Los términos en mayúsculas utilizados pero no definidos en el presente APD tendrán el significado establecido en el Acuerdo.
- 1.DEFINICIONES
- 1.1Por «Responsable del Tratamiento» se entiende la entidad que, sola o conjuntamente con otras, determina los fines y los medios del Tratamiento de los Datos Personales.
- 1.2 «Leyes de Protección de Datos » significa todas las leyes aplicables al Procesamiento de Datos Personales de la Parte respectiva.
- 1.3 «Sujeto de los datos» significa cualquier persona física sobre la que puedan tratarse datos personales en virtud de la presente DPA.
- 1.4 Por «Datos Personales » se entenderá la información relativa a una persona física identificada o identificable que el Cliente facilite a los Servicios.
- 1.5 «Proceso » o «Tratamiento» significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción de Datos Personales.
- 1.6 «Encargado del tratamiento» se refiere a la entidad que trata los datos personales por cuenta del responsable del tratamiento.
- 2. Relación entre las Partes. El Cliente y Aryaka han suscrito un Acuerdo de Servicios.
Las Partes reconocen que el Cliente es un Controlador a efectos del Acuerdo y Aryaka es un Procesador.
Las Partes Procesarán los Datos Personales de conformidad con el Acuerdo y las Leyes de Protección de Datos aplicables. - 3. Obligaciones del Cliente. El Cliente proporcionará únicamente los Datos Personales que sean adecuados, relevantes y razonablemente necesarios para que Aryaka pueda prestar los Servicios.
El Cliente declara y garantiza que su recopilación de Datos Personales y su divulgación a Aryaka cumple con todas las Leyes de Protección de Datos aplicables. - 4. Instrucciones.
. Aryaka tratará los Datos Personales únicamente
(i) de conformidad con las instrucciones del Cliente documentadas en el Acuerdo y descritas con mayor detalle en el Anexo IB; y
(ii) según sea necesario para cumplir con la legislación aplicable, siempre que Aryaka no esté obligada a actuar conforme a ninguna instrucción del Cliente que pudiera (en opinión razonable de Aryaka) hacer que Aryaka incumpla la legislación aplicable.
Aryaka informará al Cliente si considera que cualquier instrucción del Cliente en relación con el Tratamiento de Datos Personales infringiría la legislación aplicable en materia de protección de datos. - 5. Seguridad. Aryaka tomará las medidas razonables para implementar medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos Personales contra amenazas o peligros anticipados a su seguridad, confidencialidad o integridad.
Aryaka se asegurará de que las personas autorizadas para procesar Datos Personales se hayan comprometido a la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad. - 6. Violación de datos. Aryaka notificará al Cliente sin demora indebida siempre que Aryaka tenga conocimiento de que se ha producido una violación de la seguridad que haya dado lugar a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales Procesados (cada uno, una «Violación de Datos«), a menos que lo prohíba la legislación aplicable o lo ordene de otro modo la aplicación de la ley o una autoridad de supervisión.
Teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Aryaka, Aryaka tomará medidas razonables para ayudar al Cliente, a petición razonable del Cliente, en el cumplimiento de las obligaciones de notificación del Cliente con respecto a las violaciones de datos según lo requerido por la ley aplicable.
Aryaka se reserva el derecho de cobrar una tarifa razonable al Cliente por cualquier asistencia solicitada. - 7. Devolución o eliminación. Dentro de los 30 días siguientes a la terminación del Acuerdo, el Cliente podrá solicitar que Aryaka destruya o devuelva todos los Datos Personales al Cliente, a menos que la ley aplicable requiera el almacenamiento de los Datos Personales por parte de Aryaka.
- 8. Auditorías; Consultas. A petición razonable del Cliente (que se ejercerá no más de una vez al año, a menos que sea requerido con mayor frecuencia por una autoridad de supervisión) Aryaka pondrá rápidamente a disposición del Cliente toda la información en su poder necesaria para demostrar el cumplimiento de Aryaka con sus obligaciones en virtud del presente APD y permitirá y contribuirá a las auditorías razonables.
Toda la información facilitada será Información Confidencial de Aryaka y no podrá ser divulgada sin el previo consentimiento por escrito de Aryaka, salvo que así lo exija la legislación aplicable. - 9. Subcontratación. El Cliente autoriza a Aryaka a transferir Datos Personales a sub-procesadores con el fin de prestar los Servicios al Cliente.
