Las partes acuerdan que el presente Acuerdo de Protección de Datos ("APD") establece los derechos y obligaciones de cada parte con respecto al tratamiento y la seguridad de los Datos Personales del Cliente en relación con el Software y los Servicios prestados por el Proveedor. El APD se incorpora por referencia a las Condiciones Comerciales (las "Condiciones Comerciales"). Las partes también acuerdan que, a menos que exista un APD separado firmado por las partes, este APD rige el procesamiento y la seguridad de los Datos Personales del Cliente.
Las disposiciones contenidas en los Términos de esta DPA se refieren a la actuación del Proveedor como Encargado del Tratamiento de los Datos Personales del Cliente en la prestación del Software y los Servicios ("Objeto"). Las Condiciones del APD sustituyen a cualquier disposición contradictoria de la Política de Privacidad del Grupo MetaCompliance en lo que se refiere al Objeto del Contrato. Para mayor claridad, en consonancia con las Cláusulas Contractuales Tipo 2021 definidas a continuación, cuando las Cláusulas Contractuales Tipo 2021 sean aplicables, las Cláusulas Contractuales Tipo 2021 prevalecerán sobre cualquier otro término del Acuerdo de Procesamiento de Datos.
ACUERDO SOBRE EL TRATAMIENTO DE DATOS EN VIGOR A PARTIR DEL23 DE JUNIO DE 2025
- El Cliente es como se define en las Condiciones Comerciales (el "Cliente"); y
1.2 El Proveedor es como se define en las Condiciones Comerciales (el "Proveedor").
- El Cliente y el Proveedor han celebrado un Contrato que requerirá que el Proveedor procese Datos Personales en nombre del Cliente.
- El presente Acuerdo de Procesamiento de Datos ("APD") establece los términos, requisitos y condiciones adicionales en los que el Proveedor procesará los Datos Personales cuando preste los Servicios en virtud del Contrato y las obligaciones del Cliente con respecto a dichos Datos Personales, así como a algunos otros Datos Personales que pueda recibir del Proveedor en virtud del Contrato. El presente APD contiene las cláusulas obligatorias exigidas por el artículo 28, apartado 3, del Reglamento general de protección de datos ((UE) 2016/679 (y las Leyes de protección de datos de 1988 a 2018, en su versión modificada) para los contratos entre responsables y encargados del tratamiento.
- El presente APD está sujeto a los términos del Contrato y se incorpora al mismo. Los términos utilizados en el presente APD tendrán el significado establecido en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente tendrán el significado que se les atribuye en las Condiciones Comerciales del Contrato.
- Los Anexos forman parte de la presente DPA y surtirán efecto como si estuvieran recogidos en su totalidad en esta DPA. Toda referencia al presente APD incluye los anexos.
- En caso de conflicto entre cualquier disposición de este APD y cualquier otra cláusula(s) del Contrato, con respecto al Objeto de este APD, prevalecerán las disposiciones de este APD.
