Idioma de privacidad de MSA

 ANEXO DE PROTECCIÓN DE DATOS

El Cliente ha celebrado un Contrato Marco o un contrato con naturaleza y propósito similares (en adelante, el “Contrato Marco”) con G-P. La firma de dicho Contrato maestro puede implicar el Procesamiento de datos personales. El Cliente y G-P (en conjunto denominados las “Partes”) acuerdan que este Anexo de protección de datos (Data Protection Addendum, “DPA”) establece sus obligaciones con respecto al procesamiento y la seguridad de los Datos personales en relación con los Servicios prestados por G-P el Cliente en virtud del Contrato maestro y las Partes acuerdan estar obligadas por este DPA. Este DPA complementa los términos y condiciones del Contrato Marco y se incorpora en el mismo. En caso de conflicto entre este DPA y cualquier otro acuerdo entre las partes sobre las cuestiones establecidas en el presente, prevalecerá este DPA. Si el Cliente ya tiene un anexo de protección de datos firmado vigente con G-P, entonces ese acuerdo prevalecerá sobre este DPA, y este DPA no tendrá vigencia ni efecto, a menos que el Cliente y acuerden lo contrario por escrito G-P.

 

Mientras que:

1. Cuando G-P proporciona al Cliente servicios de Empleador de registros (Employer of Records, “EOR”), G-P asume el rol del empleador legal para cualquier persona seleccionada por el Cliente (“Profesionales”) que se contratará.
2. Con respecto a los Datos personales de dichos Profesionales, G-P es un Controlador durante el transcurso de la relación laboral.
3. Con respecto a los Datos personales de los Profesionales recopilados y utilizados por el Cliente para sus propios fines, el Cliente también es un Controlador con obligaciones de privacidad independientes.
4. Al prestar los servicios de EOR, se aplicará el intercambio de Datos personales de Profesionales entre G-P y el Cliente en virtud de una relación independiente de Controlador a Controlador y los términos de  Controlador a Controlador definidos en la sección 2 a continuación.
5. G-P también ofrece diversos productos de software como servicio a través G-Pde la plataforma de , (“GPP”), a través de la cual el Cliente G-P puede gestionar la relación con esos Profesionales.
6. Al proporcionar al Cliente acceso a GPP, G-P es el Procesador de los datos relacionados con la cuenta cargados al GPP por los Usuarios autorizados designados del Cliente de GPP y se aplicarán los términos de Controlador a Procesador definidos en la sección 3 a continuación.

 

G-P y el Cliente ha acordado lo siguiente:

 

1. DEFINICIONES

1.1.Los términos no definidos en el presente tienen los significados establecidos en el Contrato Marco. Las siguientes palabras en este DPA tienen los siguientes significados:

1.2. “Usuario autorizado” significa una persona autorizada por el Cliente que puede incluir a un empleado o contratista del Cliente, para acceder y utilizar el GPP en nombre del Cliente, de conformidad con la firma del Contrato maestro.

1.3. “Datos del Cliente” significa cualquier Dato Personal relacionado con cualquier Usuario Autorizado o persona física identificable que sea transferido, procesado o almacenado por el Cliente G-P en nombre del Cliente para el uso del GPP por parte del Cliente.

1.4. “ Leyes de protección de datos” significa cualquier ley de protección de datos y privacidad a la que esté sujeta una parte de este Acuerdo y que sea aplicable a los Servicios prestados, incluidos, cuando corresponda, el RGPD, el RGPD del Reino Unido, las Leyes suizas de protección de datos, las Leyes de privacidad de los EE. UU. (incluidas las leyes estatales y federales) y la LGPD de Brasil.

1.5. “RGPD” significa el Reglamento General de Protección de Datos (UE) 2016/679.

1.6. “GPP” se refiere al software de propiedad exclusiva G-Pde , lo que incluye, entre otros, el software, la versión móvil, cualquier software contenido en el mismo y cualquier dato puesto a disposición a través del uso del software de propiedad exclusiva G-Pde o de los servicios de terceros, incluidas sus actualizaciones, mejoras, plataforma como servicio y documentación.

1.7. “EEE” significa el Espacio Económico Europeo.

1.8. “LGPD” se refiere a la Ley n.o 13.709 de Brasil, la Ley General de Protección de Datos Personales, según pueda ser enmendada, sustituida o reemplazada.

1.9. “Master Agreemen t” se refiere al contrato celebrado entre el Cliente y G-P para la prestación de los Servicios.

1.10. “Política de privacidad” significa la política de privacidad G-Pde , según se actualice periódicamente, disponible en https://www.globalization-partners.com/privacy-policy/

1.11. “Datos de profesionales” se refiere a los Datos personales de profesionales procesados por G-P en el transcurso de su prestación de servicios de EOR al Cliente.

1.12. “Transferencia restringida” significa cualquier transferencia de Datos personales a un país fuera del EEE, el Reino Unido, Suiza o Brasil que no esté sujeta a una decisión de adecuación en virtud de las Leyes de protección de datos aplicables y, por lo tanto, requiera las protecciones adecuadas en virtud de las leyes de protección de datos aplicables.

1.13. “Servicios” se refiere G-P a los servicios que prestará el Cliente en virtud del Contrato Marco, que pueden incluir los servicios de EOR y el acceso y uso de GPP.

1.14. “Cláusulas contractuales estándar”  o  “SCC” significa (i) cuando se aplica el RGPD, las cláusulas contractuales estándar anexadas a la Decisión de Implementación (UE) 2021/914 de la Comisión Europea de cláusulas contractuales 4 junio de 2021 estándar para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, disponible en https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("SCC de la UE"); (ii) cuando se aplique el RGPD del Reino Unido, las cláusulas de protección de datos estándar aplicables adoptadas de conformidad con el Artículo 46(2)(c), o (d) cuando el RGPD del Reino Unido significa el Anexo de transferencia internacional de datos (“Anexo del Reino Unido”) a las Cláusulas contractuales estándar de la UE emitidas por la Oficina del Comisionado de Información en virtud de la Sección 119A(1) de la Ley de Protección de Datos 2018, como tal, el Anexo del Reino Unido puede revisarse en virtud de la Sección 18 (“SCC del Reino Unido”); (iii) cuando se apliquen las leyes

1.15. “Leyes suizas de protección de datos” o “FADP” significa (i) Ley Federal Suiza de Protección de Datos (de fecha junio 19, 1992, de 1 de marzo 2019) (“FDPA”); (ii) la  Ordenanza sobre la Ley Federal de Protección de Datos  (“FODP”); y (iii) cualquier ley nacional de protección de datos formulada en virtud de, de conformidad con, el reemplazo o la sucesión y cualquier legislación que reemplace o actualice cualquiera de las anteriores.