Aryaka mantendrá una lista de los sub-procesadores.
En el Anexo III se incluye una lista actualizada de los subencargados del tratamiento.
Aryaka notificará al Cliente con 14 días de antelación cuando añada un subencargado del tratamiento a esta lista y le dará la oportunidad de oponerse a dicha adición.
Si Aryaka no recibe una objeción en los 14 días siguientes a la notificación, se considerará que el subencargado del tratamiento ha sido aceptado por el Cliente.
Aryaka celebrará con dicho subencargado un acuerdo que incluya condiciones de protección de datos similares a las del presente APD. - 10. Asistencia de Aryaka. A petición razonable del Cliente y teniendo en cuenta la naturaleza del Procesamiento, Aryaka tomará medidas razonables para ayudar al Cliente con la obligación del Cliente de responder a las solicitudes de los Titulares de los Datos para ejercer sus derechos en virtud de la legislación aplicable mediante la adopción de medidas técnicas y organizativas adecuadas.
Teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Aryaka, Aryaka también ayudará al Cliente, a petición razonable del Cliente, a cumplir con sus obligaciones de cumplimiento relativas a la realización de evaluaciones de impacto de protección de datos y consultas relacionadas de las autoridades de supervisión.
Aryaka se reserva el derecho de cobrar una tarifa razonable al Cliente por dicha asistencia solicitada. - 11. Disposiciones de la Ley de Privacidad del Consumidor de California (CCPA).
- 11.1 Cumplimiento legal. Aryaka proporcionará el mismo nivel de protección de la privacidad de los Datos Personales de los residentes de California que el exigido al Cliente en virtud de la CCPA.
Aryaka notificará al Cliente por escrito si Aryaka determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA.
El Cliente tiene derecho, previa notificación a Aryaka, a tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales, incluso cuando Aryaka haya notificado al Cliente que ya no puede cumplir con sus obligaciones en virtud de la CCPA. - 11.2 Restricción del tratamiento. En ningún caso Aryaka podrá:
(a) revelar Datos Personales de residentes de California a un tercero a cambio de una contraprestación monetaria u otra contraprestación de valor o revelar Datos Personales a un tercero para publicidad conductual de contexto cruzado;
(b) revelar Datos Personales de residentes de California a terceros para el beneficio comercial de Aryaka o de terceros;
(c) retener, utilizar o divulgar Datos Personales de residentes en California fuera de la relación comercial directa de Aryaka con el Cliente o para un fin comercial distinto de los fines comerciales especificados en el Acuerdo o según lo permitido por las leyes aplicables; o
(d) combinar Datos Personales de residentes en California con información personal que Aryaka reciba de, o en nombre de, otras personas, o que recopile a partir de su propia interacción con el Sujeto de Datos, salvo en la medida en que lo permitan las leyes aplicables.
Aryaka certifica que entiende y cumplirá con las restricciones anteriores. - 12. Transferencias de datos
- 12.1 Transferencias Restringidas de Datos Personales Sujetas al GDPR. Las Cláusulas Contractuales Tipo de la UE (Módulo 2 Controlador a Procesador) ((UE) 2021/914) disponibles en [www .aryaka.com/SCC2021-Controller-to-Processor /] («CEC de la UE»), e incorporadas aquí por referencia, junto con los Anexos I y II adjuntos se aplicarán a cualquier transferencia de Datos Personales que esté sujeta al Reglamento General de Protección de Datos de la UE ((UE) 2016/679) («GDPR»).
No obstante lo anterior, los CEC de la UE no se aplicarán en la medida en que la transferencia esté cubierta por (i) una decisión adoptada por una autoridad competente con jurisdicción sobre el Cliente que declare que una jurisdicción cumple con un nivel adecuado de protección de Datos Personales (una «Decisión de Adecuación»). - 12.1.1 En la Cláusula 9, las partes acuerdan que se aplicará la Opción 2 de conformidad con la Sección [9] (Subcontratación).
- 12.1.2 Se excluye el lenguaje opcional de la cláusula 11.
- 12.1.3 En la cláusula 17, las CEC de la UE se regirán por las leyes de los Países Bajos.
- 12.1.4 En la cláusula 18, cualquier litigio derivado de las CEC de la UE será resuelto por los tribunales de los Países Bajos.
- 12.1.5 En el Anexo IC, la autoridad de protección de datos en la que se encuentra el Cliente es la autoridad de control competente.
