antes de transmitir o procesar cualquier Información confidencial a través de los Servicios Cubiertos.

Estándares de Seguridad

I.  Medidas técnicas y organizativas  

Nos comprometemos a proteger la información de nuestros clientes.  Considerando las mejores prácticas, los costos de la implementación y la naturaleza, el alcance, las circunstancias y el propósito del procesamiento como así también las distintas posibilidades de ocurrencia y la gravedad del riesgo para los derechos y libertades de las personas naturales, tomamos las siguientes medidas técnicas y organizativas.  En la selección de las medidas se tomó en cuenta la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas.

II.  Programa de privacidad de datos  

Nuestro Programa de privacidad de datos se creó para mantener la estructura global del gobierno de datos y garantizar la información durante todo su ciclo de vida. Este programa está a cargo de la oficina del responsable de protección de datos que supervisa la implementación de las prácticas de privacidad y medidas de seguridad. Periódicamente probamos, evaluamos y analizamos la eficacia del Programa de Privacidad de Datos y los Estándares de Seguridad.

1. Confidencialidad. “Confidencialidad quiere decir que los datos personales están protegidos contra la revelación no autorizada”.  

Usamos distintas medidas físicas y lógicas para proteger la confidencialidad de los datos personales de los clientes. Esas medidas incluyen:   

  Seguridad física  

• Sistemas de control de acceso físico implementados (control de acceso con credencial, monitoreo de eventos de seguridad, etc.) 
• Sistemas de vigilancia, incluidas alarmas y, si corresponde, monitoreo por CCTV  
• Políticas de escritorio limpio y controles (bloqueo de computadoras que están desatendidas, gabinetes cerrados con llave, etc.)  
•  Administración de acceso de visitante 
• Destrucción de datos en medios físicos y documentos;(trituración, desmagnetización, etc.)

  Control de acceso y Prevención de acceso no autorizado 

• Restricciones de acceso del usuario; permisos de acceso aplicados y basados en la función provistos/revisados en base al principio de segregación de funciones  
• Autenticación y métodos de autorización sólidos (autenticación multifactor, autorización basada en certificado, desactivación/desconexión automática, etc.) 
• Gestión de contraseña centralizada y políticas de contraseñas seguras/complejas (largo mínimo, complejidad de caracteres, vencimiento de la contraseña, etc.)   
• Acceso controlado a correos electrónicos e Internet 
• Administración del antivirus  
• Administración del Sistema de Prevención de Intrusiones

Cifrado   

• Cifrado de comunicaciones externas e internas por medio de protocolos de criptografía segura  
• Cifrado de datos personales y datos confidenciales en reserva (bases de datos, directorios compartidos, etc.)   
• Cifrado completo del disco para las PC y las computadoras portátiles de la empresa   
• Cifrado de los medios de almacenamiento  
• Las conexiones remotas a las redes de la compañía están cifradas por medio de VPN   
• Garantizar el ciclo de vida de las claves de cifrado

 Minimización de datos    

• Minimización de IIP/IPS en registros de aplicación, depuración y seguridad  
• Seudonimización de los datos personales para evitar la identificación directa de una persona 
• Segregación de datos almacenados por función (pruebas, pruebas en simulación, datos activos) 
• Segregación lógica de datos por derechos de acceso basados en la función 
• Período definido de retención de datos para datos personales

Prueba de seguridad     

• Prueba de penetración para redes y plataformas críticas de empresas que brindan servicios de hosting a datos personales 
• Análisis periódicos de la red y la vulnerabilidad

2. Integridad. “La integridad se refiere a garantizar la exactitud (integridad) de los datos y el correcto funcionamiento de los sistemas. Cuando el término integridad se usa en relación con el término “datos”, significa que los datos están completos y no tienen cambios”.  

Se han implementado los controles adecuados de administración de cambios y registros, además de controles de acceso para poder mantener la integridad de los datos personales, como:    

Gestión de cambio y versiones    

• Proceso de gestión de cambio y versiones que incluye (análisis del impacto, aprobaciones, pruebas, revisiones de seguridad, pruebas en simulación, monitoreo, etc.)  
• Provisión de acceso basado en el papel y la función (Segregación de Funciones) sobre entornos de producción

Registro y monitoreo

• Registro de acceso y cambios en los datos  
• Auditoría centralizada y registros de seguridad   
• Monitoreo de la integridad y exactitud de la transferencia de datos (verificación de principio a fin)

3. Disponibilidad. “La disponibilidad de los servicios y de los sistemas de TI, las aplicaciones de TI y las funciones de la red de TI o de la información está garantizada si los usuarios pueden usarlos en todo momento que deseen”.    

Implementamos medidas adecuadas de continuidad y seguridad para mantener la disponibilidad de sus servicios y datos que residen dentro de esos servicios:    

• Pruebas periódicas de recuperación ante fallos aplicadas a servicios críticos  
• Monitoreo exhaustivo de desempeño/disponibilidad e informes para sistemas críticos  
• Programa de respuesta a incidentes  
• Datos críticos replicados o guardados (replicación en la nube de Copias de seguridad/Discos duros/Base de datos, etc.) 
• Mantenimiento planificado del software, la infraestructura y la seguridad (actualizaciones del software, parches de seguridad, etc.)   
• Sistemas redundantes y resilientes (grupos de servidores, bases de datos en espejo, configuraciones de alta disponibilidad, etc.) ubicados fuera del sitio y/o en lugares separados geográficamente    
• Uso de sistemas de suministro de energía ininterrumpido, sistema redundante contra fallas del hardware y la red  
• Alarma, sistemas de seguridad incorporados  
• Medidas de protección física incorporadas para sitios críticos (protección contra sobretensiones, pisos elevados, sistemas de refrigeración, detectores de fuego y/o humo, sistemas contra incendios, etc.) 
• Protección contra DDOS para mantener la disponibilidad   
• Prueba de carga y fuerza

4. Instrucciones para el procesamiento de datos. “Las Instrucciones para el procesamiento de datos se refieren a garantizar que los datos personales se procesarán únicamente de acuerdo con las instrucciones del controlador de datos y las medidas relacionadas de la compañía”  

Hemos establecido políticas de privacidad internas, acuerdos y realizamos capacitaciones periódicas sobre privacidad para los empleados para garantizar que los datos personales se procesan de acuerdo con las preferencias e instrucciones de los clientes.   

• Términos de privacidad y confidencialidad dentro de los contratos del empleado 
• Capacitaciones periódicas para los empleados sobre privacidad y seguridad de datos 
• Las correspondientes disposiciones contractuales a los contratos con los subcontratistas para mantener los derechos de controles de instrucción 
• Controles regulares de privacidad para proveedores externos de servicios 
• Proporcionar a los clientes control total sobre sus preferencias de procesamiento de datos 
• Auditorías regulares de seguridad 

Ver la lista de subprocesadores de GoDaddy