Logotipo de G-P​​ 
solicitar una cotización​​ 

Lenguaje de Privacidad MSA​​ 

Última actualización: 26de junio de 2026​​ 

ADENDA DE PROTECCIÓN DE DATOS​​ 

El cliente y el G-P son Partes de un Acuerdo marco o de un acuerdo de naturaleza y propósito similares (en adelante "Acuerdo marco"). Esta DPA complementa los términos y condiciones del Acuerdo marco y está incorporada en él. En caso de conflicto entre esta DPA y cualquier otro acuerdo entre las Partes sobre los asuntos aquí expuestos, prevalecerá esta DPA. Si el Cliente ya tiene un anexo de protección de datos firmado en vigor con G-P, entonces ese acuerdo prevalecerá sobre esta DPA, y esta DPA no tendrá fuerza ni efecto, salvo que el Cliente y la G-P acorden lo contrario por escrito.​​ 
 

1. DEFINICIONES​​  

Los términos no definidos aquí tienen los significados establecido en el Acuerdo Maestro. Las siguientes palabras en esta DPA tienen los siguientes significados:​​ 
1.1 "​​ Usuario autorizado​​ " significa una persona autorizada por el Cliente, que puede incluir empleado y/o contratista de un Cliente, acceder y emplear el GPP en nombre del Cliente, conforme a la ejecución del Acuerdo Maestro.​​ 
1.2 "​​ Datos del cliente​​ " significa cualquier Dada Personal relacionada con cualquier Usuario Autorizado o persona física identificable que sea transferida, procesada o almacenada por G-P en nombre del Cliente en relación con los Servicios para el uso del GPP por parte del Cliente.​​ 
1.3 "​​ Protección de los datos​​  Leyes​​ " significa cualquier ley de protección de datos y privacidad a la que una parte de este Acuerdo esté sujeta y que sea aplicable a los Servicios prestados, incluyendo, cuando corresponda, pero no limitar a, el Reglamento General de Protección de Datos, el Reglamento General de Protección de Datos del Reino Unido, las Leyes Suizas de Protección de Datos, las Leyes de Privacidad de EE. UU. (incluidas las leyes estatales y federales), y la LGPD de Brasil.​​ 
1.4 "​​ Plataforma global de empleo (Employer of Record)​​ " significa Plataforma global de empleo (Empleador Oficial).​​ 
1.5 "​​ Reglamento General de Protección de Datos​​ " significa el Reglamento General de Protección de Datos (UE) 2016/679.​​ 
1.6 "​​ GPP​​ " significa el software propietario de G-P, incluyendo sin limitaciones el software, la versión móvil, cualquier software contenido en él y cualquier dato disponible mediante el uso de software propietario de G-P o servicios de terceros, incluyendo sus actualizaciones, actualizaciones, plataforma como servicio y documentación.​​ 
1.7 "​​ EEA​​ ” significa el Espacio Económico Europeo.​​ 
1.8 "​​ LGPD​​ " significa Ley de Brasil Nº 13.709, la Ley General de Protección de Datos Personales, según pueda ser modificada, sustituida o sustituida.​​ 
1.9 "​​ Política de privacidad​​ " significa la política de privacidad de G-P, actualizada periódicamente, disponible en​​   
1.10 "​​ Datos de los profesionales​​ " significa Datos Personales de Profesionales tratados por G-P en el marco de la capacidad de servicios de Plataforma global de empleo (Empleador de Registro) al Cliente.​​ 
1.11 "​​ Transferencia restringida"​​  significa cualquier transferencia de Datos Personales a un país fuera del EEE, Reino Unido, Suiza o Brasil que no esté sujeto a una decisión de adecuación bajo las Leyes de Protección de Datos aplicables, y por tanto requiera las salvaguardas adecuadas bajo las leyes aplicables de protección de datos.​​ 
1.12 "​​ Servicios"​​  media​​  fuerzas armadas​​  que serán proporcionados por G-P al Cliente bajo el Acuerdo marco que puede incluir la capacidad de servicios de Plataforma global de empleo (Empleador de Registro) y el acceso y uso de GPP.​​ 
1.13 "​​ Cláusulas contractuales estándar"​​  o​​  "SCCs"​​  significan (i) cuando se aplique el Reglamento General de Protección de Datos, las cláusulas contractuales estándar anexas a la Decisión de Ejecución (UE) de la Comisión Europea 2021/914 de 4 junio 2021 cláusulas contractuales estándar para la transferencia de datos personales a terceros conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, Disponible en​​   ("SCC de la UE"); (ii) cuando se aplique el Reglamento General de Protección de Datos del Reino Unido, las cláusulas estándar de protección de datos aplicables adoptadas conforme al Artículo 46(2)(c), o (d) cuando el Reglamento General de Protección de Datos del Reino Unido significa el Anexo Internacional de Transferencia de Datos ("Anexo del Reino Unido") a las Cláusulas Contractuales Estándar de la UE emitidas por la Oficina del Comisionado de Información en virtud del artículo119A(1) de la Ley de Protección de Datos 2018, como tal Anexo del Reino Unido pueden ser revisados conforme al Artículo 18 de la misma ("SCCs del Reino Unido"); (iii) cuando se apliquen las Leyes Suizas de Protección de Datos, las cláusulas estándar aplicables de protección de datos emitidas, aprobadas o reconocidas por la Autoridad Federal de Protección de Datos y la Oficina del Comisionado de Información de Suiza (las "SCC Suizas); cuando se aplique la LGPD brasileña, las cláusulas contractuales estándar aplicables, adjuntas a la Resolución CD/ANPD nº 19/2024 promulgados por la Autoridad Nacional de Protección de Datos de Brasil ("ANPD"), según puedan ser modificados periódicamente ("CSC de Brasil").​​ 
1.14 "​​ Leyes suizas de protección de datos​​ " o​​  "FADP"​​  significa (i) Ley Federal Suiza de Protección de Datos ("​​ FDPA​​ ”); (ii) La Ordenanza sobre la Ley Federal de Protección de Datos ("​​ FODP​​ “); y (iii) cualquier ley nacional de protección de datos creada en virtud de, conforme a, sustituya o sucedida, y cualquier legislación que sustituya o actualice cualquiera de las anteriores.​​ 
1.15 "​​ Anexo del Reino Unido​​ " significa el anexo de transferencia internacional de datos del Reino Unido a las Cláusulas Contractuales Estándar de la UE emitido por el Comisario de Información del Reino Unido.​​ 
1.16 "​​ Leyes de protección de datos del Reino Unido​​  es decir, el Reglamento General de Protección de Datos tal como se conserva en la legislación del Reino Unido en virtud del artículo 3 de la Ley de Retirada de la Unión Europea del Reino Unido ( 2019 ("Reino Unido Reglamento General de Protección de Datos") y la Ley de Protección de Datos 2018 (en conjunto, "Leyes de Protección de Datos del Reino Unido").​​ 
1.17 "​​ Leyes de privacidad de EE. UU.​​ ” significa las leyes, órdenes, reglamentos y guías regulatorias estatales aplicables de los Estados Unidos (EE. UU.) relacionadas con el procesamiento de datos personales, incluyendo, entre otros: (a) la CCPA; (b) la Ley de Protección de Datos del Consumidor de Virginia; (c) la Ley de Privacidad de Colorado; (d) la Ley de Connecticut relativa a la privacidad de datos y la supervisión en línea; (e) la Ley de Privacidad del Consumidor de Utah; y (f) todas las leyes estatales similares.​​ 
1.18 "​​ Responsable" "Sujeto de datos", "Datos personales", "Información personal" "Filtración de datos", "Procesador", "Procesador", "Trámite/Procesamiento", "Transferencia restringida", "Proveedor de servicios"​​  y/o cualquier otro término o concepto similar tendrá los significados definidos en las Leyes de Protección de Datos.​​ 
 
