1.1 Interesado: la persona a la que se refieren los Datos Personales;
1.2 Acuerdo de Procesamiento de Datos: este anexo entre el Controlador y el Procesador.
1.3 Acuerdo: Acuerdo entre el Controlador y el Procesador en relación con los servicios proporcionados al Controlador por el Procesador;
1.4 Procesamiento: una operación de procesamiento o un conjunto de operaciones de procesamiento en relación a datos personales o conjuntos de datos personales, realizada por medio de procesos automatizados o de otro modo, como recopilación, registro, organización, estructuración, almacenamiento, actualización o modificación, recuperación, consulta, uso, difusión mediante transmisión, distribución o puesta a disposición en cualquier otra forma, alineación o combinación, bloqueo, borrado o destrucción de datos;
1.5 Anexo: anexo del Acuerdo de Procesamiento de Datos, que forma parte integral del acuerdo de Procesamiento de Datos;
1.6 GDPR: Reglamento General de Protección de Datos.
2.1 Dentro del alcance de este Acuerdo de Procesamiento de Datos, el Procesador se compromete a Procesar Datos Personales siguiendo las instrucciones del Controlador. El controlador y el procesador han establecido este Acuerdo de Procesamiento de Datos con respecto a la ejecución del Acuerdo. En el Anexo 1 se incluye una lista del tipo de Datos Personales, las categorías de interesados y los fines para los cuales se lleva a cabo el Tratamiento de Datos Personales.
2.2 El Controlador será responsable del Procesamiento de Datos Personales en el marco del Acuerdo y garantiza que las instrucciones para Procesar dichos Datos Personales están de acuerdo con todas las leyes y regulaciones aplicables. El Controlador indemnizará al Procesador contra todas las reclamaciones de terceros que surjan de alguna manera por el incumplimiento de esta garantía.
2.3 El Procesador se compromete a Procesar Datos Personales exclusivamente para el propósito de las actividades mencionadas en este Acuerdo de Procesador de Datos y/o el Acuerdo. El Procesador garantiza que no utilizará de ninguna manera los Datos Personales Procesados bajo este Acuerdo de Procesador de Datos y/o el Acuerdo sin el consentimiento explícito y por escrito del Controlador, a menos que el Procesador esté obligado a procesar los Datos Personales de conformidad con una disposición legal. En ese caso, el Procesador notificará al Controlador esa disposición legal antes del Procesamiento, a menos que la legislación prohíba dicha notificación por motivos importantes de interés público.
2.4 El Procesador solo procesará los Datos Personales recibidos con el propósito de proporcionar el Servicio al Procesador y solo en la medida en que el procesamiento de dichos datos sea estrictamente necesario para el propósito de brindar el Servicio.
3.1 El Procesador implementará (o hará que se implementen) las medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra la pérdida o contra cualquier forma de procesamiento ilegal, garantizando así un nivel de seguridad apropiado al riesgo. Teniendo en cuenta el estado de la técnica y el coste de su implementación, dichas medidas deberán garantizar un nivel de seguridad adecuado a los riesgos que representa el Procesamiento y la naturaleza de los datos a proteger. En cualquier caso, el Procesador implementará medidas para proteger los Datos Personales contra la destrucción accidental o ilegal o la pérdida accidental e intencional, alteración, divulgación o acceso no autorizado, o cualquier otra forma ilegal de procesamiento.
3.2 Las medidas técnicas y organizativas utilizadas por el Procesador se establecen en el Anexo 2. El Controlador reconoce haber tomado nota de las medidas relevantes y al firmar este Acuerdo de Procesador de Datos, el Controlador acepta las medidas implementadas por el Procesador y acepta que estas cumplen con los requisitos en 3.1 arriba.
3.3 Teniendo en cuenta la naturaleza del Procesamiento y en la medida de lo razonablemente posible, el Procesador ayudará al Controlador a cumplir con su obligación en virtud del GDPR de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
3.4 El Controlador tiene el derecho, previa consulta y acuerdo por escrito con el Procesador sobre el alcance, a que las medidas técnicas y organizativas (de seguridad) implementadas por el Procesador sean auditadas – a expensas del Controlador – por un auditor certificado e independiente no más de una vez al año. En ese caso, el Contralor tendrá derecho a que esta auditoría, ya sea por propia iniciativa o no, la lleve a cabo un auditor certificado independiente contratado por el Procesador, quien emitirá una declaración de un tercero. El Procesador será informado de los resultados.
