Idioma de privacidad de MSA

Este Anexo de protección de datos (“Anexo”) complementa los términos y condiciones del Contrato Marco y se incorpora en el mismo. En caso de conflicto entre esta Adenda y cualquier otro acuerdo entre las partes sobre las cuestiones establecidas en el presente, prevalecerá esta Adenda.

1.1. Los términos no definidos en el presente tienen los significados establecidos en el Contrato Maestro de Servicios. Las siguientes palabras en este Anexo tienen los siguientes significados:

1.2. “Usuario autorizado” se refiere a una persona autorizada por el Cliente que puede incluir a un empleado o contratista del Cliente, para acceder y utilizar la Plataforma en nombre del Cliente, de conformidad con la firma del Contrato maestro.

1.3. “CCPA” se refiere a la Ley de Privacidad del Consumidor de California.

1.4. “Datos del Cliente”significa cualquier Dato Personal o Información Personal relacionada con cualquier Usuario Autorizado o persona física identificable que sea transferida, procesada o almacenada por Globalization Partners en nombre del Cliente para el uso de la Plataforma por parte del Cliente.

1.5. “Leyes de protección de datos” significa cualquier ley de protección de datos y privacidad a la que esté sujeta una parte de este Acuerdo y que sea aplicable a los Servicios prestados, incluidos, cuando corresponda, el RGPD, el RGPD del Reino Unido, las leyes de privacidad de los EE. UU. (incluidas las leyes estatales y federales) y la Ley de Protección de Datos Personales de Singapur.

1.6. “RGPD” significa el Reglamento General de Protección de Datos (UE) 2016/679 y/o el RGPD del Reino Unido.

1.7. “EEE” significa el Espacio Económico Europeo.

1.8. “SCC de la UE” se refiere a las Cláusulas contractuales estándar para la transferencia de Datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo aprobado por la Decisión de implementación (UE) de la Comisión Europea 2021/914 de 4 junio de 2021.

1.9. “Servicios de EOR” se refiere al empleador de los servicios de registros que Globalization Partners prestará al Cliente de conformidad con el Contrato Marco.

1.10. “Contrato Marco” se refiere al contrato celebrado entre el Cliente y los Globalization Partners para la prestación de los Servicios de EOR.

1.11. “Plataforma” se refiere al software de propiedad exclusiva de Globalization Partners, lo que incluye, entre otros, el software, la versión móvil, cualquier software que contenga y cualquier dato puesto a disposición a través del uso del software de propiedad exclusiva de Globalization Partners o de los servicios de terceros, incluidas sus actualizaciones, plataformas como servicio, documentación, cuya descripción se establece en https://www.globalization-partners.com/goglobal/.

1.12. “Anexo del Reino Unido” se refiere al anexo de transferencia internacional de datos del Reino Unido a las Cláusulas contractuales estándar de la UE emitidas por el Comisionado de Información del Reino Unido y adjuntas al presente como Anexo IV.

1.13. “Controlador”, “Sujeto de datos”, “Datos personales”, “Información personal”, “Violación de datos”, “Procesador”, “Procesamiento/Procesamiento”, “Transferencia restringida”, “Proveedor de servicios” y/o cualquier otro término y concepto similar tendrán los significados definidos en las Leyes de protección de datos.

2.1. Funciones de las Partes y detalles del Procesamiento. Globalization Partners procesará los Datos personales como Controlador independiente cuando Globalization Partners preste Servicios de EOR. En ningún caso las Partes procesarán Datos personales en virtud de este Anexo como Controladores conjuntos. Cuando Globalization Partners opera como Controlador independiente, Globalization Partners cumplirá con sus obligaciones de Controlador en virtud de las Leyes de Protección de Datos al procesar Datos Personales y procesará los Datos Personales según se describe en la Política de Privacidad de Globalization Partners disponible en https://www.globalization-partners.com/privacy-policy/. El Cliente cumplirá con sus obligaciones en virtud de las Leyes de Protección de Datos cuando procese Datos Personales como Controlador. En la medida en que los Globalization Partners actúen como Procesadores durante el Procesamiento de Datos del Cliente, dicho Procesamiento se llevará a cabo de acuerdo con la Sección 3 (“Procesamiento de Datos Personales”) a continuación.

2.2. Responsabilidades y reconocimientos. Cada Parte puede procesar Datos personales en virtud de este Anexo con respecto a los Datos personales como Controladores de datos independientes. Las Partes acuerdan cumplir con sus respectivas obligaciones y procesar cualquier Dato personal de manera justa y legal en cumplimiento con este Anexo y todas las Leyes de protección de datos aplicables a las operaciones de Procesamiento de datos personales de dicha Parte. Cada Parte se asegurará de que su Procesamiento de Datos Personales se limite al propósito de los Servicios de EOR que prestan los Globalization Partners y se base en un fundamento legal para el procesamiento legal. Las Partes se ayudarán mutuamente en el cumplimiento de sus respectivas obligaciones en virtud de las Leyes de Protección de Datos, lo que incluye, entre otras cosas, ayudarse mutuamente si se produce una Violación de Datos, responder a las solicitudes de los Sujetos de Datos y/o reguladores.

