Introducción
Las partes acuerdan que el presente Acuerdo de Protección de Datos ("APD") establece los derechos y obligaciones de cada una de las partes en relación con el tratamiento y la seguridad de los Datos Personales del Cliente en relación con el Software y los Servicios prestados por MetaCompliance Ireland Ltd.. El DPA se incorpora por referencia a las Condiciones Comerciales (las "Condiciones Comerciales"). Las partes también acuerdan que, a menos que exista un APD separado firmado por las partes, este APD rige el tratamiento y la seguridad de los Datos Personales del Cliente.
Las disposiciones de las Condiciones DPA sustituyen a cualquier disposición contradictoria de la Declaración de Privacidad de MetaCompliance que pueda aplicarse al tratamiento de los Datos Personales del Cliente. Para mayor claridad, en consonancia con las Cláusulas Contractuales Tipo 2021 que se definen a continuación, cuando las Cláusulas Contractuales Tipo 2021 son aplicables, las Cláusulas Contractuales Tipo 2021 prevalecen sobre cualquier otro término del Acuerdo de Procesamiento de Datos.
ACUERDO DE PROCESAMIENTO DE DATOS EN VIGOR A PARTIR DEL22 DE MARZO DE 2024
1. Partes
1.1 El Cliente es tal y como se define en las Condiciones Comerciales (el "Cliente") y
1.2 MetaCompliance Ireland Limited incorporated and registered in the Republic of Ireland with company number 640228 whose registered office is at Unit 21, Block 1, Clonshaugh Business and Technology Park, Dublin 17, D17 YY31 (el "Proveedor").
2. Antecedentes
2.1 El Cliente y el Proveedor han celebrado un Contrato que puede requerir que el Proveedor procese Datos Personales en nombre del Cliente.
2.2 El presente Acuerdo de Procesamiento de Datos ("APD") establece los términos, requisitos y condiciones adicionales en los que el Proveedor procesará los Datos Personales cuando preste Servicios en virtud del Contrato. El presente APD contiene las cláusulas obligatorias exigidas por el artículo 28, apartado 3, del Reglamento general de protección de datos ((UE) 2016/679 (y las Leyes de protección de datos de 1988 a 2018, en su versión modificada) para los contratos entre responsables y encargados del tratamiento.
2.3 El presente APD está sujeto a los términos del Contrato y se incorpora al mismo. Los términos utilizados en el presente APD tendrán el significado establecido en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente tendrán el significado que se les atribuye en las Condiciones Comerciales del Contrato.
2.4 Los Anexos forman parte del presente APD y surtirán efecto como si estuvieran recogidos íntegramente en el presente APD. Cualquier referencia a este APD incluye los Anexos.
2.5 En caso de conflicto entre cualquier disposición de este APD y cualquier otro término(s) del Contrato, con respecto al objeto de este APD, prevalecerán las disposiciones de este APD.
3. Definiciones
Los siguientes términos en este APD tendrán el siguiente significado:
| "Leyes de protección de datos" | significa todas las leyes y reglamentos aplicables relacionados con el Tratamiento de Datos Personales en cualquier momento durante la vigencia de este APD, incluido (1) el Reglamento General de Protección de Datos (GDPR, EU 2016/679); (2) las Leyes de Protección de Datos de 1988 a 2018, en su versión modificada; (3) la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, tal como ha sido implementada por los Estados miembros de la UE, y cualquier legislación sucesora y cualquier otro reglamento, guía y código de prácticas relacionados con la protección de datos y la privacidad, en cada caso modificados, actualizados o sustituidos de vez en cuando. |
| "Datos personales del cliente" | se refiere a los Datos Personales tratados por MetaCompliance únicamente a efectos de la prestación de los Servicios y según las indicaciones del Cliente. |
| "Cláusulas contractuales estándar" | se refiere a las Cláusulas Contractuales Tipo de la Comisión Europea para la transferencia de Datos Personales de la Unión Europea a encargados del tratamiento establecidos en terceros países (transferencias de responsable a encargado del tratamiento), tal como se establece en el anexo de la Decisión 2021/914/UE de la Comisión a partir del4 de junio de 2021. |
| "Decisión de adecuación" | significa la Decisión de Adecuación de la Comisión Europea con respecto a la transferencia de Datos Personales al Reino Unido, adoptada el 28 de junio de 2021. |
| "Subprocesador" | se refiere a un subcontratista de terceros contratado por el Proveedor que, como parte de la función del subcontratista de prestar los servicios, tratará los Datos Personales en nombre del Cliente. |
| "Responsable del tratamiento", "Interesado", "Encargado del tratamiento", "Proceso o tratamiento", "Datos personales", "Violación de datos personales" | tendrán el significado que se les atribuye en el RGPD. |
4. Procesamiento de Datos Personales
4.1 Las partes reconocen y acuerdan que, a efectos de las Leyes de Protección de Datos y con respecto al Procesamiento de los Datos Personales del Cliente, el Proveedor es el Procesador y el Cliente es el Controlador.