4.1 El Procesador hará que todos sus empleados que estén involucrados en la ejecución del Acuerdo firmen un acuerdo de no divulgación, ya sea que esté incluido o no en el contrato de trabajo con esos empleados, que en cualquier caso estipulará que esos empleados deben mantener la confidencialidad con respeto a los Datos Personales. El Procesador implementará medidas para garantizar el cumplimiento de esta obligación de confidencialidad.
4.2 Si el Procesador recibe una solicitud o una orden de una autoridad supervisora holandesa o extranjera o una investigación, enjuiciamiento penal o autoridad de seguridad nacional para proporcionar (acceso a) Datos Personales, el Procesador informará al Controlador de ello sin demora en la medida permitida por la ley. Al gestionar la solicitud u orden, el Procesador deberá, en la medida permitida por la ley y/o tal solicitud de pedido, cumplir con todas las instrucciones del Controlador (incluida la instrucción de dejar la gestión de la solicitud u orden en su totalidad o en parte a la Institución) y prestar toda la cooperación razonablemente necesaria, sin perjuicio de las obligaciones del Procesador (si las hubiera) de cumplir con la solicitud en sí.
5.1 El Procesador podrá transferir Datos Personales fuera del Espacio Económico Europeo solo con el debido cumplimiento de las obligaciones legales aplicables en virtud del GDPR.
6.1 Es necesario que el Procesador contrate Subprocesadores para la prestación del Servicio. Los subprocesadores necesarios para la prestación del Servicio se enumeran en el Anexo 3.
6.2 El Controlador reconoce haber tomado nota de estos Subprocesadores y, al firmar este Acuerdo de Procesador de Datos, el Controlador acepta los Subprocesadores contratados por el Procesador.
6.3 El Procesador se esforzará por imponer contractualmente a cada Subprocesador la obligación de observar las obligaciones de confidencialidad, obligaciones de notificación y medidas de seguridad con respecto al Tratamiento de Datos Personales, en la medida en que estos sean esencialmente similares a las disposiciones de este Acuerdo de Procesador de Datos.
6.4 El Procesador utiliza proveedores de nube pública, como se especifica en el Anexo 3. Para estos proveedores de nube pública, no se aplica el artículo 6.3. El Procesador y, en su caso, también sus Subprocesadores, han firmado los acuerdos estándar de procesamiento de datos de estos proveedores de nube pública. El Controlador acepta que el Procesador pueda invocar los términos de estos acuerdos («Términos del Proveedor de Nube Pública») contra el Controlador (incluidos los Interesados). Mediante la ejecución de este Acuerdo de Procesamiento de Datos, el Controlador acepta la aplicabilidad de estos Términos del Proveedor de Nube Pública, y el Controlador consiente explícitamente que el Procesador haga que los Términos del Proveedor de nube Pública estén disponibles electrónicamente a través de los hipervínculos en el Anexo 2. Las partes también conocen los requisitos de «Schrems II» del Tribunal de Justicia de la Unión Europea (TJUE) relacionados con una transferencia. En la medida en que los proveedores de nube pública transfieran Datos Personales fuera del Espacio Económico Europeo, las Partes consideran que estos proveedores cumplen con los requisitos “Schrems II” del TJUE basados en las declaraciones de los proveedores de nube pública a este respecto y las Partes acuerdan informarse mutuamente de los desarrollos (regulatorios) en la UE con respecto a estos requisitos.
6.5 En el caso de que el Procesador contrate a otro Subprocesador para la prestación de servicios, el Procesador deberá informar al Controlador de los cambios previstos y brindarle al Controlador la oportunidad de objetar estos cambios antes de establecer un acuerdo con el Subprocesador.
7.1 El Procesador solo será responsable del daño causado por el Procesamiento si, con respecto a este Procesamiento, no se han cumplido las obligaciones del GDPR que se aplican específicamente al Procesador o si se han realizado actos que quedan fuera o violan las instrucciones legales del Procesador. Sin embargo, la responsabilidad total, acumulativa y agregada del Procesador se limitará en todo momento al monto reembolsado por el asegurador de responsabilidad del Procesador en el caso respectivo.