 

2. RELACIÓN ENTRE CONTROLADOR INDEPENDIENTE Y CONTROLADOR​​  

2.1​​  Roles de las partes.​​  Cuando G-P proporciona al Cliente servicios de Plataforma global de empleo, G-P asume el papel de entidad legal empleadora para cualquier persona seleccionada por el Cliente ("Profesionales") para ser contratada. En cuanto a los datos personales de dichos profesionales, G-P es un Responsable Responsable independiente durante el transcurso de la relación laboral. En cuanto a los datos personales del profesional recopilados y empleados por el cliente para sus propios fines, el cliente también es un responsable independiente con obligaciones de privacidad independientes. Al prestar los servicios de la Plataforma global de empleo (Empleador de Registro), el intercambio de Datos Personales de los Profesionales entre G-P y el Cliente se realiza bajo una relación independiente de Responsable a Responsable y se aplicarán las disposiciones de esta sección 2 ("Relación Independiente Contraponedor-Responsable"). En ningún caso las Partes procesarán Datos Personales bajo este DPA como Contraelectores Conjuntos.​​ 
2.2​​  Responsabilidades y reconocimientos​​ . Las Partes, en su calidad de Controladores, deberán:​​ 
2.2.1 Cumplir con las Leyes de Protección de Datos aplicables en materia de Tratamiento de Datos Personales de Profesionales.​​ 
2.2.2 Procesar y compartir los Datos Personales de los Profesionales de manera justa y legal con el fin de (según el caso) realizar o recibir los Servicios de Plataforma global de empleo (Empleador de Registro) para sus propios intereses legítimos.​​ 
2.2.3 Cerciorar de que exista una base jurídica para el tratamiento de datos en cualquier intercambio de datos personales del profesional entre las partes.​​ 
2.2.4 Ayudar mutuamente en el cumplimiento de sus respectivas obligaciones bajo las Leyes de Protección de Datos, incluyendo, pero no limitar a, apoyar mutuamente en caso de una brecha de datos, responder a solicitudes de los Sujetos de los Datos y/o de los reguladores.​​  
 