4.2 El Cliente garantiza y declara: (i) que la transferencia de Datos Personales del Cliente al Proveedor cumple en todos los aspectos con las Leyes de Protección de Datos (incluyendo, sin limitación, en términos de su recopilación y uso); y (ii) que se ha proporcionado un procesamiento justo y todos los demás avisos apropiados a los Sujetos de Datos de los Datos Personales del Cliente (y se han obtenido y mantenido en todo momento todos los consentimientos necesarios de dichos Sujetos de Datos) en la medida requerida por las Leyes de Protección de Datos en relación con todas las actividades de procesamiento que puedan ser llevadas a cabo por el Proveedor y sus Subprocesadores de conformidad con este Acuerdo;
4.3.3 El Proveedor se compromete a Procesar los Datos Personales del Cliente únicamente: (i) según sea necesario para prestar los Servicios; (ii) de conformidad con las instrucciones por escrito del Cliente; y (iii) de conformidad con los requisitos de las Leyes de Protección de Datos.
4.4 El Cliente, al utilizar los Servicios, tratará los Datos Personales de conformidad con los requisitos de las Leyes de Protección de Datos. El Cliente se asegurará de que las instrucciones que dé al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente cumplan las Leyes de Protección de Datos.
4.5 Las instrucciones del Cliente al Proveedor en relación con el objeto y la duración del Tratamiento, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Sujetos de Datos se describen en el Anexo A. Para evitar cualquier duda, las partes reconocen y acuerdan que, con sujeción a la cláusula 5, las instrucciones de Tratamiento establecidas en el presente APD y en el Anexo A constituyen el conjunto completo de instrucciones del Cliente al Proveedor que sean de aplicación.
4.6 El Proveedor notificará inmediatamente al Cliente si, en opinión razonable del Proveedor, cualquier instrucción dada por el Cliente pudiera infringir las Leyes de Protección de Datos.
4.7 El Proveedor no procesará, transferirá, modificará, enmendará ni alterará los Datos Personales del Cliente ni revelará ni permitirá que se revelen los Datos Personales del Cliente a ningún tercero fuera de las instrucciones detalladas en el presente APD.
4.8 El personal del Proveedor que participe en el Procesamiento de los Datos Personales del Cliente será informado de la naturaleza confidencial de los Datos Personales del Cliente y recibirá la formación adecuada sobre sus responsabilidades. Dicho personal estará sujeto a los compromisos de confidencialidad apropiados.
4.9 Teniendo en cuenta la naturaleza del Tratamiento de Datos Personales en los Servicios prestados, el Proveedor, tal y como exige el artículo 32 del GDPR, mantendrá las medidas técnicas y organizativas apropiadas, para garantizar la seguridad del Tratamiento, incluida la protección contra el Tratamiento no autorizado o ilícito, y contra la destrucción, pérdida o alteración accidental o ilícita o daños, divulgación no autorizada o acceso a los Datos Personales del Cliente. Las partes reconocen y aceptan que las medidas de seguridad especificadas en el presente APD y, más concretamente, en el Anexo B, constituyen medidas de seguridad técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo.
4.10 El Proveedor asistirá al Cliente mediante las medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible y teniendo en cuenta la naturaleza del Tratamiento de los Datos Personales del Cliente, en el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos, incluso en relación con los derechos de los Titulares de los Datos, las evaluaciones de impacto sobre la protección de datos (relacionadas con el uso por parte del Cliente de los Servicios de MetaCompliance) y la presentación de informes y consultas a las autoridades de control (en relación con una evaluación de impacto sobre la protección de datos relacionada con los Servicios de MetaCompliance).
4.11 Si los Sujetos de Datos, las autoridades competentes o cualquier otro tercero solicitan información al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente, el Proveedor remitirá dicha solicitud al Cliente, a menos que se exija lo contrario para cumplir con las Leyes de Protección de Datos, en cuyo caso el Proveedor notificará previamente al Cliente dicho requisito legal, a menos que dicha ley prohíba esta divulgación por motivos importantes de interés público.
