Introducción
Las partes acuerdan que el presente Acuerdo de Protección de Datos ("APD") establece los derechos y obligaciones de cada una de las partes en relación con el tratamiento y la seguridad de los Datos Personales del Cliente en relación con el Software y los Servicios prestados por MetaCompliance Ireland Ltd.. El DPA se incorpora por referencia a las Condiciones Comerciales (las "Condiciones Comerciales"). Las partes también acuerdan que, a menos que exista un APD separado firmado por las partes, este APD rige el tratamiento y la seguridad de los Datos Personales del Cliente.
Las disposiciones de las Condiciones DPA sustituyen a cualquier disposición contradictoria de la Declaración de Privacidad de MetaCompliance que pueda aplicarse al tratamiento de los Datos Personales del Cliente. Para mayor claridad, en consonancia con las Cláusulas Contractuales Tipo 2021 que se definen a continuación, cuando las Cláusulas Contractuales Tipo 2021 son aplicables, las Cláusulas Contractuales Tipo 2021 prevalecen sobre cualquier otro término del Acuerdo de Procesamiento de Datos.
ACUERDO DE PROCESAMIENTO DE DATOS EN VIGOR A PARTIR DEL22 DE MARZO DE 2024
1.1 El Cliente es como se define en las Condiciones Comerciales (el "Cliente") y
1.2 MetaCompliance Ireland Limited, constituida y registrada en la República de Irlanda con el número de sociedad 640228, con domicilio social en Unit 21, Block 1, Clonshaugh Business and Technology Park, Dublín 17, D17 YY31 (el "Proveedor").
2.1 El Cliente y el Proveedor han celebrado un Contrato que puede requerir que el Proveedor procese Datos Personales en nombre del Cliente.
2.2 El presente Acuerdo de Procesamiento de Datos ("APD") establece los términos, requisitos y condiciones adicionales en los que el Proveedor procesará los Datos Personales cuando preste los Servicios en virtud del Contrato. El presente APD contiene las cláusulas obligatorias exigidas por el artículo 28, apartado 3, del Reglamento general de protección de datos ((UE) 2016/679 (y las Leyes de protección de datos de 1988 a 2018, en su versión modificada) para los contratos entre responsables y encargados del tratamiento.
2.3 El presente APD está sujeto a los términos del Contrato y se incorpora al mismo. Los términos utilizados en el presente APD tendrán el significado que se establece en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente tendrán el significado que se les atribuye en las Condiciones Comerciales del Contrato.
2.4 Los anexos forman parte del presente APD y surtirán efecto como si estuvieran recogidos íntegramente en el mismo. Toda referencia al presente APD incluye los anexos.
2.5 En caso de conflicto entre cualquier disposición de este APD y cualquier otra(s) cláusula(s) del Contrato, con respecto al objeto de este APD, prevalecerán las disposiciones de este APD.
Los siguientes términos del presente APD tendrán el significado que se indica a continuación:
"Leyes de protección de datos" | significa todas las leyes y reglamentos aplicables relacionados con el Tratamiento de Datos Personales en cualquier momento durante la vigencia de este APD, incluido (1) el Reglamento General de Protección de Datos (GDPR, EU 2016/679); (2) las Leyes de Protección de Datos de 1988 a 2018, en su versión modificada; (3) la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, tal como ha sido implementada por los Estados miembros de la UE, y cualquier legislación sucesora y cualquier otro reglamento, guía y código de prácticas relacionados con la protección de datos y la privacidad, en cada caso modificados, actualizados o sustituidos de vez en cuando. |
"Datos personales del cliente" | se refiere a los Datos Personales tratados por MetaCompliance únicamente a efectos de la prestación de los Servicios y según las indicaciones del Cliente. |
"Cláusulas contractuales estándar" | se refiere a las Cláusulas Contractuales Tipo de la Comisión Europea para la transferencia de Datos Personales de la Unión Europea a encargados del tratamiento establecidos en terceros países (transferencias de responsable a encargado del tratamiento), tal como se establece en el anexo de la Decisión 2021/914/UE de la Comisión a partir del 4 de junio de 2021. |
"Decisión de adecuación" | significa la Decisión de Adecuación de la Comisión Europea con respecto a la transferencia de Datos Personales al Reino Unido, adoptada el 28 de junio de 2021. |
"Subprocesador" | se refiere a un subcontratista de terceros contratado por el Proveedor que, como parte de la función del subcontratista de prestar los servicios, tratará los Datos Personales en nombre del Cliente. |
"Responsable del tratamiento", "Interesado", "Encargado del tratamiento", "Proceso o tratamiento", "Datos personales", "Violación de datos personales" | tendrán el significado que se les atribuye en el RGPD. |
4. Tratamiento de datos personales
4.1 Las partes reconocen y acuerdan que, a los efectos de las Leyes de Protección de Datos y con respecto al Tratamiento de los Datos Personales del Cliente, el Proveedor es el Procesador y el Cliente es el Controlador.