3.1. Alcance. El uso de la Plataforma por parte del Cliente y la relación de gestión del Cliente pueden implicar el Procesamiento de Datos del Cliente por parte de Globalization Partners como Procesador o Proveedor de Servicios en nombre del Cliente.

3.2. Instrucciones. Globalization Partners procesará los Datos del Cliente de acuerdo con las instrucciones documentadas del Cliente. El Cliente acepta que este Anexo, el Contrato Marco y el Anexo I adjunto en virtud del presente, comprenden las instrucciones completas del Cliente para los Globalization Partners con respecto al Procesamiento de Datos del Cliente. Cualquier instrucción adicional o alternativa debe acordarse entre las partes por escrito, incluidos los costos (si los hubiera) asociados con el cumplimiento de dichas instrucciones. Globalization Partners no es responsable de determinar si las instrucciones del Cliente cumplen con la ley aplicable. Sin embargo, si los Globalization Partners opinan que una instrucción del Cliente infringe las Leyes de Protección de Datos aplicables, los Globalization Partners notificarán al Cliente tan pronto como sea razonablemente posible y no estarán obligados a cumplir con dicha instrucción infractora.

3.3. Detalles del procesamiento. Los detalles del objeto del Procesamiento, su duración, naturaleza y propósito, y el tipo de Datos del Cliente y los interesados son los especificados en el Anexo I adjunto al presente.

3.4. Cumplimiento. El Cliente y los Globalization Partners aceptan cumplir con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos aplicables a los Datos del Cliente que se Procesan según se especifica en el Anexo I. El Cliente tiene la responsabilidad exclusiva de cumplir con las Leyes de Protección de Datos con respecto a la legalidad del Procesamiento de Datos del Cliente antes de divulgar, transferir o poner a disposición de otro modo cualquier Dato del Cliente a Globalization Partners. Para evitar dudas, en todos los casos, el Cliente obtendrá, cuando sea necesario, cualquier consentimiento de los Titulares de los datos para que los Globalization Partners procesen los Datos del cliente según lo indicado por el Cliente.

3.5. Subprocesadores. El Cliente autoriza a Globalization Partners a designar y utilizar Procesadores (“Subprocesadores”) para Procesar los Datos del Cliente en relación con los Servicios. Los subprocesadores pueden incluir a terceros o a cualquier miembro del grupo de compañías de Globalization Partners. Los Globalization Partners pueden continuar utilizando los Subprocesadores ya contratados por los Globalization Partners a la fecha de este Anexo, y hay una lista de dichos Subprocesadores disponible en el Anexo III adjunto en el presente. Cuando un Subprocesador no cumpla con sus obligaciones de protección de datos según lo especificado anteriormente, los Globalization Partners serán responsables ante el Cliente por el cumplimiento de las obligaciones del Subprocesador. Globalization Partners notificará al Cliente sobre cualquier cambio en su lista de Subprocesadores. Si, dentro de los 10 (diez) días posteriores a la recepción de esa notificación, el Cliente objeta legítimamente la adición o eliminación de un Subprocesador por motivos de protección de datos y Globalization Partners no puede acomodar razonablemente la objeción del Cliente, las partes analizarán las inquietudes del Cliente de buena fe con el fin de resolver el asunto.

3.6. Medidas de seguridad técnicas y organizativas. Teniendo en cuenta los estándares de la industria, los costos de implementación, la naturaleza, alcance, contexto y propósitos del Procesamiento, y cualquier otra circunstancia relevante relacionada con el Procesamiento de los Datos del Cliente dentro de la Plataforma, Los Globalization Partners implementarán medidas de seguridad técnicas y organizativas adecuadas para garantizar la seguridad, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento involucrados en el Procesamiento de los Datos del Cliente son proporcionales al riesgo con respecto a dichos Datos del Cliente. Globalization Partners (i) probará y monitoreará periódicamente la efectividad de sus salvaguardas, controles, sistemas y procedimientos e (ii) identificará riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de los Datos del Cliente, y garantizará que se aborden estos riesgos.

3.7. Confidencialidad. Globalization Partners se asegurará de que las personas autorizadas para acceder a los Datos del Cliente (i) se hayan comprometido con la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada y (ii) accedan a los Datos del Cliente solo siguiendo las instrucciones documentadas de Globalization Partners, a menos que así lo exija la ley aplicable.