5. Subencargados del tratamiento
5.1 El Cliente reconoce y acepta que el Proveedor puede, en relación con la prestación de Servicios, contratar a Subencargados del tratamiento que pueden ser filiales del Proveedor y/o terceros, tal y como se describe más específicamente en los Anexos A y C. La contratación de dichas partes por parte del Proveedor estará sujeta a un contrato por escrito (incluso en formato electrónico) coherente con los términos del presente APD, en relación con el tratamiento requerido de Datos personales.
5.2 El Cliente reconoce que el Proveedor tiene autorización general para contratar nuevos Subencargados del Tratamiento sin necesidad de obtener ninguna otra autorización específica por escrito del Cliente. Esto está sujeto a que el Procesador notifique al Cliente por escrito la identidad de cualquier nuevo Sub-Procesador, 30 días antes de procesar los Datos Personales del Cliente.
5.3 Si el Cliente desea oponerse al Sub-Procesador pertinente, el Cliente deberá notificarlo por escrito dentro de los diez (10) días hábiles siguientes a la recepción de la notificación del Proveedor. La ausencia de objeciones por parte del Cliente se considerará consentimiento para utilizar el Subencargado del tratamiento pertinente.
5.4 En caso de que el Cliente se oponga a un nuevo Subencargado del tratamiento, el Proveedor hará todo lo razonablemente posible para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en los Servicios para evitar el Tratamiento de los Datos Personales del Cliente por parte del nuevo Subencargado del tratamiento pertinente. Si no es posible ninguna alternativa, las partes tienen derecho a rescindir el Contrato entre ellas.
5.5 La notificación del Proveedor de un nuevo Subencargado del tratamiento al Cliente incluirá la entrega de un Anexo C actualizado. El Proveedor mantendrá actualizado el Anexo C.
5.6 El Proveedor seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones de los Subencargados del tratamiento.
6. Transferencias de datos
6.1 De conformidad con el artículo 28(3)(a) del GDPR, el Proveedor no transferirá, ni permitirá que ningún Subprocesador transfiera, ningún Dato Personal del Cliente fuera del EEE, salvo lo dispuesto en el presente Acuerdo. Para evitar dudas, el Cliente consiente por la presente la transferencia y el procesamiento de los Datos Personales según se especifica en el Anexo A, según corresponda.
6.2 El Proveedor reconoce que, de conformidad con el GDPR, debe existir una protección adecuada para los Datos Personales después de cualquier transferencia fuera del EEE (ya sea directamente o a través de la transferencia posterior de un Subprocesador) y celebrará un acuerdo adecuado con el Cliente y/o cualquier Subprocesador para regir dicha transferencia. Esto incluirá las Cláusulas Contractuales Tipo aplicables, o dependerá de la Decisión de Adecuación, a menos que exista otro mecanismo de adecuación para la transferencia.
7. Incumplimiento de datos personales
7.1 En caso de cualquier incumplimiento de datos personales que afecte a los datos personales del cliente, el proveedor deberá:
7.1.1 Notificar al cliente sin demora indebida (en un plazo máximo de 48 horas) para permitir al cliente cumplir con las obligaciones de notificación del GDPR y proporcionar asistencia razonable al cliente cuando se le solicite que comunique un incumplimiento de datos personales a un sujeto de datos.
7.1.2 Realizar esfuerzos razonables para identificar la causa de dicha violación de datos personales y tomar las medidas que el Proveedor considere razonablemente viables para corregir la causa de dicha violación de datos personales.
7.1.3 Sujeto a los términos de este DPA, proporcionar asistencia y cooperación razonables según lo solicite el Cliente, en la promoción de cualquier corrección o remediación de cualquier violación de datos personales.
8. Registros de Procesamiento
8.1 En la medida aplicable al Procesamiento del Proveedor para el Cliente, el Proveedor mantendrá todos los registros requeridos por el Artículo 30(2) GDPR y los pondrá a disposición del Cliente a petición.
9. Derechos de auditoría
9.1 El Proveedor deberá, y procurará que sus Subprocesadores, pongan a disposición del Cliente, previa solicitud, la información razonable necesaria para demostrar el cumplimiento de sus obligaciones de protección de datos en virtud del presente APD y permitirá y contribuirá a las auditorías, incluida la inspección en sus instalaciones, por parte del Cliente o de un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales del Cliente, siempre que dicho auditor no sea un competidor del Proveedor.