4.2 El Cliente garantiza y declara: (i) que la transferencia de los Datos Personales del Cliente al Proveedor cumple en todos los aspectos con las Leyes de Protección de Datos (incluyendo, sin limitación, en términos de su recopilación y uso); y (ii) que se ha proporcionado un procesamiento justo y todos los demás avisos apropiados a los Sujetos de Datos de los Datos Personales del Cliente (y se han obtenido y mantenido en todo momento todos los consentimientos necesarios de dichos Sujetos de Datos) en la medida en que lo exigen las Leyes de Protección de Datos en relación con todas las actividades de procesamiento que pueden ser llevadas a cabo por el Proveedor y sus Subprocesadores de conformidad con este Acuerdo;
4.3 El Proveedor se compromete a Procesar los Datos Personales del Cliente únicamente: (i) en la medida en que sea necesario para prestar los Servicios; (ii) de acuerdo con las instrucciones escritas del Cliente; y (iii) de acuerdo con los requisitos de las Leyes de Protección de Datos.
4.4 El Cliente, en su uso de los Servicios, tratará los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos. El Cliente se asegurará de que cualquier instrucción al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente cumpla con las Leyes de Protección de Datos.
4.5 Las instrucciones del Cliente al Proveedor en relación con el objeto y la duración del Tratamiento, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Sujetos de Datos se describen en el Anexo A. Para evitar cualquier duda, las partes reconocen y acuerdan que, con sujeción a la cláusula 5, las instrucciones de Tratamiento establecidas en el presente APD y en el Anexo A constituyen el conjunto completo de instrucciones del Cliente al Proveedor en la medida en que sean aplicables.
4.6 El Proveedor notificará inmediatamente al Cliente si, en opinión razonable del Proveedor, cualquier instrucción dada por el Cliente puede infringir las leyes de protección de datos.
4.7 El Proveedor no procesará, transferirá, modificará, enmendará o alterará los Datos Personales del Cliente ni revelará o permitirá que se revelen los Datos Personales del Cliente a ningún tercero fuera de las instrucciones detalladas en esta DPA.
4.8 El personal del Proveedor que participe en el Tratamiento de los Datos Personales del Cliente será informado del carácter confidencial de los Datos Personales del Cliente y recibirá la formación adecuada sobre sus responsabilidades. Dicho personal estará sujeto a compromisos de confidencialidad adecuados.
4.9 Teniendo en cuenta la naturaleza del Procesamiento de Datos Personales en los Servicios prestados, el Proveedor, tal y como exige el artículo 32 del GDPR, mantendrá las medidas técnicas y organizativas apropiadas para garantizar la seguridad del Procesamiento, incluida la protección contra el Procesamiento no autorizado o ilegal, y contra la destrucción, pérdida o alteración o daño accidental o ilegal, la divulgación no autorizada o el acceso a los Datos Personales del Cliente. Las partes reconocen y aceptan que las medidas de seguridad especificadas en la presente DPA y, más concretamente, en el Anexo B constituyen medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
4.10 El Proveedor asistirá al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible y teniendo en cuenta la naturaleza del Tratamiento de los Datos Personales del Cliente, en el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos, incluso en relación con los derechos del Titular de los Datos, las evaluaciones de impacto sobre la protección de datos (relacionadas con el uso de los Servicios de MetaCompliance por parte del Cliente) y la información y consulta a las autoridades de supervisión (en relación con una evaluación de impacto sobre la protección de datos relacionada con los Servicios de MetaCompliance).
4.11 Si los Sujetos de Datos, las autoridades competentes o cualquier otro tercero solicitan información al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente, el Proveedor remitirá dicha solicitud al Cliente, a menos que se le exija lo contrario para cumplir con las Leyes de Protección de Datos, en cuyo caso el Proveedor notificará previamente al Cliente dicho requisito legal, a menos que dicha ley prohíba esta divulgación por motivos importantes de interés público.
5. Subprocesadores
5.1 El Cliente reconoce y acepta que el Proveedor podrá, en relación con la prestación de Servicios, contratar a Subprocesadores que podrán ser filiales del Proveedor y/o terceros, tal y como se describe más específicamente en los Anexos A y C. La contratación de dichas partes por parte del Proveedor estará sujeta a un contrato por escrito (incluso en formato electrónico) coherente con los términos de la presente DPA, en relación con el tratamiento requerido de Datos Personales.