1.16. “Anexo del Reino Unido” significa el anexo de transferencia internacional de datos del Reino Unido a las Cláusulas Contractuales Estándar de la UE emitidas por el Comisionado de Información del Reino Unido.

1.17. “Leyes de Protección de Datos del Reino Unido” significa el RGPD tal como se guardó en la ley del Reino Unido en virtud de la sección 3 de la Ley 2019 de la Unión Europea (Retiro) del Reino Unido (“RGPD del Reino Unido”) y la Ley 2018 de Protección de Datos (en conjunto,  “Leyes de Protección de Datos del Reino Unido”).

1.18. “Leyes de privacidad de los EE. UU.” significa las leyes, órdenes, regulaciones y pautas regulatorias estatales de los Estados Unidos (EE. UU.) aplicables relacionadas con el Procesamiento de Datos personales, incluidos, entre otros: (a) la CCPA; (b) la Ley de Protección de Datos del Consumidor de Virginia; (c) la Ley de Privacidad de Colorado; (d) la Ley de Connecticut sobre Privacidad de Datos y Monitoreo en Línea; (e) la Ley de Privacidad del Consumidor de Utah; y (f) todas las leyes estatales similares.

1.19. "Controlador" "Sujeto de datos", "Datos personales", "Información personal", "Violación de datos", "Procesador", "Procesamiento/Procesamiento", "Transferencia restringida", "Proveedor de servicios" y/o cualquier otro término y concepto similar tendrán los significados definidos en las Leyes de protección de datos.

 

 

2. CONTROL DE DATOS PERSONALES

2.1. Funciones de las Partes. Cuando G-P opere como Controlador independiente, G-P cumplirá con sus obligaciones de Controlador en virtud de las Leyes de protección de datos al procesar Datos personales y procesará los Datos personales según se describe en la Política de privacidad G-Pde disponible en  https://www.globalization-partners.com/privacy-policy/. El Cliente cumplirá con sus obligaciones en virtud de las Leyes de Protección de Datos cuando procese Datos Personales como Controlador. En ningún caso las Partes procesarán Datos personales en virtud de este DPA como Controladores conjuntos.

2.2. Responsabilidades y reconocimientos. Cada Parte puede procesar Datos personales en virtud de este DPA con respecto a los Datos de profesionales como Controladores de datos independientes. Las Partes acuerdan cumplir con sus respectivas obligaciones y procesar cualquier DPA de manera justa y legal en cumplimiento con este DPA y todas las Leyes de Protección de Datos aplicables a las operaciones de Procesamiento de Datos Personales de dicha Parte. Cada Parte se asegurará de que su Procesamiento de Datos personales se limite al propósito del GPP proporcionado por G-P y se base en un fundamento legal para el procesamiento legal. Las Partes se ayudarán mutuamente en el cumplimiento de sus respectivas obligaciones en virtud de las Leyes de Protección de Datos, lo que incluye, entre otras cosas, ayudarse mutuamente si ocurre una Violación de Datos, respondiendo a las solicitudes de los Sujetos de Datos y/o reguladores. 

suizas de protección de datos, las cláusulas de protección de datos estándar aplicables emitidas, aprobado o reconocido por la Autoridad Federal de Protección de Datos y la Oficina del Comisionado de Información de Suiza (los “SCC suizos); donde se aplica la LGPD brasileña, las cláusulas contractuales  estándar aplicables, adjunto a la Resolución CD/ANPD N.o 19/2024 promulgada por la Autoridad Nacional de Protección de Datos (ANPD) brasileña, según se modifiquen ocasionalmente (“SCC de Brasil”).

 

3. PROCESAMIENTO DE DATOS PERSONALES

 

3.1. Alcance. El uso de GPP puede implicar el Procesamiento de Datos del Cliente por parte de G-P un Procesador o Proveedor de Servicios en nombre del Cliente.

3.2. Instrucciones. G-P procesará los Datos del Cliente de acuerdo con las instrucciones documentadas del Cliente.El  Cliente acepta que este DPA, el Acuerdo maestro, y el Anexo I adjunto en virtud del presente, comprender las instrucciones completas del Cliente G-P con respecto al Procesamiento de Datos del Cliente. Todas las instrucciones adicionales o alternativas deben acordarse entre las partes por escrito, incluidos los costos (si los hubiera) asociados con el cumplimiento de dichas instrucciones. El Cliente se asegurará de que sus instrucciones cumplan con las Leyes de Protección de Datos aplicables. El Cliente reconoce que no G-P es responsable de determinar qué leyes son aplicables a los negocios del Cliente. El Cliente se asegurará G-Pde que el procesamiento de los Datos del Cliente por parte de , cuando se realice de acuerdo con las instrucciones del Cliente, no provoque la violación G-P de ninguna ley aplicable, incluidas las Leyes de Protección de Datos aplicables. G-P Sin embargo, si G-P se considera que una instrucción del Cliente infringe las Leyes de Protección de Datos aplicables, G-P notificará al Cliente tan pronto como sea razonablemente posible y no se le exigirá que cumpla con dicha instrucción infractora.

3.3. Detalles del procesamiento. Los detalles del objeto del Procesamiento, su duración, naturaleza y propósito, y el tipo de Datos del Cliente y los interesados son los especificados en el Anexo I adjunto al presente. 