Los siguientes términos del presente APD tendrán el significado que se indica a continuación:
| "Leyes de protección de datos" | se refiere a todas las leyes y normativas aplicables relativas al Tratamiento de Datos Personales en cualquier momento durante la vigencia del presente APD, que pueden incluir, según proceda: (1) el Reglamento General de Protección de Datos UE 2016/679 ("GDPR"); (2) las Leyes de Protección de Datos de 1988 a 2018, en su versión modificada; (3) la Ley de Protección de Datos del Reino Unido de 2018 (DPA2018); (4) el GDPR del Reino Unido, tal como se define en la DPA2018; (5) el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003; y/o (6) la Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas, tal y como la aplican los Estados miembros de la UE, y cualquier legislación sucesora y cualquier otra normativa, guía y código de buenas prácticas en materia de protección de datos y privacidad, en cada caso con sus modificaciones, actualizaciones o sustituciones periódicas. |
| "Datos personales del cliente" | se refiere a los Datos Personales Tratados por el Proveedor únicamente a efectos de la prestación de los Servicios y según las instrucciones expresas del Cliente, al celebrar el Contrato y/o al configurar e interactuar con cualquier software puesto a disposición como parte de los Servicios. |
| "Cláusulas contractuales estándar" | se refiere a las Cláusulas Contractuales Tipo de la Comisión Europea para la transferencia de Datos Personales de la Unión Europea a encargados del tratamiento establecidos en terceros países (transferencias de responsable a encargado del tratamiento), tal como se establece en el anexo de la Decisión 2021/914/UE de la Comisión a partir del 4 de junio de 2021. |
| "Decisión de adecuación" | significa la Decisión de Adecuación de la Comisión Europea con respecto a la transferencia de Datos Personales al Reino Unido, adoptada el 28 de junio de 2021. |
| "Subprocesador" | se refiere a un subcontratista externo contratado por el Proveedor que, como parte de la función del subcontratista en la prestación de los Servicios, tratará Datos Personales en nombre del Cliente. |
| "Responsable del tratamiento", "Interesado", "Encargado del tratamiento", "Proceso o tratamiento", "Datos personales", "Violación de datos personales" | tendrán el significado que se les atribuye en el RGPD. |
4. Tratamiento de datos personales
4.1 Las partes reconocen y acuerdan que, a efectos de las Leyes de Protección de Datos y con respecto al Tratamiento de los Datos Personales del Cliente para la prestación de los Servicios, el Proveedor es el Procesador y el Cliente es el Controlador.
4.2 El Cliente garantiza y declara: (i) que la transferencia de Datos Personales del Cliente al Proveedor cumple en todos los aspectos con las Leyes de Protección de Datos (incluyendo, sin limitación, en términos de su recopilación y uso); y (ii) que se ha proporcionado un procesamiento justo y todos los demás avisos apropiados a los Sujetos de Datos de los Datos Personales del Cliente (y se han obtenido y mantenido en todo momento todos los consentimientos necesarios de dichos Sujetos de Datos y se pueden demostrar al Proveedor a petición) en la medida requerida por las Leyes de Protección de Datos en relación con todas las actividades de procesamiento que puedan ser llevadas a cabo por el Proveedor y sus Subprocesadores de conformidad con este APD y el Contrato.
4.3 En la prestación de los Servicios, el Proveedor tratará los Datos Personales del Cliente: (i) según sea necesario para prestar los Servicios; (ii) de conformidad con las instrucciones escritas del Cliente; y (iii) de conformidad con los requisitos de las Leyes de Protección de Datos.
4.4 El Cliente, en su uso de los Servicios, tratará los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos. El Cliente se asegurará de que cualquier instrucción al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente cumpla con las Leyes de Protección de Datos.
4.5 Con respecto a los Datos Personales del Cliente, las instrucciones del Cliente al Proveedor en relación con el Objeto y la duración del Tratamiento, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Sujetos de Datos se describen en el Anexo A. Para evitar cualquier duda, las partes reconocen y acuerdan que, con sujeción a la cláusula 5 y además de las instrucciones de Tratamiento establecidas en el presente APD y en el Anexo A, el Cliente también podrá dar instrucciones para el Tratamiento de los Datos Personales del Cliente a través de los Servicios mediante su interacción directa con los Servicios y la configuración de los mismos.
4.6 El Proveedor notificará inmediatamente al Cliente si, en opinión razonable del Proveedor, cualquier instrucción dada por el Cliente puede infringir las leyes de protección de datos.
4.7 En relación con el Objeto, el Proveedor no procesará, transferirá, modificará, enmendará ni alterará los Datos Personales del Cliente, ni revelará ni permitirá que se revelen los Datos Personales del Cliente a ningún tercero fuera de las instrucciones detalladas en esta DPA.
4.8 El personal del Proveedor que participe en el Tratamiento de los Datos Personales del Cliente será informado del carácter confidencial de los Datos Personales del Cliente y recibirá la formación adecuada sobre sus responsabilidades. Dicho personal estará sujeto a compromisos de confidencialidad adecuados.