8.1 Si el Procesador se da cuenta de una infracción en relación con los Datos Personales como se menciona en el Artículo 4.12 del RGPD, deberá i) notificar al Procesador de ello sin demoras injustificadas e ii) implementar todas las medidas razonables para prevenir y/o limitar ) pérdida y/o acceso no autorizado a los Datos Personales.
8.2 El Procesador cooperará, en la medida de lo razonable, con el Controlador y apoyará al Controlador en el cumplimiento de sus obligaciones legales con respecto al incidente observado, si este incidente califica, en opinión del Controlador, como una infracción según lo mencionado en el artículo 4 párrafo 12 del RGPD (“Violación de datos”).
8.3 En la medida de lo razonable, el Procesador apoyará al Controlador en la obligación que incumbe al Controlador de reportar una Violación de Datos a la Autoridad Holandesa de Protección de Datos y/o al interesado, en el sentido de los Artículos 33 y 34 del GDPR. El Procesador nunca estará obligado a informar de forma independiente una Violación de Datos a la Autoridad de Protección de Datos y/o al Interesado.
8.4 El Procesador nunca será responsable del (correcto y/u oportuno desempeño) del deber del Controlador de informar en el sentido de los Artículos 33 y 34 del RGPD.
8.5 El Procesador tiene derecho a cobrar cualquier costo posible al Controlador.
9.1 En la medida de lo razonablemente posible, el Procesador ayudará al Controlador a cumplir con su deber en virtud del GDPR de responder a las solicitudes para el ejercicio de los derechos de un Interesado, en particular el derecho de acceso (Art.15 GDPR), rectificación (Art. 16 del RGPD), borrado de datos (art. 17 del RGPD), restricción (art. 18 del RGPD), portabilidad (art. 20 del RGPD) y derecho de oposición (art. 21 y 22 del RGPD). El Procesador enviará una queja o una solicitud de un Interesado relacionada con el Procesamiento de Datos Personales al Controlador sin demora, quien será responsable de procesar la solicitud. El Procesador tendrá derecho a cobrar cualquier costo asociado con la cooperación con el Controlador.
9.2 El Procesador deberá, en la medida de lo razonablemente posible, ayudar al Controlador a cumplir con su obligación bajo el GDPR de llevar a cabo una evaluación de impacto relativa a la protección de datos (art. 35 y 36 del GDPR).
9.3 El Procesador proporcionará al Controlador toda la información necesaria para demostrar que el Procesador cumple con sus obligaciones bajo el GDPR.
9.4 El Procesador tiene derecho a cobrar cualquier costo posible al Controlador.
10.1 El término de este Acuerdo de Procesador de Datos será igual al término del Acuerdo establecido entre las Partes. En el caso de que los servicios proporcionados por el Procesador al Controlador estén (todavía) en curso, este Acuerdo de Procesador de Datos permanecerá en vigor.
10.2 Tras la terminación (prematura) de este Acuerdo de Procesador de Datos, las disposiciones de los Artículos 2, 3.4, 4, 5 y 7 continuarán aplicándose en su totalidad.
10.3 Tras la terminación del Acuerdo y/o la terminación de la prestación del servicio al Controlador, el Procesador estará obligado a devolver los Datos personales proporcionados por el Controlador dentro de los 30 días posteriores a la terminación (o brindarle al Controlador la oportunidad de obtener los datos digitalmente). El Procesador debe destruir cualquier (copia de) Datos Personales y/o copias de seguridad, a menos que el Procesador esté legalmente obligado a almacenar los Datos Personales.
Dependiendo del uso del Servicio Saysimple y de los canales de mensajería utilizados, se almacenarán los siguientes Datos Personales:
Contactos:
Mensajes entrantes:
Mensajes salientes:
Usuarios:
Además, se registran datos, sea o no por deducción, con respecto a las acciones de los Usuarios y el uso del servicio Saysimple, tales como tiempos de respuesta, volúmenes y tiempos de resolución.
2. Categorías de Interesados
Consultar los tipos mencionados previamente.
3. Finalidades del Procesamiento
Ejecución del contrato principal.