3.8. Violación de datos personales. Los Globalization Partners notificarán al Cliente sin demora indebida después de tomar conocimiento de una Violación de Datos en relación con el Procesamiento de Datos del Cliente y harán todos los esfuerzos razonables para ayudar al Cliente a mitigar, cuando sea posible, los efectos adversos de cualquier Violación de Datos.

3.9. Transferencias internacionales. Globalization Partners está autorizado, en el curso normal de los negocios, a realizar transferencias mundiales de Datos del Cliente a sus filiales y/o Subprocesadores. Al realizar dichas transferencias, los Globalization Partners se asegurarán de que se implemente la protección adecuada para proteger los Datos del Cliente transferidos en virtud del Contrato Marco o en relación con este, de la siguiente manera:

• 3.9.1. Cuando Globalization transfiera Datos del Cliente a países fuera del EEE (que no estén sujetos a una decisión de adecuación en virtud de las Leyes de Privacidad), Globalization Partners firmará y cumplirá con sus obligaciones en virtud de los SCC de la UE, que se incorporan a este Anexo mediante esta referencia y se completan de la siguiente manera:
• • Se aplicará el módulo 2 (Controlador a Procesador) cuando el Cliente sea un Controlador de Datos Personales y Globalization Partners sea un Procesador de Datos Personales;
  • en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
  • en la Cláusula 9, la opción 2 se aplicará con 10 días;
  • en la Cláusula 11, el texto opcional no se aplicará;
  • en la Cláusula 12, cualquier reclamación presentada en virtud de los SCC de la UE estará sujeta a los términos y condiciones establecidos en el Acuerdo;
  • en la Cláusula 17, se aplicará la Opción 1, los SCC de la UE se regirán por la Ley irlandesa;
  • en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
  • El Anexo I de los SCC de la UE se considerará completado con la información establecida en el Anexo I de este Anexo;
  • El Anexo II de los SCC de la UE se considerará completado con la información establecida en el Anexo II de este Anexo; y
  • El Anexo III de los SCC de la UE se considerará completado con la información establecida en el Anexo III de este Anexo.
• 3.9.2. En relación con los Datos del Cliente que están protegidos por el RGPD del Reino Unido, las Partes tienen permitido legalmente confiar en los SCC de la UE para Transferencias Restringidas desde el Reino Unido, sujeto al Anexo del Reino Unido que se incorpora a este Anexo mediante esta referencia y se completa según se define en el Anexo IV adjunto al presente. Si esta sección 3.9.2 no se aplica, entonces Globalization Partners Exporting Company y el Cliente cooperarán de buena fe para implementar las salvaguardas adecuadas para la transferencia de dichos Datos personales según lo requerido o permitido por el RGPD del Reino Unido sin demora indebida.
• 3.9.3. Nada de lo contenido en las interpretaciones de esta Sección 3.9 pretende entrar en conflicto con los derechos o responsabilidades de cualquiera de las Partes en virtud de los SCC de la UE y/o el Anexo del Reino Unido y, en caso de conflicto, prevalecerán los SCC de la UE y/o el Anexo del Reino Unido, según corresponda.

3.10. Eliminación de datos personales. Tras la rescisión de los Servicios (por cualquier motivo) y si el Cliente lo solicita por escrito, Globalization Partners devolverá o eliminará, tan pronto como sea razonablemente posible, los Datos del Cliente almacenados en la Plataforma, a menos que la ley aplicable requiera el almacenamiento de los Datos del Cliente durante un período más prolongado. Para dicha retención, las disposiciones de este Anexo continuarán aplicándose a dichos Datos del Cliente.

3.11. Solicitudes del sujeto de datos. Globalization Partners informará de inmediato al Cliente sobre cualquier solicitud de los Sujetos de los datos con respecto a los Datos del Cliente. El Cliente es responsable de responder a dichas solicitudes. Globalization Partners asistirá razonablemente al Cliente para responder a dichas solicitudes del Titular de los datos en la medida en que el Cliente no pueda acceder a los Datos del cliente relevantes en su uso de la Plataforma.

3.12. Solicitudes de terceros. Si Globalization Partners recibe alguna solicitud de terceros o una orden de cualquier tribunal, tribunal, regulador u organismo gubernamental con jurisdicción competente a la que Globalization Partners esté sujeto en relación con el Procesamiento de Datos del Cliente en virtud del Contrato, Globalization Partners redirigirá la solicitud de inmediato al Cliente. Globalization Partners no responderá a dichas solicitudes sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo. Globalization Partners, a menos que esté legalmente prohibido, informará al Cliente antes de realizar cualquier divulgación de los Datos del Cliente y cooperará razonablemente con el Cliente para limitar el alcance de dicha divulgación a lo que se requiere legalmente.