4.9 Teniendo en cuenta la naturaleza del Procesamiento de Datos Personales en los Servicios prestados, el Proveedor, tal y como exige el artículo 32 del GDPR, mantendrá las medidas técnicas y organizativas apropiadas para garantizar la seguridad del Procesamiento, incluida la protección contra el Procesamiento no autorizado o ilegal, y contra la destrucción, pérdida o alteración o daño accidental o ilegal, la divulgación no autorizada o el acceso a los Datos Personales del Cliente. Las partes reconocen y aceptan que las medidas de seguridad especificadas en la presente DPA y, más concretamente, en el Anexo B constituyen medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
4.10 El Proveedor asistirá al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible y teniendo en cuenta la naturaleza del Tratamiento de los Datos Personales del Cliente, en el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos, incluso en relación con los derechos del Titular de los Datos, las evaluaciones de impacto sobre la protección de datos (relacionadas con el uso de los Servicios de MetaCompliance por parte del Cliente) y la información y consulta a las autoridades de supervisión (en relación con una evaluación de impacto sobre la protección de datos relacionada con los Servicios de MetaCompliance).
4.11 En lo que respecta al Asunto en cuestión, si los Interesados, las autoridades competentes o cualesquiera otros terceros solicitan información al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente, el Proveedor remitirá dicha solicitud al Cliente, a menos que se le exija lo contrario para cumplir con las Leyes de Protección de Datos, en cuyo caso el Proveedor notificará previamente al Cliente dicho requisito legal, a menos que dicha ley prohíba esta divulgación por motivos importantes de interés público.
4.12 El Cliente reconoce que recibirá Datos Personales del Proveedor en virtud del Contrato y en relación con el mismo (incluidos, entre otros, los relativos al personal contratado por el Proveedor y sus subcontratistas y proveedores, así como a los interesados identificables mediante imágenes y grabaciones de voz accesibles como opciones predeterminadas a través de determinados servicios del Proveedor). El Cliente confirma que tratará dichos Datos Personales como Controlador independiente y de conformidad con las Leyes de Protección de Datos.
5 Subprocesadores
5.1 El Cliente reconoce y acepta que el Proveedor puede, en relación con la prestación de Servicios, contratar a Subprocesadores que pueden ser filiales del Proveedor y/o terceros, tal y como se describe más específicamente en el Anexo A y el Anexo C. La contratación de dichas partes por parte del Proveedor estará sujeta a un contrato por escrito (incluso en formato electrónico) coherente con los términos de esta DPA, en relación con el procesamiento requerido de Datos Personales.
5.2 El Cliente reconoce que el Proveedor cuenta con autorización general para contratar a los Subencargados del Tratamiento enumerados en el Anexo C y añadir (o eliminar) nuevos Subencargados del Tratamiento sin necesidad de obtener ninguna otra autorización específica por escrito del Cliente. Esto está sujeto a que el Procesador notifique por escrito al Cliente la identidad de cualquier nuevo Sub-Procesador, 30 días antes de procesar los Datos Personales del Cliente (el "Periodo de Notificación").
5.3 Si el Cliente desea oponerse al Subprocesador en cuestión, deberá notificarlo por escrito dentro del Plazo de Notificación. Dicha notificación incluirá detalles de los supuestos riesgos de seguridad o riesgos asociados con el nuevo Subencargado del Tratamiento. La ausencia de objeciones por parte del Cliente por tales motivos y dentro del Plazo de Notificación se considerará consentimiento para utilizar el Subencargado del Tratamiento pertinente.