3.4. Cumplimiento. El Cliente y G-P acuerdan cumplir con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos aplicables a los Datos del Cliente que se Procesan según se especifica en el Anexo I. El Cliente tiene la responsabilidad exclusiva de cumplir con las Leyes de Protección de Datos con respecto a la legalidad del Procesamiento de Datos del Cliente antes de divulgar, transferir, o de otro modo poner a disposición, cualquier Dato del Cliente a G-P. Para evitar dudas, en todos los casos, El Cliente obtendrá, cuando sea necesario, cualquier consentimiento de los Sujetos de los datos G-P para procesar los Datos del cliente según lo indicado por el Cliente.

3.5. Subprocesadores. El Cliente autoriza G-P a designar y utilizar Procesadores (“Subprocesadores”) para Procesar los Datos del Cliente en relación con los Servicios.Los  Subprocesadores pueden incluir terceros o cualquier miembro del G-P grupo de compañías. G-P podrá continuar utilizando los Subprocesadores ya contratados a G-P la fecha de este DPA, y se encuentra disponible una lista de dichos Subprocesadores en el Anexo III adjunto en virtud del presente. Cuando un Subprocesador no cumpla con sus obligaciones de protección de datos según se especifica anteriormente, G-P será responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador. G-P notificará al Cliente sobre cualquier cambio en su lista de Subprocesadores a través de GPP. Si, dentro de los 10 (diez) días posteriores a la recepción de dicha notificación, el Cliente objeta legítimamente la adición o eliminación de un Subprocesador por motivos de protección de datos y G-P no puede acomodar razonablemente la objeción del Cliente, las partes analizarán las inquietudes del Cliente de buena fe con el fin de resolver el asunto.

3.6. Medidas de seguridad técnicas y organizativas. Teniendo en cuenta los estándares de la industria, los costos de implementación, la naturaleza, alcance, contexto y propósitos del Procesamiento, y cualquier otra circunstancia relevante relacionada con el Procesamiento de los Datos del Cliente, G-P implementará medidas de seguridad técnicas y organizativas adecuadas para garantizar la seguridad, confidencialidad, integridad, la disponibilidad y resiliencia de los sistemas y servicios de procesamiento involucrados en el Procesamiento de los Datos del Cliente son proporcionales al riesgo con respecto a dichos Datos del Cliente; según se detalla en el Anexo II adjunto al presente. G-P periódicamente (i) probará y monitoreará la efectividad de sus medidas de seguridad, controles, sistemas y procedimientos e (ii) identificar riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de los Datos del Cliente, y garantizar que se aborden estos riesgos.

3.7. Confidencialidad. G-P garantizará que las personas autorizadas para acceder a los Datos del Cliente (i) se hayan comprometido con la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada y (ii) accedan a los Datos del Cliente solo siguiendo instrucciones documentadas de G-P, a menos que así lo exija la ley aplicable.

3.8. Violación de datos personales. G-P notificará al Cliente sin demora indebida después de tomar conocimiento de una Violación de datos en relación con el Procesamiento de datos del Cliente y hará todos los esfuerzos razonables para ayudar al Cliente a mitigar, cuando sea posible, los efectos adversos de cualquier Violación de datos.

3.9. Eliminación de Datos personales. Al finalizar los Servicios (por cualquier motivo), lo antes posible, G-P devolverá o eliminará los Datos del cliente almacenados en el GPP, a menos que la ley aplicable exija el almacenamiento de los Datos del cliente durante un período más prolongado. Para dicha retención, las disposiciones de este DPA continuarán aplicándose a dichos Datos del Cliente.

3.10.Solicitudes del Sujeto de los  Datos. G-P informará de inmediato al Cliente sobre cualquier solicitud del Sujeto de los Datos con respecto a los Datos del Cliente. El Cliente es responsable de responder a dichas solicitudes. G-P asistirá razonablemente al Cliente para responder a dichas solicitudes del Sujeto de datos en la medida en que el Cliente no pueda acceder a los Datos del cliente relevantes en su uso del GPP.

3.11. Solicitudes de terceros. Si G-P recibe alguna solicitud de terceros o una orden de cualquier tribunal, tribunal, regulador u organismo gubernamental con jurisdicción competente a la que G-P esté sujeto el Procesamiento de Datos del Cliente en virtud del Acuerdo, G-P redirigirá de inmediato la solicitud al Cliente. G-P no responderá a dichas solicitudes sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo. G-P a menos que esté legalmente prohibido hacerlo, informará al Cliente antes de realizar cualquier divulgación de los Datos del Cliente y cooperará razonablemente con el Cliente para limitar el alcance de dicha divulgación a lo que se requiere legalmente. 

3.12.Evaluación del impacto de la protección de  datos y consulta previa. En la medida en que lo exijan las Leyes de Protección de Datos, G-P proporcionará asistencia razonable al Cliente para llevar a cabo una evaluación del impacto de la protección de datos en relación con el Procesamiento de Datos del Cliente realizado por G-P y/o cualquier consulta(s) previa requerida con las autoridades de supervisión. G-P se reserva el derecho de cobrar al Cliente una tarifa razonable por la prestación de dicha asistencia.