3.13. Evaluación del impacto de la protección de datos y consulta previa. En la medida en que lo exijan las Leyes de Protección de Datos, los Globalization Partners proporcionarán asistencia razonable al Cliente para llevar a cabo una evaluación del impacto de la protección de datos en relación con el Procesamiento de Datos del Cliente realizado por los Globalization Partners y/o cualquier consulta(s) previa requerida con las autoridades de supervisión. Globalization Partners se reserva el derecho de cobrar al Cliente una tarifa razonable por la prestación de dicha asistencia.

3.14. Demostrar cumplimiento. Globalization Partners realiza auditorías externas regularmente sobre la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y controles de privacidad de la organización y proporcionará al Cliente una copia del informe de auditoría resumido más reciente o certificación previa solicitud por escrito. Si el Cliente prefiere realizar su propia auditoría además de las certificaciones o informes de terceros proporcionados, dicha auditoría se llevará a cabo: i) no más de una vez por cada período de 12 (doce) meses; ii) durante el horario comercial normal y sin interrumpir las actividades comerciales diarias de Globalization Partners; iii) con treinta (30) días de aviso previo por escrito; iv) a expensas exclusivas del Cliente (incluido el tiempo dedicado por el Socio de Globalización a asistir al Cliente durante la auditoría en función de la tarifa diaria de un gerente de seguridad); v) en función de parámetros y alcance acordados mutuamente, limitado al alcance específico de los servicios, sistemas en uso y/o actividades de procesamiento contempladas y específicas para el requisito real; vi) en función de la fecha de anticipación acordada mutuamente, sujeto a un aplazamiento razonable por parte del Cliente a solicitud razonable de Globalization Partners; y vii) de acuerdo con todas las obligaciones y restricciones de confidencialidad. Sin perjuicio de lo anterior, no se otorga ningún derecho de auditoría después de la rescisión del Contrato Marco, excepto por las obligaciones legales que tendrá que demostrar el Cliente. Cualquier representante externo seleccionado para realizar una auditoría en nombre del Cliente no debe tener un interés de propiedad o afiliación con una agencia de Servicios de EOR, una organización relacionada o un consultor.

3.15. Sin venta de información. Globalization Partners no derivará ni ejercerá ningún derecho o beneficio con respecto a los Datos personales, excepto según lo dispuesto en este Anexo. Para evitar dudas, los Globalization Partners no retendrán, usarán, compartirán ni divulgarán los Datos del Cliente para ningún fin que no sea el propósito específico de proporcionar la Plataforma al Cliente de acuerdo con el Contrato Marco. Globalization Partners no venderá ningún Dato personal, según se define el término “venta” en la CCPA. Globalization Partners declara y garantiza que comprende las reglas, los requisitos y las definiciones de la CCPA y acepta abstenerse de tomar cualquier medida que pueda hacer que cualquier transferencia de Datos personales hacia o desde Globalization Partners califique como “venta de información personal” en virtud de la CCPA.

Partes	Controlador / Exportador de datos: Entidad cliente que ejecuta el Procesador maestro de acuerdos / Importador de datos: Entidad Globalization Partners que ejecuta el Acuerdo maestro.
Detalles de contacto de las partes	Detalles de contacto del cliente según se establece en el Contrato Marco. Detalles de contacto de Globalization Partners según se establece en el Acuerdo maestro.
Actividades relevantes para los datos transferidos	Actividades relacionadas con la Plataforma proporcionadas como servicio.
Actividades de procesamiento	Globalization Partners procesará los Datos del Cliente en su provisión de la Plataforma como un servicio para el Cliente.
Duración del procesamiento	Globalization Partners procesará los Datos del Cliente durante el plazo del Contrato Marco y de forma continua.
Naturaleza y propósito del procesamiento	El Cliente puede transferir Datos del Cliente a Globalization Partners, cuyo alcance es determinado y controlado por el Cliente a su entera discreción. Los Globalization Partners procesarán los Datos del Cliente según sea necesario con el fin de proporcionar la Plataforma como un servicio al Cliente de acuerdo con el Contrato Marco.
Categorías de sujetos de datos	Los Datos del Cliente se refieren a los Usuarios Autorizados de la Plataforma que pueden incluir a los empleados y/o contratistas del Cliente, además de las personas cuyos Datos Personales son suministrados por Usuarios Autorizados de la Plataforma.
Tipos de datos personales	Los Datos del Cliente transferidos pueden incluir las siguientes categorías de datos: Detalles de contacto (como dirección postal, número de teléfono y correo electrónico). Datos de empleados/contratistas (como cargo y nombre de la compañía). Detalles del cliente (como datos relacionados con facturación y crédito). Datos de uso (como datos sobre el dispositivo del Usuario autorizado y cómo dicho dispositivo interactúa con la Plataforma). Datos de ubicación (como ubicación derivada de la dirección IP). Datos de contenido (como el contenido de los archivos del Cliente con respecto a los Profesionales y las comunicaciones). Credenciales (como contraseñas, sugerencias de contraseñas e información de seguridad similar utilizada para la autenticación y el acceso de cuentas a la Plataforma). Cualquier dato personal suministrado por usuarios autorizados.
Categorías especiales de datos (si corresponde)	N/C
Retención	Los Datos del Cliente se conservarán al menos durante el tiempo que cualquier período de retención mínimo exigido por la ley aplicable, que sea coherente con los estatutos de limitaciones aplicables y cumpla con las buenas prácticas comerciales.
Autoridad de supervisión competente	La Comisión Irlandesa de Protección de Datos
Transferencias a subprocesadores	Para las transferencias a procesadores, el asunto, la naturaleza y la duración del procesamiento son los mismos que los definidos anteriormente.
Detalles de contacto de Privacidad de Globalization Partners	privacy@globalization-partners.com Attn: Oficina de Privacidad Global.