- 12.2.Transferencias restringidas desde Suiza. Los CEC de la UE, modificados en esta sección, se aplicarán a cualquier transferencia de Datos Personales que esté sujeta a la Ley Federal Suiza de Protección de Datos (FADP) y no esté sujeta de otro modo a una Decisión de Adecuación:
- 12.2.1 El término «Estado miembro de la UE» no debe interpretarse de forma que excluya a los interesados en Suiza de la posibilidad de demandar sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18 c).
- 12.2.2 Las referencias en los CEC de la UE al GDPR deben entenderse como referencias al FADP.
- 12.2.3 En la cláusula 17, las CEC de la UE se regirán por las leyes de Suiza.
- 12.2.4 En el Anexo IC, el Comisario Federal Suizo de Protección de Datos e Información es la autoridad de control competente.
- 12.3 Transferencias restringidas desde el Reino Unido. Cuando la Transferencia de Datos Personales esté sujeta a las leyes del Reino Unido (incluido el Reglamento General de Protección de Datos del Reino Unido) y no estén sujetas a una Decisión de Adecuación, las partes así lo acuerdan:
- 12.3.1 Las disposiciones del Apéndice sobre Transferencia Internacional de Datos del Reino Unido a las Cláusulas Contractuales Tipo de la Comisión de la UE, Versión B1.0, en vigor a partir del 21 de marzo de 2022, disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf («Apéndice del Reino Unido»), incluida la Parte 2 «Cláusulas Obligatorias», se incorporan aquí por referencia y se aplicarán en su totalidad;
- 12.3.2 En la Tabla 1 del Apéndice del Reino Unido, los nombres de las partes, sus funciones y sus datos figurarán en el Anexo 1 adjunto;
- 12.3.3 En los cuadros 2 y 3 del apéndice del Reino Unido, se aplicará el módulo 2 de los CEC de la UE incorporados a este APD por referencia, incluida la información que figura en los anexos adjuntos; y
- 12.3.4.En la Tabla 4 del Apéndice RU, cualquiera de las partes puede poner fin al Apéndice RU.
- 13. CONFLICTOS; APLICABILIDAD. Si cualquier disposición de este DPA se considera inválida o inaplicable por cualquier tribunal de jurisdicción competente, tal decisión no invalidará ni hará inaplicable ninguna otra disposición de este DPA o cualquier otro contrato entre el Cliente y Aryaka.
Este APD complementa el Contrato.
El presente APD prevalecerá en caso de contradicción entre el Acuerdo y el presente APD.
Cualquier otra disposición u obligación en virtud del Acuerdo que de otro modo no se vea afectada por el presente APD permanecerá en pleno vigor y efecto.
Si este APD, o cualquier acción que deba tomarse o se contemple tomar en ejecución de este APD, no satisface o no satisfaría las obligaciones de cualquiera de las partes bajo las leyes aplicables a cada parte, las partes negociarán de buena fe una enmienda apropiada a este APD.
ANEXO I
A. LISTA DE LAS PARTES
Exportador(es) de datos:
Nombre: Véase el formulario de pedido entre el cliente y Aryaka.
Dirección: Véase el formulario de pedido entre el cliente y Aryaka.
Nombre, cargo y datos de la persona de contacto: Véase la hoja de pedido entre el cliente y Aryaka.
Actividades relevantes para los datos transferidos bajo estas Cláusulas: Véase el Acuerdo entre el Cliente y Aryaka.
Firma y fecha: ————-
Función (controlador/procesador): Controlador
Importador(es) de datos:
Nombre: Aryaka Networks, Inc.
Dirección: 3945 Freedom Circle, Torre 1, Suite 1100, Santa Clara, CA 94 EE.UU.
Nombre, cargo y datos de contacto de la persona de contacto: Edward Frye, Director de Seguridad de la Información, [email protected].
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: Véase el Acuerdo entre las Partes.
Función (controlador/procesador): Procesador
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren
- Individuos que engloban al personal del Cliente, trabajadores temporales, asesores y todos aquellos afiliados a la plantilla del Cliente o que utilicen el sistema y los servicios ofrecidos.
Los clientes, proveedores, socios, vendedores y cualquier tercero del que el Cliente pueda poseer Datos Personales.Categorías de datos personales transferidos:
- Información relativa a los usuarios del Cliente, incluidos sus datos de contacto, o cualquier información compartida voluntariamente con Aryaka a través de los Servicios o canales alternativos.