5.4 En caso de que el Cliente se oponga a un nuevo Subencargado del Tratamiento, el Proveedor hará todo lo razonablemente posible para resolver las dudas, poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en los Servicios para evitar el Tratamiento de los Datos Personales del Cliente por el nuevo Subencargado del Tratamiento pertinente. Si no es posible ninguna alternativa, cada una de las partes tendrá derecho a rescindir el Contrato entre ellas con preaviso inmediato y sin responsabilidad ni exigencia de reembolso de cantidad alguna por parte del Proveedor.
5.5 La notificación por parte del Proveedor de un nuevo Subtransmitente al Cliente incluirá la entrega de un Anexo C actualizado.
5.6 El Proveedor seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones de los Subprocesadores.
6 Transferencias de datos
6.1 De conformidad con el artículo 28(3)(a) del GDPR, el Proveedor no transferirá, ni permitirá que ningún Subprocesador transfiera, ningún Dato Personal del Cliente fuera del EEE, salvo lo dispuesto en el presente Acuerdo. Para evitar cualquier duda, el Cliente consiente por la presente la transferencia y el procesamiento de los Datos Personales según lo especificado en el Anexo A y C, según corresponda.
6.2 El Proveedor reconoce que, de conformidad con el GDPR, debe existir una protección adecuada para los Datos Personales antes de cualquier transferencia fuera del EEE (ya sea directamente o a través de la transferencia posterior de un Subprocesador) y celebrará un acuerdo adecuado con el Cliente y/o cualquier subprocesador para regir dicha transferencia. Esto incluirá las Cláusulas Contractuales Tipo aplicables, o dependerá de la Decisión de Adecuación, a menos que exista otro mecanismo de adecuación o válido para la transferencia.
7 Vulneración de datos personales
7.1 En caso de violación de los datos personales del cliente, el proveedor deberá:
7.1.1 Notificar al Cliente sin demora indebida (en un plazo máximo de 48 horas) para permitir al Cliente cumplir con las obligaciones de notificación del GDPR y proporcionar asistencia razonable al Cliente cuando se requiera comunicar una Violación de Datos Personales a un Sujeto de Datos.
7.1.2 Realizará esfuerzos razonables para identificar la causa de la violación de los datos personales y tomará las medidas que el proveedor considere razonablemente viables para remediar la causa de la violación de los datos personales.
7.1.3 Sujeto a los términos de esta DPA, proporcionar asistencia y cooperación razonables según lo solicitado por el Cliente, en el avance de cualquier corrección o remediación de cualquier Violación de Datos Personales.
8 Registros de tratamiento
8.1 En la medida aplicable al Procesamiento del Proveedor para el Cliente, el Proveedor mantendrá todos los registros requeridos por el Artículo 30(2) GDPR y los pondrá a disposición del Cliente a petición.
9. Derechos de auditoría
9.1 El Proveedor deberá, y procurará que sus Subprocesadores, pongan a disposición del Cliente, previa solicitud, la información razonable necesaria para demostrar el cumplimiento de sus obligaciones de protección de datos en virtud del presente APD y permitirá y contribuirá a las auditorías, incluida la inspección en sus instalaciones, por parte del Cliente o de un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales del Cliente, siempre que dicho auditor no sea un competidor del Proveedor.
10 Plazo
10.1 El presente APD estará en plena vigencia mientras:
10.1.1 El contrato sigue en vigor; o
10.1.2 El Proveedor conserva los Datos Personales del Cliente en su posesión o control.
10.2 Cualquier disposición de la presente DPA que, de forma expresa o implícita, deba entrar o continuar en vigor en el momento de la terminación del Contrato o después de ella, con el fin de proteger los Datos Personales del Cliente, seguirá siendo plenamente vigente.
11 Devolución y destrucción de datos
11.1 A menos que ya se hayan eliminado de conformidad con los términos del Contrato, el Proveedor, a discreción del Cliente y previa solicitud por escrito de éste, eliminará o devolverá al Cliente todos los Datos Personales del Cliente una vez finalizada la prestación de los Servicios relativos al Tratamiento, y eliminará las copias existentes a menos que la legislación aplicable del EEE o de los Estados Miembros exija el almacenamiento de los Datos Personales del Cliente. Si no se recibe ninguna solicitud por escrito del Cliente, el Proveedor eliminará los Datos Personales del Cliente 90 días después de la finalización del Contrato.