3. RELACIÓN CONTROLADOR-PROCESADOR​​ 

3.1​​  Roles de los partidos​​ . G-P también ofrece diversos productos de software como servicio a través de GPP, a través de los cuales G-P permite al cliente gestionar la relación con esos profesionales. Cuando G-P proporciona al Cliente acceso a GPP, G-P es el Procesador de los Datos Personales relacionados con la cuenta subidos a la GPP por los Usuarios Autorizados designados por el Cliente y el Cliente es el Responsable de dichos datos y, se aplicarán las disposiciones de esta sección 3 ("Relación Contraponedor-Procesador").​​ 
3.2​​  Instrucciones.​​  G-P procesará los datos del cliente de acuerdo con las instrucciones documentadas del cliente.  El cliente acepta que este DPA, el Acuerdo Maestro y el Anexo I adjunto a continuación comprenden las instrucciones completas del Cliente a G-P respecto al Procesamiento de Datos del Cliente.  Cualquier instrucción adicional o alternativa debe ser acordada por escrito entre las Partes, incluyendo los costos (si los hay) asociados al cumplimiento de dichas instrucciones.  El cliente se cerciorará de que sus instrucciones cumplan con las leyes de protección de datos aplicables. El cliente reconoce que G-P no es responsable de determinar qué leyes son aplicables al negocio del cliente. El cliente se cerciorará de que el tratamiento de datos de los clientes por parte de G-P, cuando se realice conforme a las instrucciones del cliente, no provoque que G-P viole ninguna ley aplicable, incluidas las leyes de protección de datos aplicables. Sin embargo, si G-P considera que una instrucción al Cliente infringe las Leyes de Protección de Datos aplicables, G-P deberá notificar al Cliente tan pronto como sea razonablemente posible y no estará obligada a cumplir con dicha instrucción infractora.​​  
3.3​​  Detalles del procesamiento​​ . Los detalles sobre el objeto del Tratamiento, su duración, naturaleza y propósito, así como el tipo de Datos del Cliente y sujetos de datos, se especifican en el Anexo I adjunto a este artículo.​​   
3.4​​  Cumplimiento.​​  El cliente y G-P acuerdan cumplir con sus respectivas obligaciones conforme a las Leyes de Protección de Datos aplicables a los Datos del Cliente que se Procesan según lo especificado en el Anexo I. El Cliente tiene la responsabilidad exclusiva de cumplir con las Leyes de Protección de Datos respecto a la legalidad del Tratamiento de Datos del Cliente antes de divulgar, transferir o poner a disposición cualquier Datos del Cliente a G-P.  Para evitar dudas, en todos los casos, el Cliente deberá obtener, cuando sea necesario, cualquier consentimiento de los Sujetos de Datos para que G-P procese los Datos del Cliente según las indicaciones del Cliente.​​ 
3.5​​  Subprocesadores​​ . El cliente autoriza a G-P a nombrar y emplear Procesadores ("Subprocesadores") para procesar los datos del cliente en relación con los Servicios.  Los subprocesadores pueden incluir terceros o cualquier miembro del grupo de empresas G-P. G-P puede seguir empleando aquellos Subprocesadores ya comprometidos por G-P a la fecha de esta DPA, y una lista de dichos Subprocesadores está disponible en el Anexo III adjunto a continuación. Cuando un Subprocesador no cumpla con sus obligaciones de protección de datos según lo especificado, G-P será responsable ante el Cliente por el cumplimiento de sus obligaciones. G-P notificará al Cliente cualquier cambio en su lista de subprocesadores a través de GPP. Si, en un plazo de 10 (diez) días desde la recepción de dicha notificación, el Cliente objeta legítimamente la adición o eliminación de un Subprocesador por motivos de protección de datos y G-P no puede razonablemente atender la objeción del Cliente, las Partes discutirán las preocupaciones del Cliente de buena fe con vistas a resolver el asunto.​​ 
3.6​​  Medidas de seguridad técnicas y organizacionales​​ . Teniendo en cuenta los estándares del sector, los costos de implementación, la naturaleza, alcance, contexto y propósitos del Procesamiento, y cualquier otra circunstancia relevante relacionada con el Procesamiento de los Datos del Cliente, G-P implementará las medidas técnicas y organizacionales de seguridad adecuadas para garantizar que la seguridad, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento implicados en el Procesamiento de los Datos del Cliente sean proporcionales al riesgo respecto de dichos datos de clientes, detallados en el Anexo II adjunto aquí.  G-P (i) probará y monitorear periódicamente la eficacia de sus salvaguardas, controles, sistemas y procedimientos y (ii) identificará riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de los Datos del Cliente, y se cerciorará de que estos riesgos se aborden.​​  
3.7​​  Confidencialidad​​ . G-P garantizará que las personas autorizadas para acceder a los Datos del Cliente (i) se comprometieron a la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad y (ii) accedan a los Datos del Cliente solo mediante instrucciones documentadas de G-P, salvo que así lo requiera la ley aplicable.​​ 
3.8​​  Filtración de datos personales.​​  G-P notificará al cliente sin demora excesiva tras tomar conocimiento de una Filtración de Datos relacionada con el Procesamiento de Datos del Cliente y realizará esfuerzos razonables para ayudar al Cliente a mitigar, cuando sea posible, los efectos adversos de cualquier Filtración de Datos​​ .​​ 
3.9​​  Eliminación de datos personales.​​   En caso de desprecio de los Servicios (por cualquier motivo), G-P deberá, tan pronto como sea razonablemente posible, devolver o eliminar los Datos del Cliente almacenados en el GPP, salvo que la ley aplicable exija el almacenamiento de los Datos del Cliente durante un periodo más largo. Para dicha retención, las disposiciones de esta DPA seguirán aplicar a dichos datos de clientes.​​ 
3.10​​  Solicitudes de sujetos de datos​​ .  G-P deberá informar rápidamente al Cliente de cualquier solicitud de los Sujetos de Datos respecto a los Datos del Cliente. El cliente es responsable de responder a estas solicitudes. G-P ayudará razonablemente al Cliente a responder a dichas solicitudes del Sujeto de Datos en la medida en que el Cliente no pueda acceder a los Datos relevantes del Cliente en su uso del GPP.​​  
3.11​​  Solicitudes de terceros​​ . Si G-P recibe alguna solicitud de terceros o una orden de cualquier tribunal, organismo, regulador o agencia gubernamental con jurisdicción competente a la que esté sujeta G-P relacionada con el Tratamiento de Datos de Clientes bajo el Acuerdo, G-P redirigirá la solicitud de inmediato al Cliente. G-P no responderá a dichas solicitudes sin la autorización previa del Cliente salvo que se vea legalmente obligado a hacerlo. G-P, salvo que esté legalmente prohibido, informará al Cliente con antelación de cualquier divulgación de Datos del Cliente y cooperará razonablemente con el Cliente para limitar el alcance de dicha divulgación a lo legalmente requerido.​​   
3.12​​  Evaluación del Impacto en la Protección de Datos y Consulta Previa​​ . En la medida exigida por las Leyes de Protección de Datos, G-P deberá proporcionar una asistencia razonable al Cliente para llevar a cabo una evaluación de impacto en la protección de datos relacionada con el Tratamiento de Datos de Clientes realizada por G-P y/o cualquier consulta previa requerida con las autoridades supervisoras. G-P se reserva el derecho de cobrar al Cliente una tarifa razonable por la capacidad de dicha asistencia.​​ 
3.13​​  Auditoría.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  Leyes de privacidad de EE. UU.​​  Según esta sección 3, las Partes acuerdan que G-P es un "Proveedor de Servicios" o "Procesador" según se definan estos términos según las leyes de privacidad aplicables de EE. UU. En consecuencia, en la medida en que las leyes de privacidad de EE. UU. se apliquen al tratamiento de datos de clientes por parte de G-P, G-P no deberá (a) conservar, emplear ni divulgar ningún Datos de Cliente fuera de la relación comercial directa entre G-P y el Cliente, ni para ningún propósito distinto al propósito establecido en el Anexo I adjunto aquí, y G-P solo procesará Datos de Clientes mientras preste servicios al Cliente; (b) vender cualquier Datos de Clientes; (c) compartir cualquier Datos del Cliente; o (d) combinar los Datos del Cliente que G-P recibe de, o en nombre de, Cliente con los "datos personales" (según se defina dicho término o equivalente según las Leyes de Protección de Datos aplicables) que reciba de, o en nombre de, otra persona, o recopile de su propia interacción con un consumidor, siempre que G-P pueda combinar Datos del Cliente si está dentro del ámbito de la capacidad de servicios al Cliente. Cuando corresponda, cada Parte deberá notificar a la otra si determina que ya no puede cumplir con sus obligaciones bajo las Leyes de Privacidad de EE. UU.​​ 
 