Globalization Partners ha sido certificado y certificado por auditores independientes para confirmar el cumplimiento de las 2 normas SOC. Los informes de Controles de la Organización de Servicios (SOC) demuestran nuestro compromiso de proteger los Datos del Cliente. El programa de seguridad de Globalization Partners está diseñado para:

• Proteger la confidencialidad, integridad y disponibilidad de los Datos del Cliente en posesión de Globalization Partners o a los que Globalization Partners tenga acceso.
• Proteger contra cualquier amenaza anticipada o peligro para la confidencialidad, integridad y disponibilidad de los Datos del Cliente;
• Proteger contra el acceso, uso, divulgación, alteración o destrucción no autorizados o ilegales de los Datos del Cliente.
• Proteger contra la pérdida o destrucción accidental de, o daño a, los Datos del Cliente; y
• Proteja la información según se establece en cualquier reglamentación por la cual Globalization Partners pueda estar regulado.

A continuación se describen las funciones, procesos, controles, sistemas, procedimientos y medidas que Globalization Partners ha tomado para garantizar la seguridad del Procesamiento de Datos del Cliente:

1) MEDIDAS TÉCNICAS PARA GARANTIZAR LA PRIVACIDAD Y PROTECCIÓN DE LOS DATOS

a) Privacidad por diseño e incumplimiento:

Globalization Partners tiene en cuenta los requisitos del artículo 25 GDPR en la fase de concepción y desarrollo del desarrollo de productos. Los procesos y las funcionalidades se establecen de manera tal que los principios de protección de datos, como legalidad, transparencia, limitación de propósitos, minimización de datos, etc., así como la seguridad del procesamiento, se consideren en una etapa temprana.

b) Cifrado de datos personales:

Garantizar que los datos personales solo se almacenen en el sistema de una manera que no permita que terceros identifiquen al interesado.

• Cifrado de bases de datos y almacenamiento:
  en todas las bases de datos utilizadas por Globalization Partners, se utiliza un cifrado “en reposo” de acuerdo con la última tecnología para que los datos de la base de datos solo puedan leerse después de la autenticación adecuada en el sistema de base de datos respectivo.
• Cifrado de medios de datos móviles:
  No se permite el uso de portadores de datos móviles para almacenar datos de clientes.
• Cifrado de portadores de datos en computadoras portátiles:
  El cifrado de disco duro de última generación adecuado está instalado en las computadoras portátiles de todos los empleados.
• Intercambio cifrado de información y archivos:
  En principio, el intercambio de información y archivos se cifra directamente a través de una aplicación especial. Si los datos personales o la información confidencial deben transferirse a servidores que no pueden enviarse a través de cargas HTTPS cifradas por TLS, estos se transferirán mediante el Protocolo de Transferencia Segura de Archivos (SFTP), el servicio de sobres cifrados u otro mecanismo cifrado de acuerdo con el estado de la tecnología.
• Cifrado de correo electrónico:
  En principio, todos los correos electrónicos enviados por empleados de Globalization Partners están cifrados con TLS. Las excepciones pueden ser si el servidor de correo receptor no es compatible con TLS. El Cliente se asegurará de que los servidores de correo correspondientes utilizados dentro del alcance del pedido admitan el cifrado TLS

c) Control de admisión

Los controles de admisión están destinados e implementados para evitar el uso y el procesamiento de datos protegidos por las leyes de protección de datos por personas no autorizadas.