11.2 A petición del Cliente, el Proveedor proporcionará una notificación por escrito de las medidas adoptadas en relación con los Datos Personales del Cliente.
12 Indemnización
12.1 En la medida requerida por el artículo 82 del GDPR y sujeto a la cláusula 12.2 de este DPA, el Proveedor acuerda indemnizar al Cliente por todos los costes directos, reclamaciones, daños o gastos incurridos por el Cliente debido a cualquier incumplimiento por parte del Proveedor o sus empleados, subprocesadores, subcontratistas o agentes de cualquiera de sus obligaciones en virtud de este DPA o de las Leyes de Protección de Datos.
12.2 Sin perjuicio de cualquier disposición en contrario contenida en el presente APD o en el Contrato (incluidas, entre otras, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de las multas impuestas o recaudadas en virtud de las Leyes de protección de datos contra la otra parte por una autoridad reguladora u organismo gubernamental en relación con la infracción de las Leyes de protección de datos por parte de dicha otra parte.
12.3 El Cliente acepta indemnizar al Proveedor por todos los costes directos, reclamaciones, daños o gastos incurridos o recibidos por el Proveedor debido a cualquier incumplimiento por parte del Cliente de cualquiera de sus obligaciones en virtud de las Leyes de Protección de Datos o de este APD (incluyendo, sin limitación, su incumplimiento de cualquier requisito en virtud de la cláusula 4.2 de este APD).
12.4 En la medida en que lo permitan las Leyes de Protección de Datos y con sujeción a las exclusiones detalladas en la cláusula 12.2 del presente APD, la responsabilidad total de cada una de las partes en virtud del presente APD o en relación con el mismo, sea cual fuere su causa, estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Contrato.
Anexo A
Fines y detalles del tratamiento de datos personales
| Objeto del tratamiento | Detalles | Se aplica a: |
| Propósito | Acceso al sistema Administración del sistema Entrega de contenidos del sistema según los módulos suscritos. Véase a continuación: | Todos los clientes |
| Políticas, evaluaciones de conocimientos | Clientes suscritos a los módulos Policy (PolicyLite, MetaEngage y MetaPolicy) | |
| eLearning, otros medios | Clientes suscritos a módulos de Elearning (MetaLearning Fusion) | |
| Encuestas de privacidad | Clientes suscritos al módulo MetaPrivacy | |
| Reseñas de incidentes | Clientes suscritos al módulo de MetaIncidentes | |
| Campañas de phishing simuladas | Clientes suscritos a MetaPhish | |
| Transferencia de SCORM al LMS del cliente | Clientes que se suscriben a la transferencia de SCORM | |
| Transforme documentos PDF estáticos en una experiencia de formación eficaz | Clientes suscritos a Contenido a curso | |
| Transforme los guiones de los clientes en un breve vídeo generado por IA | Clientes suscritos a Virtual Presenter Video | |
| Tipos de datos personales | Nombre, apellidos, dirección de correo electrónico, dirección IP, departamento, registro de formación | Todos los clientes |
| Unidad de organización (OU) de Active Directory | Clientes que utilizan Azure AD o AD local | |
| ID DEL LMS | Los clientes suscritos a la transferencia de SCORM | |
| Datos personales que el Cliente ha incluido en los Datos del Cliente. | Todos los clientes | |
| Uso de la IA | Creación de correos electrónicos phishing generados por IA | Clientes con paquetes Premium Plus Security Awareness (incluida la oferta multilingüe) que utilizan el generador de phishing. |
| Creador de cursos de IA | Clientes suscritos al complemento Contenido a curso. | |
| Vídeos personalizados generados por IA | Clientes que han utilizado el complemento Virtual Presenter | |
Categorías de sujetos de datos