4. TRANSFERENCIAS INTERNACIONALES DE DATOS​​ 

4.1​​  Protección adecuada​​ . G-P está autorizada, en el curso normal del negocio, a realizar transferencias mundiales de Datos de Clientes a sus afiliados y/o subprocesadores.  Al realizar dichas transferencias a un territorio que no fue reconocido por las autoridades competentes de protección de datos como proporcionando un nivel adecuado de protección para los datos personales según las Leyes de Protección de Datos, G-P garantizará la protección adecuada para salvaguardar los datos de los clientes transferidos bajo o en relación con el Acuerdo Maestro.​​ 
4.2​​  Marco de Privacidad de Datos.​​  Profesionales​​  y los datos de los clientes se almacenan en GPP, que está alojado en EE. UU. G-P está certificado bajo el Marco de Privacidad de Datos UE-EE. EE. UU. (EU-UU. DPF) y, según corresponda, la Extensión del Reino Unido al DPF UE-EEE. UU. y el Marco Suizo-EE. UU. Marco de Privacidad de Datos (Suizo-EE.UU. DPF). La certificación de G-P puede confirmar públicamente en el sitio web del DPF​​   . El Marco de Privacidad de Datos UE-EE. UU. fue considerado adecuado por la Comisión Europea, siendo un mecanismo legal de transferencia de datos conforme al Artículo 45 del Reglamento General de Protección de Datos, el Reglamento General de Protección de Datos del Reino Unido y el FADP, respectivamente. Si el(los) Marco(s) DPF(es) son invalidados, suspendidos o ya no se reconocen como proporcionando protección adecuada para las transferencias internacionales de datos, el Procesador acepta celebrar y cumplir con los SCC emitidos o aprobados por la Comisión Europea, la Oficina del Comisionado de Información del Reino Unido (ICO) o el Comisionado Federal Suizo de Protección de Datos e Información (FDPIC), según corresponda. Las Partes cooperarán de buena fe para implementar cualquier medida complementaria necesaria que garantice un nivel esencialmente equivalente de protección para los datos transferidos.​​ 
4.3​​  Cláusulas contractuales estándar.​​  Las Partes acuerdan que, cuando la transferencia de datos personales del Cliente (como "exportador de datos") a G-P (como "importador de datos") sea una Transferencia Restringida y las leyes aplicables de Protección de Datos requieran que se establezcan las salvaguardas adecuadas, dicha transferencia estará sujeta a las Cláusulas Contractuales Estándar correspondientes, que se considerarán incorporadas y formarán parte de esta DPA, De la siguiente manera:​​ 
a. En relación con las transferencias de Datos Personales protegidas por el Reglamento General de Protección de Datos, se aplicarán los SCC de la UE, que se completarán de la siguiente manera:​​ 
i. Se aplicarán los Módulos Uno y Dos;​​ 
ii. En la cláusula 7, se aplicará la cláusula de acoplamiento opcional;​​ 
iii. en la Cláusula 9 del Módulo Dos, se aplicará la Opción 2 , y el plazo para el aviso previo de cambios en el subprocesador será el establecido en la sección 3.5 de esta DPA;​​ 
iv. En la cláusula 11, el lenguaje opcional no se aplicará;​​ 
v. en la cláusula 12, cualquier reclamación presentada en virtud de las Cláusulas Contractuales Tipo de la UE estará sujeta a los términos y condiciones establecidos en el Acuerdo marco;​​ 
vi. en la Cláusula 17, se aplicará la Opción 1 , y los SCC de la UE estarán regidos por la legislación irlandesa;​​ 
vii. En la cláusula 18(b), las controversias se resolverán ante los tribunales de Irlanda;​​ 
viii. El Anexo I de los SCC de la UE se considerará completado con la información establecido en el Anexo 1 de este DPA; y​​ 
ix. El Anexo II de los CSC de la UE se considerará completado con la información recogida en el Anexo 2 de este DPA;​​ 
x. El Anexo III del Módulo Dos de los SCC de la UE se considerará completado con la información recogida en el Anexo 3 de este DPA.​​ 
b. En relación con las transferencias de datos personales protegidos por las leyes de protección de datos del Reino Unido o las leyes de protección de datos de Suiza, las CCT de la UE, tal como se implementan en virtud de los subpárrafos (a) anteriores, se aplicarán con las siguientes modificaciones:​​ 
i. Las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias a las leyes de protección de datos del Reino Unido o a las leyes de protección de datos suizas (según corresponda);​​ 
ii. las referencias a artículos específicos del "Reglamento (UE) 2016/679" deberán ser sustituidas por el artículo o sección equivalente de la Ley de Protección de Datos del Reino Unido o de la Ley Suiza de Protección de Datos (según corresponda);​​ 
iii. Las referencias a "UE", "Unión", "Estado miembro" y "Derecho del Estado miembro" se sustituirán por referencias a "Reino Unido" o "Suiza", o "Derecho del Reino Unido" o "Derecho suizo" (según corresponda);​​ 
iv. El término «estado miembro» no se interpretará de forma que excluya a los interesados en el Reino Unido o Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (es decir, el Reino Unido o Suiza);​​ 
v. No se emplean la cláusula 13(a) ni la Parte C del Anexo I y la "autoridad supervisora competente" es el Comisionado de Información del Reino Unido o el Comisionado Federal Suizo de Información sobre Protección de Datos (según corresponda);​​ 
vi. Las referencias a la "autoridad supervisora competente" y a los "tribunales competentes" se sustituirán por referencias al "Comisionado de Información" y a los "tribunales de Inglaterra y Gales" o al "Comisionado Federal Suizo de Información sobre Protección de Datos" y a los "tribunales aplicables de Suiza" (según corresponda);​​ 
vii. en la Cláusula 17, las Cláusulas Contractuales Estándar estarán regidas por las leyes de Inglaterra y Gales o Suiza (según corresponda); y​​ 
viii. Con respecto a las transferencias a las que se aplican las Leyes de Protección de Datos del Reino Unido, la Cláusula 18 se modificará para establecer "Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. El interesado podrá interponer una demanda contra el exportador y/o importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someter a la jurisdicción de dichos tribunales", y con respecto a las transferencias a las que se aplican las Leyes Suizas de Protección de Datos, la Cláusula 18(b) establecerá que las disputas se resolverán ante los tribunales competentes de Suiza.​​ 
ix. En relación con los datos protegidos por el Reglamento General de Protección de Datos del Reino Unido, los SCC de la UE se aplicarán de la siguiente manera: (i) se aplicarán conforme se completen conforme a los párrafos (i) a (viii) anteriores; y (ii) se considerará enmendada según lo especificado por la Parte 2 del Anexo del Reino Unido, que se considerará incorporada y formará parte integral de este DPA. Además, las tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se completarán respectivamente con la información recogida en el Anexo I y el Anexo II de esta APD y la tabla 4 de la Parte 1 del Anexo del Reino Unido se considerarán completadas seleccionando "ninguna de las partes".​​ 
do. En relación con las transferencias de datos personales protegidos por la LGPD de Brasil, ya sea directamente o mediante transferencia posterior, a un país fuera de Brasil que no esté sujeto a una decisión de adecuación emitida por la ANPD, las CCT de Brasil se considerarán celebradas e incorporadas al presente DPA por esta referencia, y se completarán de la siguiente manera:​​ 
i. La cláusula 2 de los CSC de Brasil se satisface con la información establecido en el Anexo I, que describe la transferencia de datos;​​ 
ii. En la cláusula 3 de las CCT de Brasil, se aplicará la opción B, permitir transferencias posteriores de conformidad con la sección 3.5 (“Subprocesadores”) de este PAD. El objeto, la naturaleza y la duración del tratamiento se establecen en el Anexo I del presente Acuerdo de Protección de Datos;​​ 
iii. La cláusula 4 de los CSC de Brasil se satisface con la información establecido en el Anexo I de este DPA. Cuando G-P sea un Controlador, será la "Parte Designada", según lo definido en los SCC de Brasil, y para efectos de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos de los Sujetos) y la Cláusula 16 (Notificación de Incidentes) de los SCC de Brasil. El cliente sigue siendo responsable del cumplimiento de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos del Sujeto de Datos) y la Cláusula 16 de Reporte de Incidentes) de los SCC de Brasil para cualquier dato personal de los que pudiera ser Responsable;​​ 
iv. En la Cláusula 9 de los SCC de Brasil, la cláusula opcional de acoplamiento no se aplicará; y​​ 
v. La Sección III (Medidas de Seguridad) de las CSC de Brasil se considerará completada con la información establecido en el Anexo II de este DPA.​​ 
4.4​​  Transferencias de datos imprevistas​​ . Si, en el curso de la capacidad de los Servicios, cualquiera de las Partes identifica que se produce o es probable que se produzca una transferencia de Datos Personales que no esté ya contemplada en los mecanismos establecido en las Secciones 4.1 a 4.3 de este Acuerdo de Protección de Datos, las Partes se notificarán mutuamente de inmediato y cooperarán de buena fe para implementar, sin demora indebida, los mecanismos de transferencia adicionales o las medidas suplementarias que puedan ser necesarias en virtud de las Leyes de Protección de Datos aplicables para garantizar la legalidad de dicha transferencia. Ninguna de las Partes estará obligada a proceder con ninguna transferencia imprevista de este tipo hasta que se acordó y puesto en marcha el mecanismo adecuado.​​ 
 