3.13. Auditoría.El  Cliente puede auditar el G-P cumplimiento de esta DPA y las Leyes de Protección de Datos solicitando un certificado emitido para la verificación de seguridad que refleje el resultado de una auditoría realizada por un auditor externo (p. ej., certificación ISO27001 , certificado SOC2 ), dentro de los doce (12) meses a partir de la fecha de solicitud del Cliente. Alternativamente, en caso de que la documentación proporcionada sujeta a esta Sección 3.13 no sea suficiente con el fin de demostrar el cumplimiento, el Cliente puede realizar su propia auditoría además de las certificaciones o informes de terceros proporcionados, siempre que dicha auditoría se  realice: i) no más de una vez por cada período de 12 (doce) meses; ii) durante el horario comercial normal y sin interrumpir G-Plas actividades comerciales diarias; iii) con treinta (30) días de anticipación; iv) a expensas exclusivas del Cliente; v) en función de parámetros y alcance acordados mutuamente, limitado al alcance específico de los servicios, sistemas en uso y/o actividades de procesamiento contempladas en el presente; vi) en función de la fecha de anticipación acordada mutuamente, sujeto a un aplazamiento razonable por parte G-Pdel Cliente a solicitud razonable; y vii) de acuerdo con todas las obligaciones y restricciones de confidencialidad. Sin perjuicio de lo anterior, no se otorga ningún derecho de auditoría después de la rescisión del Contrato Marco, excepto por las obligaciones legales que tendrá que demostrar el Cliente. Cualquier representante externo seleccionado para realizar una auditoría en nombre del Cliente no debe tener un interés de propiedad o afiliación con una compañía de servicios, agencia, organización relacionada o consultor de la EOR. Nada de lo contenido en este DPA requerirá G-P divulgarlo al Cliente o a su auditor externo, o para permitir que el Cliente o su auditor externo accedan a: (i) cualquier dato de cualquier otro G-Pcliente de ; (ii) G-Pinformación contable o financiera interna de ; (iii) cualquier secreto comercial de G-P o sus filiales; (iv) cualquier información que, en G-Pla opinión razonable de , podría comprometer la seguridad de cualquier sistema G-Pde o causar cualquier incumplimiento de sus obligaciones en virtud de la ley aplicable o sus obligaciones de seguridad o privacidad con cualquier tercero; o (v) cualquier información a la que el Cliente o su auditor externo busque acceder por cualquier motivo que no sea el cumplimiento de buena fe de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos.

3.14. Leyes de privacidad de los EE. UU. En virtud de esta sección 3 (“Tratamiento de Datos Personales”), las Partes acuerdan que G-P es un “Proveedor de Servicios” o “Procesador”, según se definen dichos términos en virtud de las Leyes de Privacidad de los EE. UU. aplicables. En consecuencia, en la medida en que las leyes de privacidad de los EE. UU. se apliquen al procesamiento de datos del cliente por parte de G-P, G-P no (a) retendrá, uso, o divulgar cualquier Dato del Cliente fuera de la relación comercial directa entre G-P y el Cliente, o para cualquier otro propósito que no sea el establecido en el Anexo I adjunto al presente, y solo G-P procesará los Datos del Cliente solo mientras preste servicios al Cliente; (b) vender Datos del Cliente; (c) compartir cualquier Dato del Cliente; o (d) combinar los Datos del Cliente que G-P recibe de, o en nombre de, Cliente con “datos personales” (según se define dicho término o equivalente en virtud de las Leyes de protección de datos aplicables) que recibe de, o en nombre de, otra persona, o recopila de su propia interacción con un consumidor, siempre que G-P pueda combinar Datos del Cliente si se encuentran dentro del alcance de la prestación de los servicios al Cliente. Cuando corresponda, cada Parte notificará a la otra parte si determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de Privacidad de los EE. UU.

 

 

4. Transferencias internacionales de datos

4.1. Protección adecuada. G-P está autorizado, en el curso normal de los negocios, a realizar transferencias mundiales de Datos del Cliente a sus filiales y/o Subprocesadores. Al realizar dichas transferencias a un territorio que no ha sido reconocido por las autoridades de protección de datos pertinentes como que proporciona un nivel adecuado de protección de Datos Personales de acuerdo con las Leyes de Protección de Datos, G-P se asegurará de que exista la protección adecuada para proteger los Datos del Cliente transferidos en virtud del Contrato Marco o en relación con este.

4.2. Marco de privacidad de datos. Los datos de profesionales y clientes se almacenan en GPP que se aloja en los EE. UU. y G-P está certificado en virtud de la Marco de privacidad de datos (UE-EE. UU. DPF) y, según corresponda, la extensión del Reino Unido a la UE-EE. UU. DPF y el DPF suizo-estadounidense Marco de privacidad de datos (Suizo-EE. UU. DPF). G-PLa certificación de puede confirmarse públicamente en el sitio web del  DPFhttps://www.dataprivacyframework.gov/list. La UE-EE. UU. El Marco de privacidad de datos fue considerado adecuado por la Comisión Europea, siendo un mecanismo legal de transferencia de datos de conformidad con el Artículo 45 del RGPD, el RGPD del Reino Unido y el FADP, respectivamente. Si el/los Marco(s) del DPF se invalidan, suspenden o ya no se reconoce que proporcionan protección adecuada para transferencias internacionales de datos, el Procesador acepta celebrar y cumplir con los SCC emitidos o aprobados por la Comisión Europea, la Oficina del Comisionado de Información (Information Commissioner’s Office, ICO) del Reino Unido o el Comisionado Federal de Protección e Información de Datos (Federal Data Protection and Information Commissioner, FDPIC) suizo, según corresponda. Las partes cooperarán de buena fe para implementar cualquier medida complementaria requerida para garantizar un nivel esencialmente equivalente de protección para los datos transferidos.

4.3. Cláusulas contractuales estándar. Las partes acuerdan que cuando la transferencia de datos personales del Cliente (como "exportador de datos") a G-P (como "importador de datos") sea una Transferencia Restringida y las Leyes de Protección de Datos aplicables exijan que se implementen las salvaguardas adecuadas, dicha transferencia estará sujeta a las Cláusulas Contractuales Estándar correspondientes, que se considerarán incorporadas y formarán parte de este DPA, de la siguiente manera:

1. En relación con las transferencias de Datos personales  que estén protegidos por el RGPD, se aplicarán los SCC de la UE, que se completarán de la siguiente manera:

1. Se aplicarán los Módulos uno y dos;
2. en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
3. en la Cláusula 9 del Módulo Dos, se aplicará la Opción 2 , y el período de tiempo para la notificación previa de los cambios del Subprocesador será el establecido en la sección 3.5 de este DPA;
4. en la Cláusula 11, el texto opcional no se aplicará;
5. en la Cláusula 12, cualquier reclamación presentada en virtud de los SCC de la UE estará sujeta a los términos y condiciones establecidos en el Contrato Marco;
6. en la Cláusula 17, se aplicará la Opción 1, y los SCC de la UE se regirán por la ley irlandesa;
7. en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
8. El Anexo I de los SCC de la UE se considerará completado con la información establecida en el Anexo 1 de este DPA; y
9. El Anexo II de los SCC de la UE se considerará completado con la información establecida en el Anexo 2 de este DPA.
10. El Anexo III del Módulo Dos de los SCC de la UE se considerará completado con la información establecida en el Anexo 3 de este DPA.