| Empleados del cliente, contratistas, proveedores, socios y/o afiliados. | Todos los Clientes de acuerdo con los datos del Titular de los Datos facilitados al Proveedor. El Cliente puede limitarlo en función del uso que pretenda hacer de los Servicios. |
Operaciones de tratamiento
| Tratamiento y almacenamiento de los Datos Personales del Cliente con el fin de crear y mantener cuentas de Usuarios Autorizados en la plataforma MyCompliance. Distribución de varios correos electrónicos de notificación iniciados por el sistema MetaCompliance MyCompliance. | Todos los clientes |
| Distribución de correos electrónicos simulados de phishing especificados iniciados por el Cliente a través de la plataforma MetaCompliance MyCompliance. | Clientes suscritos al módulo MetaPhish | |
| Almacenamiento de Datos Personales cuando son introducidos por el cliente a través del módulo MetaCompliance MetaPrivacy. | Clientes suscritos al módulo MetaPrivacy | |
| Comunicarse con el cliente LMS y evaluar el recuento de licencias | Clientes que se suscriben a la transferencia de SCORM | |
| Utilizar las capacidades de la IA | Clientes suscritos a Phish Generator, Content to Course y Virtual Presenter Software. | |
| Ubicación de las operaciones de transformación | Lugares de procesamiento dentro del Grupo MetaCompliance: Reino Unido Dinamarca Portugal Alemania Irlanda | Todos los clientes. |
| Ubicaciones predeterminadas de los centros de datos (DC) de Microsoft Azure: Clientes del Reino Unido: DC en el Reino Unido. Clientes canadienses: DC en Canadá. Clientes alemanes: DC en Alemania Clientes europeos fuera de Alemania: DC en Países Bajos e Irlanda | Todos los clientes. Existen ubicaciones predeterminadas aquí descritas, sin embargo, el Cliente puede dictar cambios en antes de la configuración inicial del inquilino en la fase de incorporación. Si el Cliente desea cambiar las ubicaciones del inquilino a mitad del Contrato, debe ponerse en contacto con el equipo de asistencia para obtener ayuda. | |
Ubicaciones de los centros de datos (DC) de Amazon Web Services: Clientes del Reino Unido: DC en U.K. | Todos los clientes. Existen ubicaciones predeterminadas aquí descritas, sin embargo, el Cliente puede dictar cambios en antes de la configuración inicial del inquilino en la fase de incorporación. Si el Cliente desea cambiar las ubicaciones del inquilino a mitad del Contrato, debe ponerse en contacto con el equipo de asistencia para obtener ayuda. | |
| El lugar de procesamiento en el uso de la funcionalidad de IA es el indicado en el Anexo C. | Se aplica a los clientes que se suscriban a Phish Generator, Content to Course y Virtual Presenter Video. | |
Requisitos de retención
| Los plazos específicos de eliminación se explican en el documento "AI en MetaCompliance" según corresponda a los Servicios solicitados por el Cliente. | Clientes que hayan solicitado Servicios que contengan o utilicen IA |
| Cuando la suscripción de un Cliente ha caducado o se ha cancelado, todos los Datos Personales del Cliente asociados, que no se hayan eliminado previamente, se conservan durante 90 días antes de que se eliminen realmente, con el fin de recuperarlos en caso de cancelación accidental de la suscripción. | Todos los clientes |
Anexo B
Disposiciones de seguridad El Proveedor, con el fin de ayudar al Cliente a cumplir sus obligaciones legales, incluyendo, pero sin limitarse a ello, las medidas de seguridad y las evaluaciones del riesgo para la privacidad, estará obligado a tomar las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente que se traten. Dichas medidas deberán dar lugar, como mínimo, a un nivel de seguridad adecuado teniendo en cuenta:- posibilidades técnicas existentes;
- los costes de ejecución de las medidas;
- los riesgos particulares asociados al tratamiento de los datos personales de los clientes; y
- la sensibilidad de los Datos Personales del Cliente que se tratan.