• Uso de métodos de autenticación
  El acceso a los datos personales siempre se realiza a través de protocolos cifrados: SSH, SSL/TLS, HTTPS o protocolos comparables. Procedimiento de autenticación para el sistema de TI: inicio de sesión de autenticación multifactor en el sistema de TI.
• Bloqueo automático en caso de inactividad
  Computadoras portátiles utilizadas por los empleados de Globalization Partners bloqueadas con contraseña o protección con PIN cuando el usuario no las utiliza. Además, se configura un bloqueo de pantalla automático con protección con contraseña después de 15 minutos de inactividad.
• El uso del software antivirus
  Las computadoras portátiles utilizadas por los empleados de Globalization Partners están equipadas con software antivirus de última generación que se mantiene actualizado en todos los sistemas de TI operativos o comerciales. Como principio, no se pueden operar computadoras sin protección contra virus residentes, a menos que se hayan tomado otras medidas de seguridad de última generación equivalentes o que no haya riesgo. La configuración de seguridad predeterminada no debe desactivarse ni eludirse.
• “Política de escritorio limpio”
  Se indica a los empleados de Globalization Partners que no impriman ni almacenen localmente datos personales de los interesados, que no dejen materiales de trabajo en un lugar donde puedan ser vistos por terceros y que almacenen todos los materiales de trabajo de manera adecuada. Los documentos que Globalization Partners está obligado por ley a conservar en papel se almacenan en gabinetes cerrados con llave.

d) Controles de acceso dentro de la plataforma

Los controles de acceso garantizan que las personas autorizadas para usar un sistema de procesamiento tengan acceso solo a los datos personales cubiertos por su autorización de acceso.

• Funciones y autorización
  • Plataforma de funciones y autorización: Acceso del cliente Los usuarios del cliente pueden ver y editar la información de la cuenta del cliente.
  • Plataforma de funciones y autorización: los usuarios profesionales de acceso profesional pueden ver y editar su propia información profesional.
    Los profesionales también pueden obtener la función de acceso del cliente si lo requieren + aprobación
  • Plataforma de funciones y autorización: acceso interno
    Los usuarios de acceso interno tienen funciones variadas. Tienen acceso variado para crear, ver, editar y aprobar lo siguiente:
    • Información del cliente
    • Información de facturación
    • Información del socio
    • El personal profesional registra información

    El acceso al sistema de administración generalmente se limita a empleados capacitados en las áreas de soporte al cliente y desarrollo de productos.

e) Firewall como servicio

Globalization Partners utiliza un firewall externo como servicio que le permite otorgar o bloquear el acceso a sitios web para asegurarse de que los sistemas no puedan acceder a contenido malicioso y restringir el acceso a contenido inapropiado.

f) Registro de inicio de sesión en la plataforma

Globalization Partners mantiene un registro de toda la actividad de inicio de sesión.

g) Separabilidad

Garantizar que los datos personales recopilados para diferentes fines puedan procesarse por separado y se separen de otros datos y sistemas de manera tal que se excluya el uso no planificado de estos datos para otros fines.

• Separación de entornos de desarrollo, prueba y operación
  Los datos del entorno operativo solo pueden transferirse a entornos de prueba o desarrollo si se han hecho completamente anónimos antes de la transferencia. La transferencia de los datos anonimizados debe estar cifrada o a través de una red confiable.
• Separación en redes
  Globalization Partners separa sus redes de acuerdo con las tareas. Las siguientes redes se utilizan de forma permanente: entorno operativo (“Producción”), entorno de prueba (“Etapa”, “Sandbox”), entorno de desarrollo (“Desarrollador”), personal de TI de la oficina. Además de estas redes, se crean redes adicionales separadas según sea necesario, por ejemplo, para pruebas de restauración y pruebas de penetración. Dependiendo de las posibilidades técnicas, las redes se separan físicamente o por medio de redes virtuales.

h) Control de disponibilidad

Globalization Partners toma las siguientes medidas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental.

• Procedimientos/respaldos de protección de datos
  Para garantizar la disponibilidad adecuada, Globalization Partners implementa instantáneas diarias de su base de datos con replicación en una región diferente. También se toman medidas para garantizar que los empleados con necesidad de revisar datos en función del trabajo tengan acceso solo a conjuntos de datos de réplica.
• Georedundancia con respecto a la infraestructura del servidor de datos productivos y copias de seguridad
• Gestión de incidentes de TI (“Gestión de respuesta a incidentes”)
  Existe un concepto y procedimientos documentados para manejar incidentes y eventos relevantes para la seguridad. Esto incluye la planificación y preparación de la respuesta a incidentes, los procedimientos para monitorear, detectar y analizar eventos relevantes para la seguridad y la definición de las responsabilidades correspondientes y los canales de informe en caso de una violación de la protección de datos personales dentro del marco de los requisitos legales.