b. En relación con las transferencias de datos personales protegidos por las Leyes de Protección de Datos del Reino Unido o las Leyes de Protección de Datos de Suiza, los SCC de la UE según se implementan en virtud de los subpárrafos (a) anteriores se aplicarán con las siguientes modificaciones:

1. las referencias a la “Regulación (UE) 2016/679” se interpretarán como referencias a las Leyes de Protección de Datos del Reino Unido o las Leyes de Protección de Datos de Suiza (según corresponda);
2. las referencias a artículos específicos de “Reglamento (UE) 2016/679” se reemplazarán con el artículo o sección equivalente de las Leyes de Protección de Datos del Reino Unido o las Leyes de Protección de Datos de Suiza (según corresponda);
3. las referencias a “UE”, “Sindicato”, “Estado miembro” y “Ley de Estado miembro” se reemplazarán por referencias a “Reino Unido” o “Suiza”, o “Ley del Reino Unido” o “Ley suiza” (según corresponda);
4. el término “estado miembro” no se interpretará de manera tal que excluya a los interesados en el Reino Unido o Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (es decir, el Reino Unido o Suiza);
5. La Cláusula 13(a) y la Parte C del Anexo I no se utilizan y la “autoridad supervisora competente” es el Comisionado de Información del Reino Unido o el Comisionado Federal de Protección de Datos de Suiza (según corresponda);
6. las referencias a la “autoridad supervisora competente” y a los “tribunales competentes” se reemplazarán con referencias al “Comisionado de Información” y a los “tribunales de Inglaterra y Gales” o al “Comisionado Federal Suizo de Información de Protección de Datos” y a los “tribunales aplicables de Suiza” (según corresponda);
7. en la Cláusula 17, las Cláusulas Contractuales Estándar se regirán por las leyes de Inglaterra y Gales o Suiza (según corresponda); y
8. con respecto a las transferencias a las que se aplican las Leyes de Protección de Datos del Reino Unido, la Cláusula 18 se enmendará para indicar “Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado puede entablar un procedimiento legal contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales”, y con respecto a las transferencias a las que se aplican las Leyes de Protección de Datos de Suiza, la Cláusula 18(b) establecerá que las disputas se resolverán ante los tribunales aplicables de Suiza.
9. En relación con los datos que están protegidos por el RGPD del Reino Unido, los SCC de la UE se aplicarán de la siguiente manera: (i) se aplicarán según lo completado de acuerdo con los párrafos (i) a (viii) anteriores; y (ii) se considerarán enmendados según lo especificado por la Parte 2 del Anexo del Reino Unido, que se considerará incorporado y formará parte integral de este DPA. Además, las tablas 1 a 3 en la Parte 1 del Anexo del Reino Unido se completarán respectivamente con la información establecida en el Anexo I y el Anexo II de este DPA y la tabla 4 en la Parte 1 del Anexo del Reino Unido se considerará completada seleccionando “ninguna de las partes”.

c. En relación con las transferencias de datos personales protegidos por la LGPD de Brasil, ya sea directamente o mediante transferencia posterior, a un país fuera de Brasil que no esté sujeto a una decisión de adecuación emitida por la ANPD, los SCC de Brasil se considerarán celebrados e incorporados en esta DPA por esta referencia, y se completarán de la siguiente manera:

1. La Cláusula 2 de los SCC de Brasil se satisface con la información establecida en el Anexo I, que describe la transferencia de datos;
2. En la Cláusula 3 de los SCC de Brasil, se aplicará la Opción B, con transferencias posteriores permitidas de acuerdo con la Sección 3.5 (“Subprocesadores”) de este DPA. El objeto, la naturaleza y la duración del procesamiento se establecen en el Anexo I de este DPA.
3. La Cláusula 4 de los SCC de Brasil se satisface con la información establecida en el Anexo I de este DPA. Cuando G-P sea un Controlador, será la “Parte designada”, según se define en los SCC de Brasil, y a los fines de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos del sujeto de datos) y la Cláusula 16 (Informe de incidentes) de los SCC de Brasil. El Cliente sigue siendo responsable del cumplimiento de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos del Sujeto de los Datos) y la Cláusula 16 Informe de Incidentes) de los SCC de Brasil para cualquier dato personal del que de otro modo podría ser Controlador;
4. En la Cláusula 9 de los SCC de Brasil, no se aplicará la cláusula de acoplamiento opcional; y
5. La Sección III (Medidas de seguridad) de los SCC de Brasil se considerará completada con la información establecida en el Anexo II de este DPA.

 

Anexo I

Descripción del procesamiento de datos

 

Partes	Exportador de datos: entidad cliente que ejecuta el Acuerdo maestro Importador de datos: G-P entidad que ejecuta el Acuerdo maestro.
Detalles de contacto de las partes	Detalles de contacto según se establece en el Acuerdo maestro.
Actividades relevantes para los datos transferidos	Actividades relacionadas con los Servicios de EOR y el uso del GPP proporcionado al Cliente como servicio.
Actividades de procesamiento	Los Datos personales procesados/transferidos pueden estar sujetos a las siguientes actividades de procesamiento: cualquier operación con respecto a los Datos personales independientemente de los medios aplicados y los procedimientos, en particular la recopilación, organización, almacenamiento, retención, uso, recuperación, consulta, archivo, transmisión, bloqueo, borrado o destrucción de datos, la operación y el mantenimiento de sistemas, cumplimiento, funciones legales y de auditoría.
Duración del procesamiento	G-P procesará los Datos del Cliente durante la duración del Contrato Marco y de forma continua.
Naturaleza y propósito del procesamiento	El Cliente puede transferir Datos del Cliente a G-P, cuyo alcance es determinado y controlado por el Cliente a su entera discreción. El Propósito del procesamiento es prestar los Servicios de acuerdo con el Contrato Marco.
Categorías de sujetos de datos	a) Los Datos personales intercambiados por las Partes como Controladores independientes con respecto a los Datos personales de los Profesionales. b) Los Datos del Cliente procesados por G-P como procesador de Datos se refieren a los Usuarios autorizados del GPP que pueden incluir a los empleados y/o contratistas del Cliente.
Tipos de datos personales	· Datos de contacto (como número de teléfono y correo electrónico). · Datos de empleados/contratistas (como cargo y nombre de la compañía). · Usar datos (como datos sobre el dispositivo del Usuario autorizado y cómo dicho dispositivo interactúa con el GPP). · Datos de ubicación (como ubicación derivada de la dirección IP). · Datos de contenido (como el contenido de los archivos del Cliente con respecto a los Profesionales y las comunicaciones relacionadas). · Credenciales (como contraseñas, sugerencias de contraseñas e información de seguridad similar utilizada para la autenticación y el acceso de la cuenta al GPP). · Cualquier dato personal suministrado por usuarios autorizados.
Categorías especiales de datos (si corresponde)	N/C
Retención	Los Datos personales se conservarán al menos durante el tiempo que cualquier período de retención mínimo exigido por la ley aplicable, que sea coherente con los estatutos de limitaciones aplicables y cumpla con las buenas prácticas comerciales.
Autoridad de supervisión competente	La Comisión Irlandesa de Protección de Datos
Transferencias a subprocesadores	Para las transferencias a procesadores, el asunto, la naturaleza y la duración del procesamiento son los mismos que los definidos anteriormente.
G-P Detalles de contacto de privacidad	privacidad@G-P.com Atención: Oficina de Privacidad Global.