- la seudonimización y el cifrado de los Datos Personales de los Clientes;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios que tratan los Datos Personales de los Clientes;
- la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de manera oportuna en caso de incidente físico o técnico; y
- un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- protección del acceso físico mediante la cual el equipo informático y los datos extraíbles que contengan Datos Personales del Cliente en las instalaciones del Proveedor se guardarán bajo llave cuando no estén bajo supervisión con el fin de protegerlos contra el uso no autorizado, el impacto y el robo.
- un proceso de comprobación de la lectura posterior a la restauración de los Datos Personales del Cliente a partir de copias de seguridad.
- control de autorización mediante el cual el acceso del Proveedor a los Datos Personales del Cliente se gestiona a través de un sistema técnico de control de autorización. La autorización estará restringida a aquellos que necesiten los Datos Personales del Cliente para su trabajo. Los identificadores de usuario y las contraseñas serán personales y no podrán transferirse a nadie más. Existirán procedimientos para asignar y suprimir autorizaciones.
- llevar un registro de quién tiene acceso a los Datos Personales del Cliente.
- comunicación segura mediante la cual las conexiones externas de comunicación de datos se protegerán utilizando funciones técnicas que garanticen que la conexión está autorizada, así como el cifrado de contenidos para los datos en tránsito en canales de comunicación fuera de los sistemas controlados por el Proveedor.
- un proceso que garantice la destrucción segura de los datos cuando los soportes de almacenamiento fijos o extraíbles dejen de utilizarse para su finalidad.
- rutinas para firmar acuerdos de confidencialidad con los proveedores que prestan servicios de reparación y mantenimiento de los equipos utilizados para almacenar los Datos Personales de los Clientes.
- rutinas de supervisión del servicio prestado por los proveedores en los locales del Proveedor. Los soportes de almacenamiento que contengan los Datos Personales del Cliente se retirarán si no es posible la supervisión.
- Subprocesadores necesarios para la prestación de todos los Servicios:
| Subprocesador | Propósito | Ubicación | Subprocesadores |
| Microsoft Azure (contratado a través de Microsoft Operations Ireland Ltd) | Aloja los servicios en la nube | Ubicaciones de centros de datos (DC) predeterminados de Microsoft Azure: Reino Unido Clientes: DC en el Reino Unido Clientes canadienses: DC en Canadá. Clientes alemanes: DC en Alemania Clientes europeos fuera de Alemania: DC en Países Bajos e Irlanda | Otros subprocesadores disponibles aquí |
| Amazon Web Services (contratado con "AWS Europe") | Proveedor de correo electrónico transaccional | Ubicaciones de los centros de datos (DC) de Amazon Web Services: Reino Unido Clientes: DC en el Reino Unido Clientes canadienses: DC en Canadá. Clientes alemanes: DC en Alemania Clientes europeos fuera de Alemania: DC en Irlanda | Otros subprocesadores disponibles aquí |
| Entidades del Grupo MetaCompliance (MetaCompliance Limited, MetaCompliance GmbH, Moch A/S, Metacompliance Ireland Ltd, MetaCompliance Ireland Ltd Sucursal Portugal | Servicios de atención al cliente y servicios de apoyo | Reino Unido Alemania Dinamarca Irlanda Portugal (según proceda y de acuerdo con el lugar de constitución de cada entidad) | Todos los clientes |
- PROCESAMIENTO ADICIONAL Y SUBPROCESADORES PARA EL USO DE CONTENIDOS A CURSO
| Metacumplimiento DC / Región | Inicio / Ubicación de Azure DC | Despliegue | Datos personales tratados | Retención |