10. Vigencia
10.1 El presente APD permanecerá en pleno vigor y efecto mientras:
10.1.1 El Contrato siga en vigor; o
10.1.2 El Proveedor conserve cualquier Dato Personal del Cliente en su posesión o control.
10.2 Cualquier disposición del presente APD que, de forma expresa o implícita, deba entrar en vigor o continuar en vigor a la terminación del Contrato o con posterioridad al mismo, con el fin de proteger los Datos Personales del Cliente, permanecerá en pleno vigor y efecto.
11. Devolución y destrucción de datos
11.1 El Proveedor, a discreción del Cliente y previa solicitud por escrito de éste, borrará o devolverá al Cliente todos los Datos Personales del Cliente una vez finalizada la prestación de los Servicios relativos al Tratamiento, y borrará las copias existentes a menos que la legislación aplicable del EEE o de los Estados Miembros exija el almacenamiento de los Datos Personales del Cliente. Si no se recibe ninguna solicitud por escrito del Cliente, el Proveedor eliminará los Datos Personales del Cliente 90 días después de la finalización del Contrato.
11.2 A petición del Cliente, el Proveedor proporcionará una notificación por escrito de las medidas adoptadas en relación con los Datos Personales del Cliente.
12. Indemnización
12.1 En la medida exigida por el artículo 82 del GDPR y con sujeción a la cláusula 12.1 del presente DPA, el Proveedor acepta indemnizar al Cliente por todos los costes directos, reclamaciones, daños o gastos en que incurra el Cliente debido a cualquier incumplimiento por parte del Proveedor o sus empleados, subprocesadores, subcontratistas o agentes de cualquiera de sus obligaciones en virtud del presente DPA o de las Leyes de Protección de Datos.
12.2 Independientemente de cualquier disposición en contrario en el presente APD o en el Contrato (incluidas, entre otras, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de las multas del GDPR emitidas o impuestas en virtud del artículo 83 del GDPR contra la otra parte por una autoridad reguladora u organismo gubernamental en relación con la violación del GDPR por parte de dicha otra parte.
12.3 En la medida en que lo permitan las leyes de protección de datos y con sujeción a las exclusiones detalladas en la cláusula 12.2 del presente APD, la responsabilidad total de cada una de las partes en virtud del presente APD o en relación con él, independientemente de la causa, estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Contrato.
Anexo A
Fines y detalles del tratamiento de datos personales
| Objeto del tratamiento | Detalles | Se aplica a: |
| Propósito Especifique todos los fines para los que el Proveedor tratará los Datos Personales | Acceso al sistema Administración del sistema Entrega de contenidos del sistema según los módulos suscritos. Véase más abajo: | Todos los clientes |
| Políticas, evaluaciones de conocimientos | Clientes suscritos a los módulos Policy (PolicyLite, MetaEngage y MetaPolicy) | |
| eLearning, otros medios | Clientes suscritos a módulos de Elearning (MetaLearning Fusion) | |
| Encuestas de privacidad | Clientes suscritos al módulo MetaPrivacy | |
| Reseñas de incidentes | Clientes suscritos al módulo de MetaIncidentes | |
| Campañas de phishing simuladas | Clientes suscritos a MetaPhish | |
| Transferencia de SCORM al LMS del cliente | Clientes que se suscriben a la transferencia de SCORM | |
| Tipos de datos personales Especifique los Datos Personales que serán tratados por el Proveedor | Nombre, apellidos, dirección de correo electrónico, departamento, historial de formación | Todos los clientes |
| Unidad de organización (OU) de Active Directory | Clientes que utilizan Azure AD o AD local | |
| ID DEL LMS | Los clientes suscritos a la transferencia de SCORM | |
| Categorías de interesados Especifique las categorías de Sujetos de Datos cuyos Datos Personales serán Procesados por el Proveedor | Empleados del cliente, contratistas, proveedores, socios y/o afiliados. | Todos los Clientes de acuerdo con los datos del Titular de los Datos facilitados al Proveedor. El Cliente puede limitarlo en función del uso que pretenda hacer de los Servicios. |
| Operaciones de tratamiento Especifique todas las actividades de Procesamiento que debe realizar el Proveedor | Tratamiento y almacenamiento de los Datos Personales del Cliente con el fin de crear y mantener cuentas de Usuarios Autorizados en la plataforma MyCompliance. Distribución de diversos correos electrónicos de notificación iniciados por el sistema MyCompliance de MetaCompliance. | Todos los clientes |
| Distribución de correos electrónicos simulados de phishing especificados iniciados por el Cliente a través de la plataforma MetaCompliance MyCompliance. | Clientes suscritos al módulo MetaPhish | |
