3. PROCESAMIENTO DE DATOS PERSONALES
3.1. Alcance. El uso de la Plataforma por parte del Cliente y la relación de gestión del Cliente pueden implicar el Procesamiento de Datos del Cliente por parte de Globalization Partners como Procesador o Proveedor de Servicios en nombre del Cliente.
3.2. Instrucciones. Globalization Partners procesará los Datos del Cliente de acuerdo con las instrucciones documentadas del Cliente. El Cliente acepta que este Anexo, el Contrato Marco y el Anexo I adjunto en virtud del presente, comprenden las instrucciones completas del Cliente para los Globalization Partners con respecto al Procesamiento de Datos del Cliente. Cualquier instrucción adicional o alternativa debe acordarse entre las partes por escrito, incluidos los costos (si los hubiera) asociados con el cumplimiento de dichas instrucciones. Globalization Partners no es responsable de determinar si las instrucciones del Cliente cumplen con la ley aplicable. Sin embargo, si los Globalization Partners opinan que una instrucción del Cliente infringe las Leyes de Protección de Datos aplicables, los Globalization Partners notificarán al Cliente tan pronto como sea razonablemente posible y no estarán obligados a cumplir con dicha instrucción infractora.
3.3. Detalles del procesamiento. Los detalles del objeto del Procesamiento, su duración, naturaleza y propósito, y el tipo de Datos del Cliente y los interesados son los especificados en el Anexo I adjunto al presente.
3.4. Cumplimiento. El Cliente y los Globalization Partners aceptan cumplir con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos aplicables a los Datos del Cliente que se Procesan según se especifica en el Anexo I. El Cliente tiene la responsabilidad exclusiva de cumplir con las Leyes de Protección de Datos con respecto a la legalidad del Procesamiento de Datos del Cliente antes de divulgar, transferir o poner a disposición de otro modo cualquier Dato del Cliente a Globalization Partners. Para evitar dudas, en todos los casos, el Cliente obtendrá, cuando sea necesario, cualquier consentimiento de los Titulares de los datos para que los Globalization Partners procesen los Datos del cliente según lo indicado por el Cliente.
3.5. Subprocesadores. El Cliente autoriza a Globalization Partners a designar y utilizar Procesadores (“Subprocesadores”) para Procesar los Datos del Cliente en relación con los Servicios. Los subprocesadores pueden incluir a terceros o a cualquier miembro del grupo de compañías de Globalization Partners. Los Globalization Partners pueden continuar utilizando los Subprocesadores ya contratados por los Globalization Partners a la fecha de este Anexo, y hay una lista de dichos Subprocesadores disponible en el Anexo III adjunto en el presente. Cuando un Subprocesador no cumpla con sus obligaciones de protección de datos según lo especificado anteriormente, los Globalization Partners serán responsables ante el Cliente por el cumplimiento de las obligaciones del Subprocesador. Globalization Partners notificará al Cliente sobre cualquier cambio en su lista de Subprocesadores. Si, dentro de los 10 (diez) días posteriores a la recepción de esa notificación, el Cliente objeta legítimamente la adición o eliminación de un Subprocesador por motivos de protección de datos y Globalization Partners no puede acomodar razonablemente la objeción del Cliente, las partes analizarán las inquietudes del Cliente de buena fe con el fin de resolver el asunto.
3.6. Medidas de seguridad técnicas y organizativas. Teniendo en cuenta los estándares de la industria, los costos de implementación, la naturaleza, alcance, contexto y propósitos del Procesamiento, y cualquier otra circunstancia relevante relacionada con el Procesamiento de los Datos del Cliente dentro de la Plataforma, Los Globalization Partners implementarán medidas de seguridad técnicas y organizativas adecuadas para garantizar la seguridad, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento involucrados en el Procesamiento de los Datos del Cliente son proporcionales al riesgo con respecto a dichos Datos del Cliente. Globalization Partners (i) probará y monitoreará periódicamente la efectividad de sus salvaguardas, controles, sistemas y procedimientos e (ii) identificará riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de los Datos del Cliente, y garantizará que se aborden estos riesgos.