1. Finalidades del Procesamiento
La seguridad organizativa de Saysimple España S.L. se establece en el “Plan de seguridad” de la empresa matriz “Just Internet Group”, que se actualiza anualmente y se evalúa semanalmente por los funcionarios designados que están en posesión de un “Certificado de Buena Conducta” [Verklaring Omtrent het Gedrag] (VOG).
Si tiene preguntas sobre el tratamiento de datos dentro de Just Internet y la protección de la privacidad, póngase en contacto con el Oficial de Protección de Datos.
Continuidad General
Los siguientes puntos se aplican a la continuidad general:
Los oficiales verifican y evalúan los elementos anteriores para verificar su correcto funcionamiento y uso inadecuado una vez a la semana. En caso de que un aspecto no funcione correctamente o en caso de mal uso, se informará a la dirección de inmediato. Posteriormente, la dirección tomará medidas, si lo considera necesario.
En caso de fallo técnico o interrupción del suministro eléctrico, todos los sistemas son redundantes y se puede utilizar un generador de emergencia. Esto nos permite garantizar la continuidad de nuestros servicios.
Requisitos de continuidad con respecto al personal
Todos los empleados tienen ciertos derechos y permisos con respecto a la recuperación de información con fines prácticos y preventivos.
Los siguientes puntos se aplican a la seguridad del personal:
2. Medidas técnicas de Saysimple
Periodo de retención
Saysimple conserva los datos personales de la plataforma de mensajería de Saysimple durante un período de 90 días si se utiliza la herramienta en línea. Saysimple conserva los datos personales durante un período de 14 días si solo se utilizan las API. Al establecer el período de retención, se puede hacer una distinción entre los datos de la conversación y los datos de contacto. El período de retención se ajustará a solicitud del Contralor manteniendo un equilibrio entre:
Arquitectura general y características de seguridad
Cifrado de WhatsApp
El interesado envía mensajes desde su teléfono móvil al número de móvil del Responsable vinculado al Servicio. El WhatsApp Inc. La aplicación cifra el mensaje en el teléfono y luego lo envía a los servidores de WhatsApp Inc. Debido a que el cifrado se realiza en el propio dispositivo, WhatsApp Inc. no puede leer el contenido de los mensajes. Solo el destinatario del mensaje puede descifrar y leer el mensaje. El Servicio utiliza el cifrado RC4 para evitar la intrusión de las comunicaciones entre el dispositivo y WhatsApp Inc. Los mensajes recibidos se descifran y almacenan en una base de datos segura. La aplicación web Saysimple recibe los mensajes en tiempo real a través de una conexión HTTPS segura (SHA2). Consulte también la ilustración esquemática a continuación.
Arquitectura informática
Plataforma de Mensajería Saysimple (no se muestran todos los proveedores de mensajes, no se muestran todos los servicios de AWS)
Centros de datos
Saysimple utiliza varios centros de datos.
Servicios web de Amazon (AWS)
La red central de Saysimple está alojada en AWS. Usamos varios servicios (globales) de AWS. AWS se utiliza para computación, redes, almacenamiento, bases de datos e inteligencia artificial (IA). Saysimple usa diferentes regiones y para cada servicio usamos al menos 2 zonas de disponibilidad (AZ). Todos los centros de datos de AWS cuentan con la certificación ISO. Para obtener más información sobre la certificación de AWS, visite: https://aws.amazon.com/es/compliance
Para obtener más información sobre la política de privacidad de AWS, visite: https://aws.amazon.com/es/compliance/data-privacy/
Iron Mountain
Además de AWS, Saysimple utiliza el centro de datos de Iron Mountain en Haarlem. Esta red es administrada por Saysimple. El entorno de Iron Mountain se utiliza para copias de seguridad y almacenamiento seguro. Iron Mountain tiene la certificación ISO, entre otras cosas. Para obtener más información sobre la certificación de Iron Mountain, visite: https://www.ironmountain.nl/digital-transformation/data-centers/about/data-center-compliance-security/
Messagebird B.V.
Para enviar y recibir mensajes de WhatsApp Business, que forma parte del Servicio, Saysimple utiliza los servicios del proveedor de servicios de Business aprobado por WhatsApp Messagebird B.V., con domicilio social en Trompenburgstraat 2 C 1079TX Ámsterdam, Países Bajos, registrado con el número de la Cámara de Comercio (KvK). 51874474.