5.2 El Cliente reconoce que el Proveedor tiene autorización general para contratar nuevos Subencargados del Tratamiento sin necesidad de obtener ninguna otra autorización específica por escrito del Cliente. Esto está sujeto a que el Procesador notifique al Cliente por escrito la identidad de cualquier nuevo Sub-Procesador, 30 días antes de procesar los Datos Personales del Cliente.
5.3 Si el Cliente desea oponerse al Subencargado del tratamiento pertinente, deberá notificarlo por escrito en un plazo de diez (10) días hábiles a partir de la recepción de la notificación del Proveedor. La ausencia de objeciones por parte del Cliente se considerará consentimiento para utilizar el Subencargado del tratamiento pertinente.
5.4 En caso de que el Cliente se oponga a un nuevo Subprocesador, el Proveedor hará esfuerzos razonables para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en los Servicios para evitar el Tratamiento de los Datos Personales del Cliente por parte del nuevo Subprocesador correspondiente. Si no es posible ninguna alternativa, las partes tienen derecho a rescindir el Contrato entre ellas.
5.5 La notificación al Cliente por parte del Proveedor de un nuevo Subtransmitente incluirá la entrega de un Anexo C actualizado.
5.6 El Proveedor seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones de los Subprocesadores.
6. Transferencia de datos
6.1 De conformidad con el artículo 28(3)(a) del GDPR, el Proveedor no transferirá, ni permitirá que ningún Subprocesador transfiera, ningún Dato Personal del Cliente fuera del EEE, salvo lo dispuesto en el presente Acuerdo. Para evitar cualquier duda, el Cliente consiente por la presente la transferencia y el procesamiento de los Datos Personales según lo especificado en el Anexo A, según corresponda.
6.2 El Proveedor reconoce que, de conformidad con el GDPR, debe existir una protección adecuada para los Datos Personales después de cualquier transferencia fuera del EEE (ya sea directamente o a través de la transferencia posterior de un Subprocesador) y celebrará un acuerdo adecuado con el Cliente y/o cualquier subprocesador para regir dicha transferencia. Esto incluirá las Cláusulas Contractuales Tipo aplicables, o dependerá de la Decisión de Adecuación, a menos que exista otro mecanismo de adecuación para la transferencia.
7. Violación de datos personales
7.1 En caso de violación de los datos personales del cliente, el proveedor deberá:
7.1.1 Notificar al Cliente sin demora indebida (en un plazo máximo de 48 horas) para permitir al Cliente cumplir con las obligaciones de notificación del GDPR y proporcionar asistencia razonable al Cliente cuando se requiera comunicar una Violación de Datos Personales a un Sujeto de Datos.
7.1.2 Realizará esfuerzos razonables para identificar la causa de la violación de los datos personales y tomará las medidas que el proveedor considere razonablemente viables para remediar la causa de la violación de los datos personales.
7.1.3 Sujeto a los términos de esta DPA, proporcionar asistencia y cooperación razonables según lo solicitado por el Cliente, en el avance de cualquier corrección o remediación de cualquier Violación de Datos Personales.
8. Registros de Procesamiento
8.1 En la medida aplicable al Procesamiento del Proveedor para el Cliente, el Proveedor mantendrá todos los registros requeridos por el Artículo 30(2) GDPR y los pondrá a disposición del Cliente a petición.
9. Derechos de auditoría
9.1 El Proveedor deberá, y procurará que sus Subprocesadores, pongan a disposición del Cliente, previa solicitud, la información razonable necesaria para demostrar el cumplimiento de sus obligaciones de protección de datos en virtud del presente APD y permitirá y contribuirá a las auditorías, incluida la inspección en sus instalaciones, por parte del Cliente o de un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales del Cliente, siempre que dicho auditor no sea un competidor del Proveedor.
10. Vigencia
10.1 El presente APD permanecerá en pleno vigor y efecto mientras:
10.1.1 El Contrato siga en vigor; o
10.1.2 El Proveedor conserve cualquier Dato Personal del Cliente en su posesión o control.
10.2 Cualquier disposición del presente APD que, de forma expresa o implícita, deba entrar en vigor o continuar en vigor a la terminación del Contrato o con posterioridad al mismo, con el fin de proteger los Datos Personales del Cliente, permanecerá en pleno vigor y efecto.