3.7. Confidencialidad. Globalization Partners se asegurará de que las personas autorizadas para acceder a los Datos del Cliente (i) se hayan comprometido con la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada y (ii) accedan a los Datos del Cliente solo siguiendo las instrucciones documentadas de Globalization Partners, a menos que así lo exija la ley aplicable.
3.8. Violación de datos personales. Los Globalization Partners notificarán al Cliente sin demora indebida después de tomar conocimiento de una Violación de Datos en relación con el Procesamiento de Datos del Cliente y harán todos los esfuerzos razonables para ayudar al Cliente a mitigar, cuando sea posible, los efectos adversos de cualquier Violación de Datos.
3.9. Transferencias internacionales. Globalization Partners está autorizado, en el curso normal de los negocios, a realizar transferencias mundiales de Datos del Cliente a sus filiales y/o Subprocesadores. Al realizar dichas transferencias, los Globalization Partners se asegurarán de que se implemente la protección adecuada para proteger los Datos del Cliente transferidos en virtud del Contrato Marco o en relación con este, de la siguiente manera:
-
3.9.1. Cuando Globalization transfiera Datos del Cliente a países fuera del EEE (que no estén sujetos a una decisión de adecuación en virtud de las Leyes de Privacidad), Globalization Partners firmará y cumplirá con sus obligaciones en virtud de los SCC de la UE, que se incorporan a este Anexo mediante esta referencia y se completan de la siguiente manera:
-
Se aplicará el módulo 2 (Controlador a Procesador) cuando el Cliente sea un Controlador de Datos Personales y Globalization Partners sea un Procesador de Datos Personales;
-
en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
-
en la Cláusula 9, la opción 2 se aplicará con 10 días;
-
en la Cláusula 11, el texto opcional no se aplicará;
-
en la Cláusula 12, cualquier reclamación presentada en virtud de los SCC de la UE estará sujeta a los términos y condiciones establecidos en el Acuerdo;
-
en la Cláusula 17, se aplicará la Opción 1, los SCC de la UE se regirán por la Ley irlandesa;
-
en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
-
El Anexo I de los SCC de la UE se considerará completado con la información establecida en el Anexo I de este Anexo;
-
El Anexo II de los SCC de la UE se considerará completado con la información establecida en el Anexo II de este Anexo; y
-
El Anexo III de los SCC de la UE se considerará completado con la información establecida en el Anexo III de este Anexo.
-
3.9.2. En relación con los Datos del Cliente que están protegidos por el RGPD del Reino Unido, las Partes tienen permitido legalmente confiar en los SCC de la UE para Transferencias Restringidas desde el Reino Unido, sujeto al Anexo del Reino Unido que se incorpora a este Anexo mediante esta referencia y se completa según se define en el Anexo IV adjunto al presente. Si esta sección 3.9.2 no se aplica, entonces Globalization Partners Exporting Company y el Cliente cooperarán de buena fe para implementar las salvaguardas adecuadas para la transferencia de dichos Datos personales según lo requerido o permitido por el RGPD del Reino Unido sin demora indebida.
-
3.9.3. Nada de lo contenido en las interpretaciones de esta Sección 3.9 pretende entrar en conflicto con los derechos o responsabilidades de cualquiera de las Partes en virtud de los SCC de la UE y/o el Anexo del Reino Unido y, en caso de conflicto, prevalecerán los SCC de la UE y/o el Anexo del Reino Unido, según corresponda.
3.10. Eliminación de datos personales. Tras la rescisión de los Servicios (por cualquier motivo) y si el Cliente lo solicita por escrito, Globalization Partners devolverá o eliminará, tan pronto como sea razonablemente posible, los Datos del Cliente almacenados en la Plataforma, a menos que la ley aplicable requiera el almacenamiento de los Datos del Cliente durante un período más prolongado. Para dicha retención, las disposiciones de este Anexo continuarán aplicándose a dichos Datos del Cliente.