 

 

Anexo II

Medidas técnicas y organizativas

 

G-P ha sido certificado y certificado por auditores independientes para confirmar el cumplimiento de las normas SOC 2 e ISO 27001 . Dichas certificaciones demuestran nuestro compromiso de proteger los Datos del Cliente. G-PEl programa de seguridad de está diseñado para:

• Proteger la confidencialidad, integridad y disponibilidad de los Datos del Cliente en posesión G-Pde o a los que G-P tenga acceso.
• Proteger contra cualquier amenaza anticipada o peligro para la confidencialidad, integridad y disponibilidad de los Datos del Cliente;
• Proteger contra el acceso, uso, divulgación, alteración o destrucción no autorizados o ilegales de los Datos del Cliente.
• Proteger contra la pérdida o destrucción accidental de, o daño a, los Datos del Cliente; y
• Proteja la información según se establece en cualquier reglamentación por la cual G-P pueda estar regulada.

 

A continuación se describen las funciones, procesos, controles, sistemas, procedimientos y medidas que G-P se han tomado para garantizar la seguridad del Procesamiento de Datos del Cliente:

1) MEDIDAS TÉCNICAS PARA GARANTIZAR LA PRIVACIDAD Y PROTECCIÓN DE LOS DATOS 

1. Privacidad por diseño e incumplimiento: G-P toma en cuenta los requisitos del artículo 25 del RGPD en la fase de concepción y desarrollo del desarrollo del producto. Los procesos y las funcionalidades se establecen de manera tal que los principios de protección de datos, como legalidad, transparencia, limitación de propósitos, minimización de datos, etc., así como la seguridad del procesamiento, se consideren en una etapa temprana.

2. Cifrado de datos personales: garantizar que los datos personales solo se almacenen en el sistema de una manera que no permita que terceros identifiquen al interesado.

   1. Cifrado de la base de datos y almacenamiento: en todas las bases de datos utilizadas por G-P un cifrado "en reposo" de acuerdo con la última tecnología, se utiliza para que los datos de la base de datos solo puedan leerse después de la autenticación adecuada en el sistema de base de datos respectivo.

   2. Cifrado de medios de datos móviles: no se permite el uso de portadores de datos móviles para almacenar datos de clientes.

   3. Cifrado de portadores de datos en computadoras portátiles: se instala un cifrado adecuado de disco duro de última generación en las computadoras portátiles de todos los empleados.

   4. Intercambio cifrado de información y archivos: en principio, el intercambio de información y archivos se cifra directamente a través de una aplicación especial. Si los datos personales o la información confidencial deben transferirse a servidores que no pueden enviarse a través de cargas HTTPS cifradas por TLS, estos se transferirán mediante el Protocolo de Transferencia Segura de Archivos (SFTP), el servicio de sobres cifrados u otro mecanismo cifrado de acuerdo con el estado de la tecnología.

   5. Cifrado de correo electrónico: en principio, todos los correos electrónicos enviados por empleados de G-P están cifrados con TLS. Las excepciones pueden ser si el servidor de correo receptor no es compatible con TLS. El Cliente se asegurará de que los servidores de correo correspondientes utilizados dentro del alcance del pedido admitan el cifrado TLS.

3. Control de admisión: Los controles de admisión están destinados e implementados para evitar el uso y el procesamiento de datos protegidos por las leyes de protección de datos por personas no autorizadas.

   1. Uso de métodos de autenticación:El  acceso a los datos personales siempre se realiza a través de protocolos cifrados: SSH, SSL/TLS, HTTPS o protocolos comparables. Procedimiento de autenticación para el sistema de TI: inicio de sesión de autenticación multifactor en el sistema de TI.

   2. Bloqueo automático en caso de inactividad: computadoras portátiles utilizadas por G-P los empleados bloqueadas con contraseña o protección con PIN cuando el usuario no las utiliza. Además, se configura un bloqueo de pantalla automático con protección con contraseña después de 15 minutos de inactividad.

   3. Uso de software antivirus: Las computadoras portátiles utilizadas por G-P los empleados están equipadas con software antivirus de última generación que se mantiene actualizado en todos los sistemas de TI operativos o comerciales. Como principio, no se pueden operar computadoras sin protección contra virus residentes, a menos que se hayan tomado otras medidas de seguridad de última generación equivalentes o que no haya riesgo. La configuración de seguridad predeterminada no debe desactivarse ni eludirse.

   4. "Política de escritorio limpio":Se indica a los  empleados de que no G-P impriman ni almacenen localmente datos personales de los interesados, que no dejen materiales de trabajo en un lugar donde puedan ser vistos por terceros y que almacenen todos los materiales de trabajo de manera adecuada. Los documentos que G-P la ley exige conservar en papel se almacenan en gabinetes cerrados con llave.