| Almacenamiento de Datos Personales cuando son introducidos por el cliente a través del módulo MetaCompliance MetaPrivacy. | Clientes suscritos al módulo MetaPrivacy | |
| Comunicarse con el cliente LMS y evaluar el recuento de licencias | Clientes que se suscriben a la transferencia de SCORM | |
| Ubicación de las operaciones de transformación Especifique todos los lugares en los que el Proveedor tratará los Datos Personales | Reino Unido (MetaCompliance Group) Dinamarca (Grupo MetaCompliance) Portugal (Grupo MetaCompliance) Irlanda (MetaCompliance Group TAMBIÉN con Microsoft Azure y Amazon Web Services) Holanda (Microsoft Azure) | Todos los clientes, según corresponda. Para más detalles, consulte el Anexo C. |
| Requisitos de conservación Cuando proceda, especifique el tiempo de conservación de los Datos Personales del Cliente almacenados por el Proveedor. | Cuando la suscripción de un cliente ha caducado o se ha dado por terminada, todos los datos personales del cliente asociados se conservan durante 90 días antes de que se eliminen realmente, con el fin de recuperarse de la cancelación accidental de la suscripción. | Todos los clientes |
Anexo B
Disposiciones de seguridad El Proveedor, con el fin de ayudar al Cliente a cumplir sus obligaciones legales, incluyendo, pero sin limitarse a ello, las medidas de seguridad y las evaluaciones del riesgo para la privacidad, estará obligado a tomar las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente que se traten. Dichas medidas deberán dar lugar, como mínimo, a un nivel de seguridad adecuado teniendo en cuenta:- posibilidades técnicas existentes;
- los costes de ejecución de las medidas;
- los riesgos particulares asociados al tratamiento de los datos personales de los clientes; y
- la sensibilidad de los Datos Personales del Cliente que se tratan.
- la seudonimización y el cifrado de los Datos Personales de los Clientes;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios que tratan los Datos Personales de los Clientes;
- la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de manera oportuna en caso de incidente físico o técnico; y
- un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- protección del acceso físico mediante la cual el equipo informático y los datos extraíbles que contengan Datos Personales del Cliente en las instalaciones del Proveedor se guardarán bajo llave cuando no estén bajo supervisión con el fin de protegerlos contra el uso no autorizado, el impacto y el robo.
- un proceso de comprobación de la lectura posterior a la restauración de los Datos Personales del Cliente a partir de copias de seguridad.
- control de autorización mediante el cual el acceso del Proveedor a los Datos Personales del Cliente se gestiona a través de un sistema técnico de control de autorización. La autorización estará restringida a aquellos que necesiten los Datos Personales del Cliente para su trabajo. Los identificadores de usuario y las contraseñas serán personales y no podrán transferirse a nadie más. Existirán procedimientos para asignar y suprimir autorizaciones.
- llevar un registro de quién tiene acceso a los Datos Personales del Cliente.
- comunicación segura mediante la cual las conexiones externas de comunicación de datos se protegerán utilizando funciones técnicas que garanticen que la conexión está autorizada, así como el cifrado de contenidos para los datos en tránsito en canales de comunicación fuera de los sistemas controlados por el Proveedor.
- un proceso que garantice la destrucción segura de los datos cuando los soportes de almacenamiento fijos o extraíbles dejen de utilizarse para su finalidad.
- rutinas para firmar acuerdos de confidencialidad con los proveedores que prestan servicios de reparación y mantenimiento de los equipos utilizados para almacenar los Datos Personales de los Clientes.
- rutinas de supervisión del servicio prestado por los proveedores en los locales del Proveedor. Los soportes de almacenamiento que contengan los Datos Personales del Cliente se retirarán si no es posible la supervisión.
Anexo C
Subprocesadores autorizados:| Subprocesador | Ubicación |
| Microsoft Azure (contratado a través de Microsoft Operations Ireland Ltd, aloja los servicios en la nube) | Holanda Dublín |
| Amazon Web Services (contratado con "AWS Europe", como proveedor de correo electrónico transaccional) | Dublín |
| MetaCompliance Limited una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de apoyo a los clientes) | Reino Unido |
| Increase Your Skills GmbH (prestación de servicios de cuentas de clientes y servicios de apoyo) | Alemania |
| MOCH A/S una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de apoyo a los clientes) | Dinamarca |
| MetaCompliance Ireland Ltd Sucursal Portugal una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de apoyo a los clientes) | Portugal |