2) MEDIDAS ORGANIZATIVAS PARA GARANTIZAR LA PRIVACIDAD Y PROTECCIÓN DE LOS DATOS

Globalization Partners ha implementado las siguientes medidas organizativas para garantizar que la organización opere de una manera que cumpla con los requisitos de privacidad y protección de datos.

a) Instrucciones organizativas

Globalization Partners ha desarrollado y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y pautas que los empleados deben seguir. La documentación incluye cómo identificar y gestionar los problemas de privacidad de los datos, las mejores prácticas para garantizar el cumplimiento de la privacidad y las políticas para abordar los incidentes de privacidad.

b) Compromiso con la confidencialidad y la protección de datos

Globalization Partners ha desarrollado y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y pautas que los empleados deben seguir. Todos los empleados y contratistas están obligados por escrito a la confidencialidad y protección de datos, así como a otras leyes relevantes. Todos los empleados reciben capacitación sobre privacidad y seguridad. Las auditorías internas sobre la protección de datos y la seguridad de la información se realizan regularmente. Las auditorías se llevan a cabo sobre la base de criterios/esquemas de prueba comunes. Se instruye a los empleados y contratistas de Globalization Partners a procesar datos personales solo por motivos legales, de conformidad con los contratos aplicables con el cliente y el profesional, teniendo en cuenta debidamente cualquier consentimiento expreso otorgado o retenido por el interesado, y de conformidad con cualquier deber legal de la organización.

c) Capacitación sobre protección de datos

Todos los empleados reciben capacitación sobre privacidad y seguridad que permanece disponible para su revisión en cualquier momento en la plataforma de capacitación de Globalization Partners.

d) Controles de acceso físico

Globalization Partners cuenta con los siguientes controles físicos para denegar el acceso de personas no autorizadas a los equipos de sistemas de TI utilizados para el procesamiento.

• Protección electrónica de puertas
  Las puertas de entrada a las instalaciones de las oficinas de Globalization Partners siempre están cerradas y aseguradas electrónicamente. Las puertas se abren a través de un transpondedor electrónico personal.
• Distribución controlada de claves
  Se lleva a cabo una asignación central y documentada de claves a los empleados de Globalization Partners. Estos transpondedores/claves electrónicos podrían ser desactivados centralmente por cada gerente de oficina o el departamento de Recursos Humanos.
• Supervisión y acompañamiento de personas externas
  Los proveedores de servicios externos y otros terceros solo pueden tener acceso a las instalaciones mediante autorización previa o cuando estén acompañados por un empleado de Globalization Partners. Globalization Partners aplica su Política de visitantes escrita cuando se invita a los visitantes a las instalaciones.
• Asegurar las instalaciones con una mayor necesidad de protección
  Las instalaciones o los gabinetes con mayores requisitos de protección, como las oficinas legales y ciertas ubicaciones de Operaciones, están equipados con gabinetes y cajones con cerradura. Los gabinetes y cajones donde se conservan documentos legales, contratos y documentación confidencial deben cerrarse con llave en todo momento, excepto cuando estén en uso.
• Puertas y ventanas cerradas
  Los empleados reciben instrucciones organizativas para mantener las ventanas y puertas cerradas o cerradas con llave fuera del horario de atención.

e) Recuperabilidad

Globalization Partners garantiza que los sistemas en uso puedan restaurarse en caso de falla física o técnica.

• Pruebas regulares de recuperación de datos (“Pruebas de restauración”)
  Se llevan a cabo pruebas regulares de restauración completa para garantizar la recuperación en caso de emergencia/desastre.
• Plan de emergencia (“Concepto de recuperación ante desastres”)
  Existe un concepto para el tratamiento de emergencias/desastres y un plan de emergencia correspondiente. Globalization Partners garantiza la recuperación de todos los sistemas en función de las copias de seguridad de datos, generalmente en 48 horas.
• Medidas de revisión y evaluación
  Presentación de los procedimientos para la revisión, evaluación y valoración periódicas de la efectividad de las medidas técnicas y organizativas.

f) Equipo de privacidad

La organización tiene una Oficina Global de Privacidad de Datos encargada de planificar, implementar, evaluar y adaptar medidas en el campo de la protección de datos.

g) Gestión de riesgos

Existe un proceso para analizar, evaluar y asignar riesgos y para derivar medidas sobre la base de estos riesgos.

3) REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN

a) Realización de auditorías

Las auditorías internas sobre la protección de datos y la seguridad de la información se realizan regularmente. Las auditorías se llevan a cabo sobre la base de criterios/esquemas de prueba comunes.

b) Revisión del cumplimiento de las políticas y normas de seguridad

El cumplimiento de las pautas de seguridad, los estándares y otros requisitos de seguridad aplicables para el procesamiento de datos personales se verifica regularmente. Cuando sea posible, estas verificaciones se llevan a cabo de manera aleatoria e inesperada.

c) Verificación del cumplimiento de las especificaciones técnicas

El departamento de TI u otro personal calificado realizan análisis de vulnerabilidades manuales y automatizados regulares para verificar la seguridad de las aplicaciones y la infraestructura, así como el desarrollo regular del producto. Un proveedor de servicios externo lleva a cabo pruebas de penetración detalladas para examinar específicamente las aplicaciones y la infraestructura en busca de vulnerabilidades.

d) Procesamiento en la instrucción

Se indica a los empleados de Globalization Partners que procesen datos personales solo por motivos legales, de conformidad con los contratos aplicables con el cliente y el profesional, teniendo en cuenta debidamente cualquier consentimiento expreso otorgado o retenido por el interesado, y de conformidad con cualquier deber legal de la organización.

e) Selección cuidadosa de proveedores

Globalization Partners se adhiere a su Proceso de precalificación de proveedores al seleccionar proveedores que puedan encontrar datos protegidos. Este proceso incluye comentarios de los Departamentos de Finanzas y Legal/Privacidad e incorpora la evaluación de riesgos, la precalificación de seguridad y los pasos de certificación de documentación. Los proveedores que procesarán datos protegidos deberán demostrar su cumplimiento de las leyes de privacidad de datos aplicables, incluido el artículo 28 GDPR para los datos cubiertos.