4. Controles de acceso dentro de la plataforma: los controles de acceso garantizan que las personas autorizadas para usar un sistema de procesamiento tengan acceso solo a los datos personales cubiertos por su autorización de acceso.

   1. Funciones y autorización

      1. Plataforma de funciones y autorización – Acceso del cliente: los usuarios del cliente pueden ver y editar la información de la cuenta del cliente.

      2. Plataforma de funciones y autorización – Acceso profesional: los usuarios profesionales pueden ver y editar su propia información profesional. Los profesionales también pueden obtener la función de acceso del cliente si lo requieren + aprobación

      3. Plataforma de funciones y autorización – Acceso interno: Los usuarios de acceso interno tienen funciones variadas. Tienen acceso variado para crear, ver, editar y aprobar lo siguiente:

         • Información del cliente

         • Información de facturación

         • Información del socio

         • El personal profesional registra información

      4. El acceso al sistema de administración generalmente se limita a empleados capacitados en las áreas de soporte al cliente y desarrollo de productos.

5. Firewall como servicio: G-P utiliza un firewall externo como servicio que le permite otorgar o bloquear el acceso a sitios web para asegurarse de que los sistemas no puedan acceder a contenido malicioso y restringir el acceso a contenido inapropiado.

6. Registro de inicio de sesión en la plataforma: G-P mantiene un registro de toda la actividad de inicio de sesión.

7. Separabilidad: garantizar que los datos personales recopilados para diferentes fines puedan procesarse por separado y se separen de otros datos y sistemas de manera tal que se excluya el uso no planificado de estos datos para otros fines.

   1. Separación de entornos de desarrollo, prueba y operación: los datos del entorno operativo solo pueden transferirse a entornos de prueba o desarrollo si se han hecho completamente anónimos antes de la transferencia. La transferencia de los datos anonimizados debe estar cifrada o a través de una red confiable. El software que se transferirá al entorno operativo primero debe probarse en un entorno de prueba idéntico (“estadificación”). Los programas para el análisis de errores o la creación/compilación de software solo pueden utilizarse en el entorno operativo si esto no puede evitarse. Este es especialmente el caso si las situaciones de error dependen de datos que se falsificarían debido a los requisitos de anonimización al transferir a entornos de prueba.

   2. Separación en redes: G-P separa sus redes de acuerdo con las tareas. Las siguientes redes se utilizan de forma permanente: entorno operativo (“Producción”), entorno de prueba (“Etapa”, “Sandbox”), entorno de desarrollo (“Desarrollador”), personal de TI de la oficina. Además de estas redes, se crean redes adicionales separadas según sea necesario, por ejemplo, para pruebas de restauración y pruebas de penetración. Dependiendo de las posibilidades técnicas, las redes se separan físicamente o por medio de redes virtuales.

8. Control de disponibilidad : toma las siguientes medidas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental. G-P

   1. Procedimientos/respaldo de protección de datos: para garantizar una disponibilidad adecuada, G-P implementa instantáneas diarias de su base de datos con replicación en una región diferente. También se toman medidas para garantizar que los empleados con necesidad de revisar datos en función del trabajo tengan acceso solo a conjuntos de datos de réplica.

   2. Georedundancia con respecto a la infraestructura del servidor de datos productivos y copias de seguridad

   3. Gestión de incidentes de TI (“Gestión de respuesta a incidentes”): existe un concepto y procedimientos documentados para manejar incidentes y eventos relevantes para la seguridad. Esto incluye la planificación y preparación de la respuesta a incidentes, los procedimientos para monitorear, detectar y analizar eventos relevantes para la seguridad y la definición de las responsabilidades correspondientes y los canales de informe en caso de una violación de la protección de datos personales dentro del marco de los requisitos legales.

2) MEDIDAS ORGANIZATIVAS PARA GARANTIZAR LA PRIVACIDAD Y PROTECCIÓN DE LOS DATOS

G-P ha implementado las siguientes medidas organizativas para garantizar que la organización opere de una manera que cumpla con los requisitos de privacidad y protección de datos.

1. Instrucciones organizativas: G-P ha desarrollado y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y pautas que los empleados deben seguir. La documentación incluye cómo identificar y gestionar los problemas de privacidad de los datos, las mejores prácticas para garantizar el cumplimiento de la privacidad y las políticas para abordar los incidentes de privacidad.
2. Compromiso con la confidencialidad y la protección de datos: G-P ha desarrollado y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y pautas que los empleados deben seguir. Todos los empleados y contratistas están obligados por escrito a la confidencialidad y protección de datos, así como a otras leyes relevantes. Todos los empleados reciben capacitación sobre privacidad y seguridad. Las auditorías internas sobre la protección de datos y la seguridad de la información se realizan regularmente. Las auditorías se llevan a cabo sobre la base de criterios/esquemas de prueba comunes. Se instruye a los empleados y contratistas de que G-P procesen datos personales solo por motivos legales, de conformidad con los contratos aplicables con el cliente y el profesional, teniendo en cuenta debidamente cualquier consentimiento expreso otorgado o retenido por el interesado, y de conformidad con cualquier deber legal de la organización.
3. Capacitación sobre protección de datos: todos los empleados reciben capacitación sobre privacidad y seguridad que permanece disponible para su revisión en cualquier momento en la plataforma de G-P capacitación.
4. Controles de acceso físico: G-P cuenta con los siguientes controles físicos para denegar el acceso de personas no autorizadas a los equipos de sistemas de TI utilizados para el procesamiento.
   1. Protección electrónica de puertas: Las puertas de entrada a las instalaciones de las G-P oficinas siempre están cerradas y aseguradas electrónicamente. Las puertas se abren a través de un transpondedor electrónico personal.
   2. Distribución controlada de llaves: Se G-P lleva a cabo una asignación central y documentada de llaves a los empleados de . Estos transpondedores/claves electrónicos podrían ser desactivados centralmente por cada gerente de oficina o el departamento de Recursos Humanos.
   3. Supervisión y acompañamiento de personas externas: Los proveedores de servicios externos y otros terceros solo pueden tener acceso a las instalaciones mediante autorización previa o cuando estén acompañados por un empleado de G-P. G-P aplica su Política de visitantes por escrito cuando se invita a los visitantes a las instalaciones.
   4. Protección de instalaciones con mayor necesidad de protección: Las instalaciones o gabinetes con mayores requisitos de protección, como oficinas legales y ciertas ubicaciones de Operaciones, están equipados con gabinetes y cajones con cerradura. Los gabinetes y cajones donde se conservan documentos legales, contratos y documentación confidencial deben cerrarse con llave en todo momento, excepto cuando estén en uso.
   5. Puertas y ventanas cerradas: se indica a los empleados que mantengan las ventanas y puertas cerradas o cerradas con llave fuera del horario de atención.
5. Recuperabilidad: G-P garantiza que los sistemas en uso puedan restaurarse en caso de falla física o técnica.