Anexo I​​  

Descripción del procesamiento de datos​​ 
DETALLES DE LA RELACIÓN CONTROLADOR INDEPENDIENTE - CONTROLADOR​​ 
(Esta sección se refiere a los detalles de los datos personales que se comparten entre las Partes en su calidad de Responsables)​​ 
Partidos​​ 
Exportador de datos: Entidad cliente que suscribe el Acuerdo marco.​​ 
Importador de datos: Globalization Partners LLC.​​ 
Datos de contacto de las partes​​ 
Datos de contacto según se establezcan en el Acuerdo Maestro.​​ 
Actividades relevantes para los datos transferidos​​ 
Actividades relacionadas con los servicios de la Plataforma global de empleo (Empleador de Registro).​​ 
Roles​​ 
Exportador de datos: Controlador.​​ 
Importador de datos: Controlador.​​ 
Actividades de procesamiento​​ 
Los Datos Personales procesados/transferidos pueden estar sujetos a las siguientes actividades de Procesamiento: cualquier operación relativa a los Datos Personales independientemente de los medios y procedimientos aplicados, en individuo la recopilación, organización, almacenamiento, almacenamiento, uso, recuperación, consulta, archivo, transmisión, bloqueo, borrado o destrucción de datos, operación y mantenimiento de sistemas, cumplimiento normativo, funciones legales y de auditoría.​​ 
Duración del procesamiento​​ 
La vigencia del Acuerdo marco y de forma continua.​​ 
Naturaleza y propósito del procesamiento​​ 
El cliente puede transferir los datos del cliente a G-P, cuyo alcance es determinado y controlado por el cliente a su entera discreción. El Propósito del Procesamiento es proporcionar los Servicios de la Plataforma global de empleo (Empleador Registrado) conforme al Acuerdo Maestro.​​ 
Categorías de sujetos de datos​​ 
Profesionales.​​ 
Tipos de datos personales​​ 
Datos de contacto (que pueden incluir nombre, dirección, email, teléfono, fax, datos de emergencia y la información asociada a la zona horaria local).​​ 
Detalles de empleo (que pueden incluir educación, currículum, título del puesto, grado, demografía, datos de ubicación, nacionalidad y estado de cumplimiento de exportación, salario, bonificación).​​ 
Contenido del email de los sujetos de los datos.​​ 
Detalles de los servicios prestados a los interesados o en su beneficio.​​ 
Categorías especiales de datos (si corresponde)​​  
N/A​​ 
Retención​​ 
Los datos personales se conservarán al menos durante el periodo mínimo legalmente exigido de conservación, que sea conforme a los plazos de prescripción aplicables y cumpla con las buenas prácticas comerciales.​​ 
Autoridad Supervisora Competente​​ 
La autoridad supervisora competente se determinará conforme a las leyes aplicables de protección de datos e incluirá: la Comisión Irlandesa de Protección de Datos (para el Reglamento General de Protección de Datos de la UE); el Comisionado Federal Suizo de Protección de Datos e Información / FDPIC (por FADP suizo); la Oficina del Comisionado de Información del Reino Unido / ICO (por UK Reglamento General de Protección de Datos); y la Autoridade Nacional de Protección de Dados / ANPD (por Brasil LGPD).​​ 
Transferencias a subprocesadores​​  
En el caso de las transferencias a encargados del tratamiento, el objeto, la naturaleza y la duración del tratamiento son los mismos que los definidos anteriormente.​​ 
Datos de contacto de privacidad de G-P​​  
 
Atención: Oficina Global de Privacidad.​​  
 
 
 