11. Devolución y destrucción de datos
11.1 El Proveedor, a discreción del Cliente y previa solicitud por escrito de éste, borrará o devolverá al Cliente todos los Datos Personales del Cliente una vez finalizada la prestación de los Servicios relativos al Tratamiento, y borrará las copias existentes a menos que la legislación aplicable del EEE o de los Estados Miembros exija el almacenamiento de los Datos Personales del Cliente. Si no se recibe ninguna solicitud por escrito del Cliente, el Proveedor eliminará los Datos Personales del Cliente 90 días después de la finalización del Contrato.
11.2 A petición del Cliente, el Proveedor proporcionará una notificación por escrito de las medidas adoptadas en relación con los Datos Personales del Cliente.
12. Indemnización
12.1 En la medida requerida por el artículo 82 del GDPR y sujeto a la cláusula 12.1 de este DPA, el Proveedor acuerda indemnizar al Cliente por todos los costos directos, reclamaciones, daños o gastos incurridos por el Cliente debido a cualquier incumplimiento por parte del Proveedor o sus empleados, subprocesadores, subcontratistas o agentes de cualquiera de sus obligaciones en virtud de este DPA o las Leyes de Protección de Datos.
12.2 Independientemente de cualquier disposición en contrario en el presente APD o en el Contrato (incluidas, entre otras, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de las multas del GDPR emitidas o impuestas en virtud del artículo 83 del GDPR contra la otra parte por una autoridad reguladora u organismo gubernamental en relación con la violación del GDPR por parte de dicha otra parte.
12.3 En la medida en que lo permitan las leyes de protección de datos y con sujeción a las exclusiones detalladas en la cláusula 12.2 del presente APD, la responsabilidad total de cada una de las partes en virtud del presente APD o en relación con él, independientemente de la causa, estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Contrato.
Anexo A
Fines y detalles del tratamiento de datos personales
Objeto del tratamiento | Detalles | Se aplica a: |
Propósito Especificar todos los fines para los que el Proveedor tratará los Datos Personales | Acceso al sistema Administración del sistema Entrega del contenido del sistema según los módulos suscritos. Véase más abajo: | Todos los clientes |
Políticas, evaluaciones de conocimientos | Clientes suscritos a los módulos Policy (PolicyLite, MetaEngage y MetaPolicy) | |
eLearning, otros medios | Clientes suscritos a módulos de Elearning (MetaLearning Fusion) | |
Encuestas de privacidad | Clientes suscritos al módulo MetaPrivacy | |
Reseñas de incidentes | Clientes suscritos al módulo de MetaIncidentes | |
Campañas de phishing simuladas | Clientes suscritos a MetaPhish | |
Transferencia de SCORM al LMS del cliente | Clientes que se suscriben a la transferencia de SCORM | |
Tipos de datos personales Especificar los Datos Personales que serán tratados por el Proveedor | Nombre, apellidos, dirección de correo electrónico, dirección IP, departamento, registro de formación | Todos los clientes |
Unidad de organización (OU) de Active Directory | Clientes que utilizan Azure AD o AD local | |
ID DEL LMS | Los clientes suscritos a la transferencia de SCORM | |
Categorías de sujetos de datos Especificar las categorías de sujetos de datos cuyos datos personales serán tratados por el proveedor | Empleados del cliente, contratistas, proveedores, socios y/o afiliados. | Todos los Clientes de acuerdo con los datos del Titular de los Datos facilitados al Proveedor. El Cliente puede limitarlo en función del uso que pretenda hacer de los Servicios. |
Operaciones de tratamiento Especifique todas las actividades de procesamiento que debe realizar el proveedor | Tratamiento y almacenamiento de los Datos Personales del Cliente con el fin de crear y mantener cuentas de Usuarios Autorizados en la plataforma MyCompliance. Distribución de varios correos electrónicos de notificación iniciados por el sistema MetaCompliance MyCompliance. | Todos los clientes |
Distribución de correos electrónicos simulados de phishing especificados iniciados por el Cliente a través de la plataforma MetaCompliance MyCompliance. | Clientes suscritos al módulo MetaPhish | |
Almacenamiento de Datos Personales cuando son introducidos por el cliente a través del módulo MetaCompliance MetaPrivacy. | Clientes suscritos al módulo MetaPrivacy | |
Comunicarse con el cliente LMS y evaluar el recuento de licencias | Clientes que se suscriben a la transferencia de SCORM | |
Ubicación de las operaciones de transformación Especifique todos los lugares en los que el proveedor tratará los datos personales | Reino Unido (MetaCompliance Group) Dinamarca (Grupo MetaCompliance) Portugal (Grupo MetaCompliance) Alemania (Grupo MetaCompliance) Irlanda (MetaCompliance Group, Microsoft Azure, Amazon Web Services) Holanda (Microsoft Azure) | Todos los clientes, según corresponda. Para más detalles, consulte el Anexo C. |
Requisitos de retención Cuando proceda, especificar el tiempo de conservación de los Datos Personales del Cliente almacenados por el Proveedor. | Cuando la suscripción de un cliente ha caducado o se ha dado por terminada, todos los datos personales del cliente asociados se conservan durante 90 días antes de que se eliminen realmente, con el fin de recuperarse de la cancelación accidental de la suscripción. | Todos los clientes |
Anexo B
Disposiciones de seguridad
El Proveedor, con el fin de ayudar al Cliente a cumplir sus obligaciones legales, incluidas, entre otras, las medidas de seguridad y las evaluaciones del riesgo para la privacidad, estará obligado a adoptar las medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente que sean objeto de Tratamiento. Las medidas deberán dar como resultado, al menos, un nivel de seguridad que sea adecuado teniendo en cuenta:
(a) las posibilidades técnicas existentes;
(b) los costes de llevar a cabo las medidas;
(c) los riesgos particulares asociados con el Procesamiento de los Datos Personales del Cliente; y
(d) la sensibilidad de los Datos Personales del Cliente que son Procesados.