Just Internet Group Haarlem
Como subsidiaria dentro de Just Internet Group Haarlem, Saysimple hace uso de los recursos compartidos dentro de esta sociedad holding. Saysimple es facilitado por el holding en áreas tales como finanzas, administración, recursos humanos, gestión, marketing y software.
Amazon Web Services
Para su infraestructura central, Saysimple utiliza los servicios (globales) de Amazon Web Services. La infraestructura central es necesaria para proporcionar el Servicio.
Con sede en 1918 8th Ave, Seattle, WA 98101, Estados Unidos
Iron Mountain
Además de AWS, Saysimple utiliza el centro de datos de Iron Mountain en Haarlem. Esta red es administrada por Saysimple. El entorno de Iron Mountain se utiliza para copias de seguridad y almacenamiento seguro. Iron Mountain tiene la certificación ISO, entre otras cosas. Para obtener más información sobre la certificación de Iron Mountain, visite: Iron Mountain Datacenters | Colocatie Diensten. Oficina registrada en J.W. Lucasweg 35, 2031 BE Haarlem, Países Bajos.
Twilio
Para enviar y recibir mensajes de WhatsApp Business, que es parte del Servicio, Saysimple utiliza los servicios del Proveedor de Servicios Comerciales aprobado por WhatsApp TWILIO Inc., con domicilio social en 375 Beale St # 300, San Francisco, CA 94105, Estados Unidos y registrado en el Secretario del Estado de California con el número de registro C3152782 (abreviado como ‘Twilio’).
Smooch
Para enviar y recibir mensajes de WhatsApp Business, que es parte del Servicio, Saysimple utiliza los servicios del Proveedor de Servicios Comerciales aprobado por WhatsApp Smooch.io., Oficina registrada en 5333 Casgrain, Suite 1201, Montreal H2T1X3, Canadá.
CM.com
Para enviar y recibir mensajes de WhatsApp Business, que es parte del Servicio, Saysimple utiliza los servicios del Proveedor de Servicios Comerciales aprobado por WhatsApp CM.com.., con domicilio social en Konijnenberg 30, 4825 BD Breda, Países Bajos, registrado en la Cámara de Comercio (KvK) con el número 20123808 (abreviado como: ‘CM’).
Obi4wan
Para enviar y recibir mensajes de WhatsApp Business, que es parte del Servicio, Saysimple utiliza los servicios del Proveedor de Servicios Comerciales aprobado por WhatsApp Obi4wan y para procesar automáticamente los mensajes de WhatsApp Business utilizando la tecnología Chatbot, que es parte del Servicio, Saysimple utiliza los servicios de OBI4wan B.V., con domicilio social en Korte Hogendijk 2, 1506 MA Zaandam, Países Bajos, registrado con el número de la Cámara de Comercio (KvK) 53021029.
Wireless Services
Para enviar y recibir mensajes de WhatsApp Business, que es parte del Servicio, Saysimple utiliza los servicios de Wireless Services., Oficina registrada en Newtonlaan 115, 3584 BH Utrecht, Países Bajos, registrada con el número de la Cámara de Comercio (KvK) 30152075.
Para enviar y recibir mensajes de Facebook, que es parte del Servicio, Saysimple utiliza los servicios de Facebook Inc., con domicilio social en 1 Hacker Way Menlo Park, CA 94025, Estados Unidos.
Para enviar y recibir mensajes de Twitter, que es parte del Servicio, Saysimple utiliza los servicios de Twitter Inc., con domicilio social en 1355 Market St suite 900, San Francisco, CA 94103, Estados Unidos.
Spryng
Para enviar y recibir mensajes SMS, que forman parte del Servicio, Saysimple utiliza los servicios de Spryng B.V., con domicilio social en Hannie Dankbaarpassage 18, 1053RT Amsterdam, Países Bajos, registrada con el número 62962825 de la Cámara de Comercio (KvK).
Mención explícita
Facebook y/o WhatsApp Inc. no se consideran (sub)procesadores y Saysimple no se hace responsable de ninguna manera por parte del Controlador de las reclamaciones realizadas por WhatsApp Inc. o reclamos hechos por terceros contra el Controlador que se relacionen con la plataforma de WhatsApp Inc. o el procesamiento de datos por parte de WhatsApp Inc.