Acuerdo de procesamiento de datos

1. Introducción y alcance

Este Acuerdo de Procesamiento de Datos ("DPA") se incorpora y forma parte de los Términos de Servicio ("Acuerdo") entre Strion Inc. ("Empresa", "nosotros", "nos" o "nuestro") y el cliente ("Cliente", "tú" o "tu") para el uso de la plataforma de software como servicio Adrow ("Servicio"). Este DPA se aplica en la medida en que procesemos Datos Personales del Cliente en tu nombre como Encargado en el curso de proporcionar el Servicio. Este DPA será efectivo durante la vigencia del Acuerdo.

2. Definiciones

Los términos en mayúsculas usados pero no definidos en este DPA tendrán los significados establecidos en el Acuerdo. En este DPA, los siguientes términos tendrán los significados establecidos a continuación:

• "Ley de Protección de Datos Aplicable" significa todas las leyes y regulaciones aplicables al procesamiento de Datos Personales bajo el Acuerdo, incluyendo pero no limitado al Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD").
• "Responsable" tiene el significado otorgado en el RGPD.
• "Datos Personales del Cliente" significa cualquier Dato Personal que la Empresa procese en nombre del Cliente como Encargado en el curso de proporcionar el Servicio.
• "Interesado" tiene el significado otorgado en el RGPD.
• "Datos Personales" tiene el significado otorgado en el RGPD.
• "Encargado" tiene el significado otorgado en el RGPD.
• "Incidente de Seguridad" significa una violación de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales del Cliente.
• "Cláusulas Contractuales Estándar" o "CCE" significa las cláusulas contractuales estándar para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, adoptadas por la Comisión Europea.
• "Subencargado" significa cualquier tercero contratado por la Empresa para procesar Datos Personales del Cliente.

3. Roles y responsabilidades

Las partes reconocen y acuerdan que con respecto al procesamiento de Datos Personales del Cliente, el Cliente es el Responsable y Strion Inc. es el Encargado. El Cliente será el único responsable de cumplir con sus obligaciones como Responsable bajo la Ley de Protección de Datos Aplicable, incluyendo pero no limitado a la licitud del procesamiento y la exactitud de los Datos Personales del Cliente. La Empresa procesará los Datos Personales del Cliente únicamente en nombre del Cliente y de acuerdo con las instrucciones documentadas del Cliente.

4. Alcance y propósito del procesamiento

La Empresa procesará los Datos Personales del Cliente con el único propósito de proporcionar, mantener y mejorar el Servicio como se describe en el Acuerdo. La materia, duración, naturaleza y propósito del procesamiento, así como los tipos de Datos Personales y categorías de Interesados, están determinados por el uso del Servicio por parte del Cliente.

5. Subprocesamiento

El Cliente proporciona una autorización general a la Empresa para contratar Subencargados para procesar Datos Personales del Cliente. La Empresa mantendrá una lista de sus Subencargados actuales, que estará disponible para el Cliente bajo solicitud. La Empresa notificará al Cliente de cualquier cambio previsto relacionado con la adición o sustitución de Subencargados, dando así al Cliente la oportunidad de oponerse a dichos cambios. Si el Cliente tiene una base razonable para oponerse a un nuevo Subencargado, las partes negociarán de buena fe para encontrar una resolución. La Empresa impondrá a sus Subencargados obligaciones de protección de datos que no sean menos protectoras que las de este DPA.

6. Derechos de los interesados

En la medida en que el Cliente no pueda acceder de forma independiente a los Datos Personales del Cliente relevantes dentro del Servicio, la Empresa proporcionará, teniendo en cuenta la naturaleza del procesamiento, asistencia razonable al Cliente para permitirle responder a las solicitudes de los Interesados para ejercer sus derechos bajo la Ley de Protección de Datos Aplicable. Dicha asistencia se proporcionará a cargo exclusivo del Cliente.

7. Medidas de seguridad

La Empresa implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente de Incidentes de Seguridad y para preservar la seguridad y confidencialidad de los Datos Personales del Cliente. Estas medidas están diseñadas para prevenir el acceso, uso, alteración o divulgación no autorizados de los Datos Personales del Cliente. El Cliente reconoce que estas medidas están sujetas al progreso técnico y desarrollo y que la Empresa puede actualizarlas o modificarlas periódicamente, siempre que dichas actualizaciones y modificaciones no resulten en una degradación material de la seguridad general del Servicio.

8. Notificación de incidentes de seguridad

Al tener conocimiento de un Incidente de Seguridad, la Empresa notificará al Cliente sin demora indebida. La notificación describirá, en la medida de lo posible, la naturaleza del Incidente de Seguridad, las categorías y el número aproximado de Interesados y registros de Datos Personales afectados, las consecuencias probables del Incidente de Seguridad y las medidas tomadas o propuestas por la Empresa para abordar el Incidente de Seguridad. La notificación o respuesta de la Empresa a un Incidente de Seguridad bajo esta Sección no se interpretará como un reconocimiento por parte de la Empresa de culpa o responsabilidad respecto al Incidente de Seguridad.

9. Transferencias internacionales de datos

La Empresa puede transferir y procesar Datos Personales del Cliente fuera del Espacio Económico Europeo ("EEE"). En la medida en que la transferencia de Datos Personales del Cliente esté sujeta al RGPD y el país de destino no esté cubierto por una decisión de adecuación de la Comisión Europea, dichas transferencias se regirán por las Cláusulas Contractuales Estándar, que se considerarán incorporadas a este DPA por referencia. Se considera que el Cliente ha ejecutado las CCE como "exportador de datos" y la Empresa como "importador de datos".

10. Auditorías

El Cliente puede, previa solicitud razonable y a su propio costo, auditar el cumplimiento de la Empresa con sus obligaciones bajo este DPA. Para facilitar dicha auditoría, la Empresa pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento, incluyendo resúmenes de sus informes de auditoría de terceros más recientes (por ejemplo, SOC 2). No se permiten auditorías directas de las instalaciones o sistemas de la Empresa.

11. Limitación de responsabilidad

La responsabilidad de cada parte derivada de o relacionada con este DPA estará sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo. La responsabilidad total de la Empresa por todas las reclamaciones del Cliente derivadas de o relacionadas con este DPA no excederá el monto total de las tarifas pagadas por el Cliente a la Empresa bajo el Acuerdo en los doce (12) meses anteriores al evento que da lugar a la reclamación.

12. Vigencia, terminación y devolución de datos

Este DPA permanecerá vigente mientras la Empresa procese Datos Personales del Cliente en nombre del Cliente bajo el Acuerdo. Tras la terminación o expiración del Acuerdo, la Empresa, a elección del Cliente, eliminará o devolverá todos los Datos Personales del Cliente al Cliente, a menos que la ley aplicable requiera el almacenamiento de los Datos Personales. El Cliente puede exportar sus datos del Servicio en cualquier momento durante la vigencia del Acuerdo.