| IRE | Europa Occidental (NL) | Zona de datos (UE) | Aparte de los Datos Personales introducidos por los Clientes (por ejemplo, en respuesta a una consulta o los Datos Personales incluidos en el contenido proporcionado para crear el curso), este subencargado del tratamiento no tratará ningún Dato Personal del Cliente. | En el modelo no se almacenan indicaciones ni generaciones. Además, las indicaciones y las generaciones no se utilizan para entrenar, reentrenar o mejorar los modelos base. |
| DACH | Alemania Centro-Oeste | Zona de datos (UE) | Como en el caso anterior. | Como en el caso anterior. |
| NL | Europa Occidental (NL) | Zona de datos (UE) | Como en el caso anterior. | Como en el caso anterior. |
| CAN | Canadá Este | Estándar (Canadá Este) | Como en el caso anterior. | Como en el caso anterior. |
| REINO UNIDO | Reino Unido Sur | Estándar (Reino Unido Sur) | Como en el caso anterior. | Como en el caso anterior. |
| US | Centro norte de EE.UU. | Estándar (centro-norte de EE.UU.) | Como en el caso anterior. | Como en el caso anterior. |
| Metacumplimiento DC / Región | Inicio / Ubicación de Azure DC | Tratamiento | Datos personales tratados | Almacenamiento (temp 24hrs) |
| IRE | Norte de Europa (Irlanda) | Norte de Europa (Irlanda) | Aparte de los Datos Personales incluidos en el contenido proporcionado para crear el curso, este subencargado del tratamiento no tratará ningún Dato Personal del Cliente. | Norte de Europa (Irlanda) |
| DACH | Alemania Centro-Oeste | Alemania Centro-Oeste | Como en el caso anterior. | Alemania Centro-Oeste |
| NL | Europa Occidental (NL) | Europa Occidental (NL) | Como en el caso anterior. | Europa Occidental (NL) |
| CAN | Canadá Central | Canadá Central | Como en el caso anterior. | Canadá Central |
| REINO UNIDO | Reino Unido Sur | Reino Unido Sur | Como en el caso anterior. | Reino Unido Sur |
| US | Centro norte de EE.UU. | Centro norte de EE.UU. | Como en el caso anterior. | Centro norte de EE.UU. |
- PROCESAMIENTO ADICIONAL Y SUBPROCESADORES PARA EL USO DEL GENERADOR DE PHISHING
| Subprocesadores | Datos personales tratados | Región | Conservación/Almacenamiento |
| Servicios: ChatGPT | Aparte de los Datos Personales introducidos por los Clientes (por ejemplo, en respuesta a una consulta o los Datos Personales incluidos en el contenido proporcionado para crear el curso), este subencargado del tratamiento no tratará ningún Dato Personal del Cliente. | Implantado : Europa Occidental Procesamiento : Global Standard (cualquier región) | En el modelo no se almacenan indicaciones ni generaciones. Además, las indicaciones y las generaciones no se utilizan para entrenar, reentrenar o mejorar los modelos base. |
| Servicio: Incrustación de texto | Como en el caso anterior. | Como en el caso anterior. | Como en el caso anterior. |
- PROCESAMIENTO ADICIONAL Y SUBPROCESADORES PARA EL USO DEL PRESENTADOR VIRTUAL
| Subprocesador | Datos personales tratados | Región | Conservación/Almacenamiento |
| Colossyan Inc. | Texto libre con datos personales (si los hubiera) proporcionados en los Materiales del Cliente a través de scripts u otros contenidos. El Cliente confirma que no se transferirá ningún dato sensible al Procesador. | Procesamiento en Estados Unidos, Reino Unido y Hungría (se trata de emplazamientos de Colossyan y de filiales de Colossyan). Véanse los subprocesadores de Colossyan detallados a continuación | 24 horas. Borrado en 48 horas. |
- NO están disponibles para otros clientes.
- NO están disponibles para Azure OpenAI.
- NO se utilizan para mejorar los modelos de Azure OpenAI.
- NO se utilizan para entrenar, reentrenar o mejorar los modelos de la base Azure OpenAI Service.
- NO se utilizan para mejorar ningún producto o servicio de Microsoft o de terceros sin su permiso o instrucciones.