Metadatos esenciales para la prestación de servicios adaptados al entorno específico del Cliente.
Estos metadatos engloban atributos como detalles del archivo, tipo de archivo, valores hash, argumentos de la línea de comandos, datos de acceso a la red (que incluyen direcciones IP y protocolos) e información relacionada con la red (que incluye direcciones IP de la red interna, direcciones IP públicas y datos de URL de sitios web).Datos sensibles transferidos (si procede) y restricciones o salvaguardas aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso sólo para personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales: Ninguna en general.
Sin embargo, únicamente con respecto a los servicios «Secure Web Gateway» y Firewall, cualquier dato sensible que pueda ser visible o estar expuesto en el tráfico del Cliente que fluye a través de los Servicios es incidental y depende del uso que el Cliente haga de dichos servicios. Frecuencia de la transferencia: ContinuaNaturaleza deltratamiento: Los servicios Aryaka Security at the Service Edge (SASE) representan un perímetro de red empresarial modernizado, realizado a través de una combinación estrechamente integrada de red y software de seguridad.
Este sistema enlaza las sucursales, los usuarios móviles, así como los centros de datos físicos y basados en la nube, garantizando una conexión segura y fiable tanto para la red de área amplia (WAN) como para el acceso a Internet Finalidad(es) de la transferencia de datos y su posterior procesamiento: Prestación de los Servicios al Cliente de conformidad con el Acuerdo y el Pedido celebrados entre las partes.
Periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo: Los datos personales se conservarán durante el periodo necesario para prestar los Servicios en virtud del Acuerdo, a menos que la legislación aplicable exija un periodo más largo.
Para las transferencias a (sub)encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del tratamiento: Véase la descripción anterior.
ANEXO II – MEDIDAS DE SEGURIDAD
Aryaka mantiene varias políticas, normas y procesos diseñados para asegurar los Datos Personales.
A continuación se describen algunas de las principales medidas de seguridad técnicas y organizativas implementadas por Aryaka. Controles de Acceso Físico Aryaka implementa y mantiene medidas diseñadas para evitar que personas no autorizadas obtengan acceso físico a las ubicaciones de Aryaka. Controles Técnicos de Acceso Aryaka implementa y mantiene medidas diseñadas para prevenir que personas no autorizadas obtengan acceso a los sistemas de procesamiento de datos de Aryaka, incluyendo:
- Protección híbrida contra la denegación de servicio distribuida (DDoS) que integra la detección y mitigación (en las instalaciones o en la nube) con la prevención de ataques DDoS volumétricos basados en la nube, y soporte 24×7 del Equipo de Respuesta ante Emergencias (ERT); y
- Seguridad en el borde de la red que proporciona soluciones avanzadas de seguridad perimetral integradas en el dispositivo de red de área extensa definida por software (SD-WAN) del cliente.
Controles de acceso a los datos Aryaka implementa y mantiene medidas diseñadas para restringir el acceso a su sistema de procesamiento de datos a las personas que necesitan dicho acceso dentro del ámbito y en la medida cubiertos por su respectivo permiso de acceso (autorización).
Controles deTrabajo Aryaka implementa y mantiene medidas diseñadas para garantizar que los Datos Personales que se procesan en el desempeño de los Servicios para el Cliente se procesan únicamente de conformidad con el Acuerdo.
Controles de Disponibilidad Aryaka implementa y mantiene medidas diseñadas para proteger los Datos Personales contra divulgación, destrucción accidental o no autorizada o pérdida.
ANEXO III – LISTA DE SUBPROCESADORES
Salesforce: Utilización: Gestión de las relaciones con los clientes Lugar de residencia de la instancia: Estados Unidos Accedido por personal de Aryaka desde: Estados Unidos, India, Alemania, Reino Unido, Canadá, Australia, Japón, Países Bajos, Corea del Sur y Suiza
NetSuite Uso: Contabilidad Ubicación donde reside la instancia: Estados Unidos Accedido por personal de Aryaka desde: Estados Unidos e India
Zuora: Uso: Facturación Localización donde reside la instancia: Estados Unidos Estados Unidos Accedido por personal de Aryaka desde: Estados Unidos e India
Marketo: Uso: Marketing y mensajería Ubicación donde reside la instancia: Estados Unidos Accedido por personal de Aryaka desde: Estados Unidos, Reino Unido e India