Subprocesador	Información de contacto	Descripción del procesamiento	Ubicación
Subsidiarias de Globalization Partners	https://www.globalization- partners.com/contact-us/	Proporcionar la Plataforma y la gestión de relaciones con el Cliente	EE. UU.
Acumatica	3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, EE. UU.	Servicios financieros	EE. UU.
Servicio web de Amazon	P.O. Box 81226 Seattle, WA 98108-1226, EE. UU. https://aws.amazon.com/contact-us/	Alojamiento: proveedor de servicios en la nube	EE. UU.
Microsoft	One Microsoft Way Redmond, Washington 98052 USA Teléfono: (+1) 425-882-8080.	Comunicaciones de soporte de procesos comerciales (correo electrónico); gestión de servicios	EE. UU.
Atlassian	350 Piso Bush Street 13 San Francisco, CA 94104, EE. UU. +1 415 701 1110	Soporte de procesos comerciales para la gestión de servicios	EE. UU.
Conga	https://conga.com/contact-us 62 Margaret St, tercer piso Londres W1W8TF Reino Unido	Gestión de contratos	Reino Unido
DocuSign	DocuSign International (EMEA) Ltd, Atención: Equipo de Privacidad, 5 Hanover Quay, Planta baja, Dublín2, República de Irlanda	Gestión de documentos	Irlanda
Gong	265 Cambridge Ave, Suite 60717 Palo Alto, CA 94306, EE. UU.	Servicios de telecomunicaciones	EE. UU.
iCertis	2 Kingdom Street Paddington Londres W2 6BD Reino Unido	Gestión de contratos	Reino Unido
Salesforce.com	Salesforce Tower, 415 Mission Street, 3.er piso, San Francisco, CA94105, EE. UU. 1-800-387-3285	Soporte de procesos comerciales para la gestión de relaciones con el cliente (CRM)	EE. UU.
Zendesk	989 Market St. San Francisco, CA 94103, EE. UU. zendesk.com 888-670-4887	Consultas del servicio de asistencia para el servicio de atención al cliente	EE. UU.

PARTE 1: TABLAS

Tabla 1: Partes

Fecha de inicio	Fecha de entrada en vigencia de este Anexo
Las partes	Exportador (quien envía la transferencia restringida)	Importador (quien recibe la transferencia restringida)
Detalles de las partes	Detalles de la entidad del cliente según se establece en el Contrato Marco.	Los detalles de la entidad de Globalization Partners según se establece en el Contrato maestro.
Contactos clave	Detalles de contacto del cliente según se establece en el Contrato Marco.	Detalles de contacto de Globalization Partners según se establece en el Acuerdo maestro y detalles de contacto de Privacidad de Globalization Partners según se define en el Anexo I anterior.

Tabla 2: SCC, módulos y cláusulas seleccionadas

Anexo de SCC de la UE

La versión de los SCC de la UE aprobados incorporados en la Sección 3.9 del Anexo, incluida la información del Anexo adjunta a este Anexo.

Tabla 3: Información del Apéndice

“Información del Apéndice” significa la información que debe proporcionarse para los módulos seleccionados según se establece en el Apéndice de los SCC de la UE aprobados (que no sean las Partes), y que para este Apéndice se establece en:

• Anexo 1A: Lista de partes: Anexo I
• Anexo 1B: Descripción de la transferencia: Anexo I
• Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos: Anexo II
• Anexo III: Lista de subprocesadores: Anexo III

Tabla 4: Finalización de este Anexo cuando cambie el Anexo aprobado

Finalización de este Anexo cuando cambie el Anexo aprobado

Qué Partes pueden finalizar este Apéndice según se establece en la Sección ‎19: ☐ Importador  Exportador ☐ Ninguna de las Partes

PARTE 2: CLÁUSULAS OBLIGATORIAS

Cláusulas obligatorias

Parte 2: Cláusulas obligatorias del Anexo aprobado, siendo la plantilla del Anexo B.1.0 emitida por la ICO y presentada ante el Parlamento de acuerdo con la Ley s119A de Protección de Datos del 2 febrero de 2022, según se revisa 2018 en virtud de la Sección 18 de esas Cláusulas obligatorias.