3.11. Solicitudes del sujeto de datos. Globalization Partners informará de inmediato al Cliente sobre cualquier solicitud de los Sujetos de los datos con respecto a los Datos del Cliente. El Cliente es responsable de responder a dichas solicitudes. Globalization Partners asistirá razonablemente al Cliente para responder a dichas solicitudes del Titular de los datos en la medida en que el Cliente no pueda acceder a los Datos del cliente relevantes en su uso de la Plataforma.
3.12. Solicitudes de terceros. Si Globalization Partners recibe alguna solicitud de terceros o una orden de cualquier tribunal, tribunal, regulador u organismo gubernamental con jurisdicción competente a la que Globalization Partners esté sujeto en relación con el Procesamiento de Datos del Cliente en virtud del Contrato, Globalization Partners redirigirá la solicitud de inmediato al Cliente. Globalization Partners no responderá a dichas solicitudes sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo. Globalization Partners, a menos que esté legalmente prohibido, informará al Cliente antes de realizar cualquier divulgación de los Datos del Cliente y cooperará razonablemente con el Cliente para limitar el alcance de dicha divulgación a lo que se requiere legalmente.
3.13. Evaluación del impacto de la protección de datos y consulta previa. En la medida en que lo exijan las Leyes de Protección de Datos, los Globalization Partners proporcionarán asistencia razonable al Cliente para llevar a cabo una evaluación del impacto de la protección de datos en relación con el Procesamiento de Datos del Cliente realizado por los Globalization Partners y/o cualquier consulta(s) previa requerida con las autoridades de supervisión. Globalization Partners se reserva el derecho de cobrar al Cliente una tarifa razonable por la prestación de dicha asistencia.
3.14. Demostrar cumplimiento. Globalization Partners realiza auditorías externas regularmente sobre la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y controles de privacidad de la organización y proporcionará al Cliente una copia del informe de auditoría resumido más reciente o certificación previa solicitud por escrito. Si el Cliente prefiere realizar su propia auditoría además de las certificaciones o informes de terceros proporcionados, dicha auditoría se llevará a cabo: i) no más de una vez por cada período de 12 (doce) meses; ii) durante el horario comercial normal y sin interrumpir las actividades comerciales diarias de Globalization Partners; iii) con treinta (30) días de aviso previo por escrito; iv) a expensas exclusivas del Cliente (incluido el tiempo dedicado por el Socio de Globalización a asistir al Cliente durante la auditoría en función de la tarifa diaria de un gerente de seguridad); v) en función de parámetros y alcance acordados mutuamente, limitado al alcance específico de los servicios, sistemas en uso y/o actividades de procesamiento contempladas y específicas para el requisito real; vi) en función de la fecha de anticipación acordada mutuamente, sujeto a un aplazamiento razonable por parte del Cliente a solicitud razonable de Globalization Partners; y vii) de acuerdo con todas las obligaciones y restricciones de confidencialidad. Sin perjuicio de lo anterior, no se otorga ningún derecho de auditoría después de la rescisión del Contrato Marco, excepto por las obligaciones legales que tendrá que demostrar el Cliente. Cualquier representante externo seleccionado para realizar una auditoría en nombre del Cliente no debe tener un interés de propiedad o afiliación con una agencia de Servicios de EOR, una organización relacionada o un consultor.
3.15. Sin venta de información. Globalization Partners no derivará ni ejercerá ningún derecho o beneficio con respecto a los Datos personales, excepto según lo dispuesto en este Anexo. Para evitar dudas, los Globalization Partners no retendrán, usarán, compartirán ni divulgarán los Datos del Cliente para ningún fin que no sea el propósito específico de proporcionar la Plataforma al Cliente de acuerdo con el Contrato Marco. Globalization Partners no venderá ningún Dato personal, según se define el término “venta” en la CCPA. Globalization Partners declara y garantiza que comprende las reglas, los requisitos y las definiciones de la CCPA y acepta abstenerse de tomar cualquier medida que pueda hacer que cualquier transferencia de Datos personales hacia o desde Globalization Partners califique como “venta de información personal” en virtud de la CCPA.