El Proveedor mantendrá una seguridad adecuada para los Datos Personales del Cliente. El Proveedor protegerá los Datos Personales del Cliente contra su destrucción, modificación, difusión ilícita o acceso ilícito. Los datos personales del cliente también se protegerán contra cualquier otra forma de tratamiento ilícito. Habida cuenta del estado de la técnica y de los costes de aplicación, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas, las medidas técnicas y organizativas que deberá aplicar el Proveedor incluirán, según proceda
(a) la seudonimización y el cifrado de los Datos Personales del Cliente;
(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios que tratan los Datos Personales del Cliente;
(c) la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de manera oportuna en caso de incidente físico o técnico; y
(d) un proceso para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del Tratamiento.
Además de las medidas técnicas y organizativas mencionadas anteriormente, el Proveedor aplicará las siguientes medidas:
(a) protección del acceso físico mediante la cual los equipos informáticos y los datos extraíbles que contengan Datos Personales del Cliente en las instalaciones del Proveedor se guardarán bajo llave cuando no estén bajo supervisión, con el fin de protegerlos contra el uso no autorizado, el impacto y el robo.
(b) un proceso para comprobar la lectura posterior a la restauración de los Datos Personales del Cliente a partir de copias de seguridad.
(c) un control de autorización mediante el cual el acceso del Proveedor a los Datos Personales del Cliente se gestione a través de un sistema técnico de control de autorización. La autorización se limitará a aquellas personas que necesiten los Datos personales del cliente para su trabajo. Los identificadores de usuario y las contraseñas serán personales y no podrán transferirse a nadie más. Existirán procedimientos para asignar y suprimir autorizaciones.
(d) Mantener registros de quién tiene acceso a los Datos Personales del Cliente.
(e) una comunicación segura mediante la cual se protegerán las conexiones externas de comunicación de datos utilizando funciones técnicas que garanticen que la conexión está autorizada, así como el cifrado de contenidos para los datos en tránsito en canales de comunicación fuera de los sistemas controlados por el Proveedor.
(f) un proceso que garantice la destrucción segura de los datos cuando los soportes de almacenamiento fijos o extraíbles ya no se utilicen para su fin.
(g) rutinas para suscribir acuerdos de confidencialidad con los proveedores que presten servicios de reparación y mantenimiento de los equipos utilizados para almacenar los Datos Personales del Cliente.
(h) rutinas para supervisar el servicio realizado por los proveedores en las instalaciones del Proveedor. Los soportes de almacenamiento que contengan los Datos Personales del Cliente se retirarán si no es posible la supervisión.
Anexo C
Subprocesadores autorizados:Subprocesador | Ubicación |
Microsoft Azure (contratado a través de Microsoft Operations Ireland Ltd, aloja los servicios en la nube) | Holanda Dublín Alemania Canadá |
Amazon Web Services (contratado con "AWS Europe", como proveedor de correo electrónico transaccional) | Dublín Alemania Canadá |
MetaCompliance Limited una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de asistencia a clientes) | Reino Unido |
MetaCompliance GmbH (prestación de servicios de cuentas de clientes y servicios de asistencia) | Alemania |
MOCH A/S una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de apoyo a los clientes) | Dinamarca |
MetaCompliance Ireland Ltd Sucursal Portugal una entidad del Grupo MetaCompliance (prestación de servicios de cuentas de clientes y servicios de asistencia a clientes) | Portugal |