DETALLES DE LA RELACIÓN CONTROLADOR-PROCESADOR​​ 
(Esta sección se refiere a los detalles de los Datos Personales que está siendo procesados por G-P en nombre del Cliente)​​ 
Partidos​​ 
Exportador de datos: Entidad cliente que suscribe el Acuerdo marco.​​ 
Importador de datos: Globalization Partners LLC.​​ 
Datos de contacto de las partes​​ 
Datos de contacto según se establezcan en el Acuerdo Maestro.​​ 
Actividades relevantes para los datos transferidos​​ 
Actividades relacionadas con los servicios de la Plataforma global de empleo (Empleador de Registro) y el uso de GPP proporcionado al cliente como servicio.​​ 
Roles​​ 
Exportador de datos: Controlador​​ 
Importador de datos: Procesador​​ 
Actividades de procesamiento​​ 
Los Datos Personales procesados/transferidos pueden estar sujetos a las siguientes actividades de tratamiento: cualquier operación relativa a los Datos Personales independientemente de los medios y procedimientos aplicados, en individuo la recopilación, organización, almacenamiento, conservación, uso, recuperación, consulta, archivo, transmisión, bloqueo, borrado o destrucción de datos, operación y mantenimiento de sistemas, cumplimiento normativo, funciones legales y de auditoría.​​ 
Duración del procesamiento​​ 
La vigencia del Acuerdo marco y de forma continua.​​ 
Naturaleza y propósito del procesamiento​​ 
El cliente puede transferir los datos del cliente a G-P, cuyo alcance es determinado y controlado por el cliente a su entera discreción. El propósito del procesamiento es proporcionar GPP como Servicio al Cliente de acuerdo con el Acuerdo Maestro.​​ 
Categorías de sujetos de datos​​ 
Usuarios autorizados del GPP que pueden incluir empleados y/o contratistas del cliente.​​ 
Tipos de datos personales​​ 
Datos de contacto (como número de teléfono y email).​​ 
Datos de empleados / contratistas (como el título del puesto y el nombre de la compañía).​​ 
Datos de uso (como datos sobre el dispositivo del Usuario Autorizado y cómo interactúan con el GPP).​​ 
Datos de ubicación (como la ubicación derivada de la dirección IP).​​ 
datos de contenido (como el contenido de los archivos del cliente sobre los profesionales y comunicaciones relacionadas).​​ 
Credenciales (como contraseñas, contraseñas, pistas e información de seguridad similar empleada para la autenticación y el acceso a la cuenta GPP).​​ 
Cualquier dato personal proporcionado por usuarios autorizados.​​ 
Categorías especiales de datos (si corresponde)​​  
N/A​​ 
Retención​​ 
Los datos personales se conservarán al menos durante el periodo mínimo legalmente exigido de conservación, que sea conforme a los plazos de prescripción aplicables y cumpla con las buenas prácticas comerciales.​​ 
Autoridad Supervisora Competente​​ 
La autoridad supervisora competente se determinará conforme a las leyes aplicables de protección de datos e incluirá: la Comisión Irlandesa de Protección de Datos (para el Reglamento General de Protección de Datos de la UE); el Comisionado Federal Suizo de Protección de Datos e Información / FDPIC (por FADP suizo); la Oficina del Comisionado de Información del Reino Unido / ICO (por UK Reglamento General de Protección de Datos); y la Autoridade Nacional de Protección de Dados / ANPD (por Brasil LGPD).​​ 
Transferencias a subprocesadores​​  
En el caso de las transferencias a encargados del tratamiento, el objeto, la naturaleza y la duración del tratamiento son los mismos que los definidos anteriormente.​​ 
Datos de contacto de privacidad de G-P​​  
 
Atención: Oficina Global de Privacidad.​​  
 

Anexo II​​ 

Medidas Técnicas y Organizacionales​​ 

G-P fue certificado y acreditado para confirmar el cumplimiento de las normas SOC 2 y ISO 27001 , por contralor independientes. Estas certificaciones demuestran nuestro compromiso con la protección de los datos de los clientes. El programa de seguridad de G-P está diseñado para:​​ 

Proteger la confidencialidad, integridad y disponibilidad de los Datos de Clientes en posesión de G-P o a los que G-P tiene acceso;​​ 

Proteger contra cualquier amenaza o peligro anticipado a la confidencialidad, integridad y disponibilidad de los Datos de los Clientes;​​ 

Proteger contra accesos, uso, divulgación, alteración o destrucción no autorizados o ilegales de los Datos de los Clientes;​​ 

Proteger contra la pérdida accidental, destrucción o daño a los datos del cliente; y​​ 

Salvaguardar la información según lo establecido en cualquier regulación por la que el G-P pueda regular.​​ 

A continuación se describen las funciones, procesos, controles, sistemas, procedimientos y medidas que G-P adoptó para garantizar la seguridad del procesamiento de datos de clientes:​​ 

1) MEDIDAS TÉCNICAS PARA GARANTIZAR LA PRIVACIDAD Y LA PROTECCIÓN DE LOS DATOS​​ 

Privacidad por diseño y por defecto:​​ 

G-P tiene en cuenta los requisitos del artículo 25 Reglamento General de Protección de Datos en la fase de concepción y desarrollo del desarrollo del producto. Los procesos y funcionalidades se organizan de tal manera que los principios de protección de datos como la legalidad, transparencia, limitación de propósitos, minimización de datos, etc., así como la seguridad del procesamiento, se consideren en una fase temprana.​​ 

b) Cifrado de datos personales:​​ 

Cerciorando que los datos personales solo se almacenen en el sistema de manera que no permita a terceros identificar al sujeto de los datos.​​ 

Cifrado de bases de datos y almacenamiento:​​ 

En todas las bases de datos empleadas por G-P se emplea un cifrado "en reposo" según el estado del arte, de modo que los datos de la base de datos solo pueden leer tras una autenticación adecuada en el sistema de base de datos correspondiente.​​ 

Cifrado de medios de datos móviles:​​ 

No se permite el uso de operadores de datos móviles para almacenar datos de clientes.​​ 

Cifrado de los portadores de datos en portátiles:​​ 

En las computadoras portátiles de todos los empleados se instaló un sistema de cifrado de disco duro de última generación.​​ 

Intercambio cifrado de información y archivos:​​ 

En principio, el intercambio de información y archivos se cifra directamente mediante una solicitud especial. Si los datos personales o la información confidencial deben transferir a servidores que no pueden enviar mediante cargas HTTPS cifradas con TLS, estos se transferirán empleando el Protocolo de Transferencia Segura de Archivos (SFTP), un servicio de sobres cifrado u otro mecanismo cifrado según el estado del arte.​​ 

Cifrado de email:​​ 

En principio, todos los emails enviados por empleados de G-P están cifrados con TLS. Las excepciones pueden ser si el servidor de correo receptor no soporta TLS. El cliente debe cerciorar de que los servidores de correo correspondientes empleados dentro del alcance del pedido soporten cifrado TLS​​ 

c) Control de admisión​​ 

Los controles de acceso están diseñados y se implementan con el fin de impedir el uso y procesamiento de datos protegidos por las leyes de protección de datos por parte de personas no autorizadas.​​ 

Uso de métodos de autenticación​​ 

El acceso a los datos personales siempre se realiza mediante protocolos cifrados: SSH, SSL/TLS, HTTPS o protocolos similares. Procedimiento de autenticación para sistemas informáticos: Autenticación multifactor de inicio de sesión en el sistema informático.​​ 

Bloqueo automático en caso de inactividad.​​ 

Los portátiles empleados por empleados de G-P están bloqueados con protección con contraseña o PIN cuando no están en uso por el usuario. Además, se activa un bloqueo automático de pantalla con protección por contraseña tras 15 minutos de inactividad.​​ 

Uso de software antivirus​​ 

Los portátiles empleados por los empleados de G-P están equipados con un software antivirus de última generación que se mantiene actualizado en todos los sistemas informáticos operativos o empresariales. Por principio, ninguna computadora puede operar sin protección antivirus residente a menos que se adoptaron otras medidas de seguridad equivalentes de última generación o no exista riesgo. Los ajustes de seguridad por defecto no deben desactivar ni eludir.​​ 