   1. Pruebas regulares de recuperación de datos ("Pruebas de restauración"): se llevan a cabo pruebas regulares de restauración completa para garantizar la recuperación en caso de emergencia/desastre.

   2. Plan de emergencia (“Concepto de recuperación ante desastres”): existe un concepto para el tratamiento de emergencias/desastres y un plan de emergencia correspondiente. G-P garantiza la recuperación de todos los sistemas sobre la base de las copias de seguridad de datos, generalmente dentro de las 48 horas.

   3. Medidas de revisión y evaluación: presentación de los procedimientos para la revisión, evaluación y valoración periódicas de la efectividad de las medidas técnicas y organizativas.

6. Equipo de privacidad: La organización tiene una Oficina Global de Privacidad de Datos encargada de planificar, implementar, evaluar y adaptar medidas en el campo de la protección de datos.

7. Gestión de riesgos: Existe un proceso para analizar, evaluar y asignar riesgos y para derivar medidas sobre la base de estos riesgos.

3) REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN

1. Realización de auditorías: Las auditorías internas sobre protección de datos y seguridad de la información se realizan regularmente. Las auditorías se llevan a cabo sobre la base de criterios/esquemas de prueba comunes.
2. Revisión del cumplimiento de las políticas y normas de seguridad: el cumplimiento de las pautas, normas y otros requisitos de seguridad aplicables para el procesamiento de datos personales se verifica regularmente. Cuando sea posible, estas verificaciones se llevan a cabo de manera aleatoria e inesperada.
3. Verificación del cumplimiento de las especificaciones técnicas: el departamento de TI u otro personal calificado realizan análisis de vulnerabilidades manuales y automatizados regulares para verificar la seguridad de las aplicaciones y la infraestructura, así como el desarrollo regular del producto. Un proveedor de servicios externo lleva a cabo pruebas de penetración detalladas para examinar específicamente las aplicaciones y la infraestructura en busca de vulnerabilidades.
4. Procesamiento según las instrucciones: Se indica a los empleados de que G-P procesen datos personales solo por motivos legales, de conformidad con los contratos aplicables con el cliente y el profesional, con la debida consideración de cualquier consentimiento expreso otorgado o retenido por el interesado, y de conformidad con cualquier deber legal de la organización.
5. Selección cuidadosa de proveedores: se G-P adhiere a su Proceso de precalificación de proveedores al seleccionar proveedores que puedan encontrar datos protegidos. Este proceso incluye comentarios de los Departamentos de Finanzas y Legal/Privacidad e incorpora la evaluación de riesgos, la precalificación de seguridad y los pasos de certificación de documentación. Los proveedores que procesarán datos protegidos deberán demostrar su cumplimiento de las leyes de privacidad de datos aplicables, incluido el artículo 28 GDPR para los datos cubiertos.

 

Anexo III 

Lista de subprocesadores

 

Subprocesador	Ubicación e información de contacto	Descripción del procesamiento
G-P subsidiarias	https://www.globalization- partners.com/contact-us/	Proporcionar la Plataforma y la gestión de relaciones con el Cliente
Acumatica	3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, EE. UU.	Servicios financieros
Amazon  WebService	P.O. Box 81226 Seattle, WA 98108-1226, EE. UU.	Alojamiento: proveedor de servicios en la nube
Microsoft	Microsoft Corporation One Microsoft Way Redmond, Washington 98052 EE. UU. Teléfono: (+1) 425-882-8080.	Soporte de procesos comerciales para comunicaciones (correo electrónico) y gestión de servicios
Atlasiano	350 Bush Street Piso 13 San Francisco, CA 94104, EE. UU. +1 415 701 1110	Soporte de procesos comerciales para la gestión de servicios
DocuSign	DocuSign International (EMEA) Ltd, Atención: Equipo de Privacidad, 5 Hanover Quay, Planta baja, Dublín2, República de Irlanda	Gestión de documentos
Salesforce.com	Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, EE. UU. 1-800-387-3285	Soporte de procesos comerciales para la gestión de relaciones con el cliente (CRM)
Zendesk	989 Market St San Francisco, CA 94103, EE. UU. zendesk.com 888-670-4887	Consultas del servicio de asistencia para el servicio de atención al cliente
Workday	6110 Stoneridge Mall Road Pleasanton, CA 94588, EE. UU.	Soporte de procesos comerciales para gestionar la nómina, los beneficios, RR. HH. y los datos de los empleados.
Servicio ahora	2225 Lawson Lane Santa Clara, CA, 95054 EE. UU.	Soporte de procesos empresariales para la gestión de servicios y operaciones de TI, las experiencias de los empleados y clientes a través de (flujo de trabajo automatizado basado en la nube)
Ladrillos de datos	160 Spear Street, 15th Floor San Francisco, CA 94105 1-866-330-0121 EE. UU.	Infraestructura de almacén de datos en la nube.
Perro de datos	620 8th Ave 45th Piso Nueva York, NY 10018 EE. UU.	Herramienta de monitoreo y depuración de servicios
Sabio	Avenue Louise 54, Sala s52, 1050 Bruselas Bélgica	Procesador de pagos en línea
Google	1600 Amphitheatre Pkwy, Mountain View, CA 94043	Soporte de procesos comerciales para comunicaciones (correo electrónico) y almacenamiento interno de documentos