"Política de escritorio limpio"​​ 

Se instruye a los empleados de G-P de no imprimir ni almacenar localmente datos personales de los sujetos de datos, no dejar materiales de trabajo en lugares donde puedan ser vistos por terceros y almacenar todos los materiales de trabajo correctamente. Los documentos que G-P está obligado por ley a conservar en papel se almacenan en clósets cerrados con llave.​​ 

d) Controles de acceso dentro de la plataforma​​ 

Los controles de acceso garantizan que las personas autorizadas a emplear un sistema de procesamiento tengan acceso únicamente a los datos personales cubiertos por su autorización de acceso.​​ 

Roles y autorización​​ 

Plataforma de Roles y Autorización – Acceso al Cliente Los usuarios pueden ver y editar la información de la cuenta del cliente.​​ 

Roles y Plataforma de Autorización – Acceso Profesional Los usuarios profesionales pueden ver y editar su propia información profesional.​​ 

Los profesionales también pueden obtener el rol de acceso de cliente según los requisitos y la aprobación.​​ 

Plataforma de Roles y Autorización – Acceso Interno​​ 

Los usuarios con acceso interno desempeñan diversas funciones. Tienen acceso variable para crear, ver, editar y aprobar lo siguiente:​​ 

Información del cliente​​ 

Información de facturación​​ 

Información sobre socios​​ 

Información sobre registros profesionales de personal​​ 

El acceso al sistema de administración generalmente se limita a empleados formados en las áreas de atención al cliente y desarrollo de productos.​​ 

e) Firewall como servicio​​ 

G-P emplea un firewall externo como servicio que le permite conceder o bloquear el acceso a sitios web para cerciorar de que los sistemas no puedan acceder a contenido malicioso y para restringir el acceso a contenido inapropiado.​​ 

f) Registro de inicio de sesión en la plataforma​​ 

G-P mantiene un registro de toda la actividad de inicio de sesión.​​ 

g) Separabilidad​​ 

Garantizar que los datos personales recogidos para diferentes fines puedan procesar por separado y se separen de otros datos y sistemas de tal manera que se excluya el uso no planeado de estos datos para otros fines.​​ 

Separación de los entornos de desarrollo, prueba y operación.​​ 

Los datos del entorno operativo solo podrán transferir a entornos de prueba o desarrollo si se han anonimizado por completo antes de la transferencia. La transferencia de los datos anonimizados debe realizar de forma cifrada o a través de una red segura.​​ 

El software que se vaya a transferir al entorno operativo debe probar primero en un entorno de prueba idéntico ("staging"). Los programas para el análisis de errores o la creación/compilación de software solo podrán emplear en el entorno operativo si esto no puede evitar. Esto ocurre especialmente si las situaciones de error dependen de datos que se falsificarían debido a los requisitos de anonimización al transferirlos a entornos de prueba.​​ 

Separación en redes​​ 

G-P separa sus redes según las tareas. Las siguientes redes se emplean de forma permanente: entorno operativo ("Producción"), entorno de pruebas ("Staging", "Sandbox"), entorno de desarrollo ("Dev") personal de TI de oficina. Además de estas redes, se crean redes separadas adicionales según sea necesario, por ejemplo, para pruebas de restauración y pruebas de penetración. Dependiendo de las posibilidades técnicas, las redes se separan físicamente o mediante redes virtuales.​​ 

h) Control de disponibilidad​​ 

G-P toma las siguientes medidas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental.​​ 

Procedimientos/copias de seguridad de datos​​ 

Para garantizar una disponibilidad adecuada, G-P implementa instantáneas diarias de su base de datos con replicación a una región diferente. También se toman medidas para cerciorar que los empleados con necesidad laboral de revisar datos tengan acceso únicamente a conjuntos de datos réplica.​​ 

Redundancia geográfica respecto a la infraestructura de servidores de datos productivos y copias de seguridad​​ 

Gestión de incidentes de TI ("Gestión de respuesta a incidentes")​​ 

Existe un concepto y procedimientos documentados para el manejo de incidentes y eventos relacionados con la seguridad. Esto incluye la planeación y preparación de la respuesta ante incidentes, los procedimientos para el seguimiento, la detección y el análisis de eventos relevantes para la seguridad, así como la definición de las responsabilidades correspondientes y los canales de denuncia en caso de una violación de la protección de datos personales en el marco de los requisitos legales.​​ 

2) MEDIDAS ORGANIZACIONALES PARA GARANTIZAR LA PRIVACIDAD Y LA PROTECCIÓN DE LOS DATOS​​ 

G-P implementó las siguientes medidas organizacionales para garantizar que la organización opere de manera que cumpla con los requisitos de privacidad y protección de datos.​​ 

a) Instrucciones organizacionales​​ 

G-P desarrolló y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y directrices para que los empleados las sigan. La documentación incluye información sobre cómo identificar y gestionar los problemas de privacidad de datos, las mejores prácticas para garantizar el cumplimiento de la normativa de privacidad y las políticas para abordar los incidentes relacionados con la privacidad.​​ 

b) Compromiso con la confidencialidad y la protección de datos.​​ 

G-P desarrolló y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y directrices para que los empleados las sigan. Todos los empleados y contratistas están obligados por escrito a la confidencialidad y la protección de datos, así como a otras leyes pertinentes. Todos los empleados reciben formación en privacidad y seguridad. Se realizan auditorías internas sobre protección de datos y seguridad de la información de forma regular. Las auditorías se realizan en base a criterios o esquemas comunes de prueba. Los empleados y contratistas de G-P están instruidos a procesar datos personales únicamente por motivos legales, conforme a los contratos aplicables con el cliente y el profesional, teniendo en cuenta cualquier consentimiento expreso dado o negado por el sujeto de los datos, y en cumplimiento de cualquier deber legal de la organización.​​ 

c) Formación en protección de datos​​ 

Todos los empleados reciben formación en privacidad y seguridad que permanece disponible para revisión en cualquier momento en la plataforma de formación G-P.​​ 

d) Controles de acceso físico​​ 

G-P cuenta con los siguientes controles físicos para negar el acceso a personas no autorizadas al equipo de sistemas informáticos empleado para su procesamiento.​​ 

Protección electrónica de puertas​​ 

Las puertas de entrada a las oficinas de G-P siempre están cerradas y aseguradas electrónicamente. Las puertas se abren mediante un transpondedor electrónico personal.​​ 

Distribución controlada de claves​​ 

Se realiza una asignación central y documentada de claves a los empleados de G-P. Estos transpondedores/llaves electrónicas podían ser desactivados centralmente por cada responsable de oficina o por el departamento de Recursos Humanos.​​ 

Supervisión y acompañamiento de personas externas​​ 

Los proveedores externos de servicios y otros terceros solo podrán acceder a las instalaciones mediante autorización previa o cuando estén acompañados por un empleado de G-P. G-P aplica su Política de Visitantes escrita cuando se invita a los visitantes a las instalaciones.​​ 

Cerciorar las instalaciones con mayor necesidad de protección​​ 

Los locales o clósets que requieren mayor protección, como las oficinas legales y ciertas ubicaciones de operaciones, están equipados con clósets y cajones con cerradura. Los clósets y cajones donde se almacenan documentos legales, contratos y documentación confidencial deben permanecer cerrados con llave en todo momento, excepto cuando se estén empleando.​​ 

Puertas y ventanas cerradas​​ 

Se instruye organizativamente a los empleados para que mantengan ventanas y puertas cerradas o cerradas fuera del horario de oficina.​​ 

e) Recuperabilidad​​ 

G-P garantiza que los sistemas en uso puedan restaurar en caso de fallo físico o técnico.​​ 

Pruebas periódicas de recuperación de datos ("Pruebas de restauración")​​ 

Se realizan pruebas de restauración completas periódicas para garantizar la capacidad de recuperación en caso de emergencia o desastre.​​ 

Plan de emergencia ("Concepto de Recuperación ante Desastres")​​ 

Existe un concepto para el tratamiento de emergencias/desastres y un plan de emergencia correspondiente. G-P garantiza la recuperación de todos los sistemas a partir de las copias de seguridad o copias de seguridad de datos, normalmente en un plazo de 48 horas.​​ 

Medidas de revisión y evaluación​​ 

Presentación de los procedimientos para la revisión periódica, evaluación y valoración de la efectividad de las medidas técnicas y organizacionales.​​ 

f) Equipo de Privacidad​​ 

La organización cuenta con una Oficina de Privacidad global de los datos encargada de planear, implementar, evaluar y adaptar medidas en el ámbito de la protección de datos.​​ 

g) Gestión de riesgos​​ 

Existe un proceso para analizar, evaluar y asignar riesgos, así como para derivar medidas en función de estos riesgos.​​ 

3) REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN​​ 

Realización de auditorías​​ 

Se realizan auditorías internas sobre protección de datos y seguridad de la información de forma regular. Las auditorías se realizan en base a criterios o esquemas comunes de prueba.​​ 

b) Revisión del cumplimiento de las políticas y normas de seguridad.​​ 

El cumplimiento de las directrices de seguridad, normas y otros requisitos de seguridad aplicables para el tratamiento de datos personales se revisa de manera regular. Cuando es posible, estas comprobaciones se realizan de forma aleatoria e inesperada.​​ 

c) Verificación del cumplimiento de las especificaciones técnicas​​ 

El departamento de TI u otro personal cualificado realiza periódicamente análisis de vulnerabilidades, tanto automatizados como manuales, para verificar la seguridad de las aplicaciones y la infraestructura, así como el desarrollo habitual del producto. Un proveedor de servicios externo lleva a cabo pruebas de penetración detalladas para examinar específicamente las aplicaciones y la infraestructura en busca de vulnerabilidades.​​ 

d) Procesamiento según instrucciones​​ 

Los empleados de G-P están instruidos a procesar datos personales únicamente por motivos legales, conforme a los contratos aplicables con el cliente y el profesional, teniendo en cuenta cualquier consentimiento expreso dado o retenido por el usuario de los datos, y cumpliendo con cualquier deber legal de la organización.​​ 

e) Selección cuidadosa de proveedores​​ 

G-P sigue su Proceso de Precalificación de Proveedores al seleccionar proveedores y proveedores que puedan encontrar con datos protegidos. Este proceso incluye comentarios de los departamentos de Finanzas y Legal/Privacidad e incorpora pasos de evaluación de riesgos, precualificación de seguridad y certificación documental. Los proveedores que procesen datos protegidos deberán demostrar su cumplimiento de las leyes de privacidad de datos aplicables, incluido el Artículo 28 Reglamento General de Protección de Datos para los datos cubiertos​​ 

Anexo III​​ 

Lista de subprocesadores​​ 
Subprocesador​​ 
Ubicación e información de contacto​​ 
Descripción del procesamiento​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, EE. UU.​​ 
Servicios financieros​​ 
P.O. Caja 81226​​ 
Seattle, WA 98108-1226, EE. UU.​​ 
Hosting – Proveedor de servicios en la nube​​ 
Microsoft Corporation One Microsoft Way​​ 
Redmond, Washington 98052 EE. UU. Teléfono: (+1) 425-882-8080.​​ 
Soporte de procesos de negocio para la gestión de comunicaciones (email) y servicios.​​ 
350 Planta de Bush Street 13​​ 
Santo Francisco, CA 94104, EE. UU.​​ 
+1 415 701 1110​​ 
Soporte de procesos de negocio para la gestión de servicios​​ 
DocuSign International (Europa, Oriente Medio y África (EMEA)) Ltd, Atención: Equipo de Privacidad, 5 Hanover Quay, Planta baja, Dublín 2, República de Irlanda​​ 
Gestión documental​​ 
Salesforce Tower, 415 Mission Street, 3piso de carrera, Santo Francisco, CA 94105, EE. UU.​​ 
1-800-387-3285​​ 
Soporte de Procesos de Negocio para la Gestión de Relaciones con Clientes (CRM)​​ 
989 Market St​​ 
Santo Francisco, CA 94103, EE. UU.​​ 
888-670-4887​​ 
Consultas de soporte técnico para atención al cliente​​ 
2225 Lawson Lane, Santa Clara, CA, 95054​​ 
EE. UU.​​ 
Soporte de Procesos de Negocio para la gestión de servicios y operaciones de TI, el empleado y el cliente experimentan a través de (​​ flujo de trabajo automatizado basado en la nube)​​ 
160 Spear Street, 15piso Santo Francisco, CA 94105 1-866-330-0121​​ 
EE. UU.​​ 
Infraestructura de almacén de datos en la nube.​​ 
620 8el​​  Ave 45​​ el​​  Suelo​​ 
Nueva York, NY 10018​​ 
EE. UU.​​ 
Herramienta de monitorización y depuración de servicios​​ 
Avenue Louise 54, Habitación s52,​​ 
1050 Bruselas​​ 
Bélgica​​ 
Procesador de pagos online​​ 
1600 Anfiteatro Pkwy, Mountain View, CA 94043​​ 
Soporte de procesos de negocio para comunicaciones (email) y almacenamiento interno de documentos​​