ANEXO SOBRE PROTECCIÓN DE DATOS

EL PRESENTE ANEXO DE PROTECCIÓN DE DATOS (en adelante, este«DPA») complementa y forma parte de cada licencia de usuario final o acuerdo contractual similar celebrado entre doForms Inc., una sociedad constituida en Delaware («doForms»ola «Empresa») y los clientes de la Empresa (cada uno de ellos,«Cliente») que rige el acceso y el uso por parte del Cliente de la tecnología y la solución de servicios relacionados de doForm (cada uno de ellos, un«Acuerdo»). La fecha de entrada en vigor del presente DPA es la fecha de entrada en vigor del primer Acuerdo celebrado entre las partes (la«Fecha de entrada en vigor del DPA»). Los términos y expresiones utilizados en este DPA, salvo aquellos que aparecen en mayúsculas por motivos gramaticales, se definen en la sección del presente DPA en la que aparecen por primera vez, tal y como se indica en negrita, o, si no se definen así, tienen el significado que se les atribuye en el Acuerdo. Las referencias a artículos y secciones se refieren a los del presente DPA, salvo que se indique lo contrario. La versión en inglés de este DPA prevalecerá sobre cualquier traducción.

  1. ÁMBITO DE APLICACIÓN Y OBJETIVO.

El doble objetivo del presente acuerdo de tratamiento de datos (DPA) es establecer las obligaciones de la empresa en relación con:

(a) la seguridad de todos los datos tratados por la Empresa a través de las soluciones de doForms a las que el Cliente está suscrito, independientemente de si dichos datos son datos personales («Datos tratados»);

(b) la privacidad y la protección de los datos que se ajusten a la definición de «datos personales» y que se traten a través de las soluciones (los«Datos personales del cliente»); y

El presente DPA prevalecerá sobre cualquier término o condición contradictorio en materia de protección de datos y/o privacidad que figure en el Acuerdo (excluidas las condiciones que regulan el uso y la divulgación de información confidencial general), así como sobre cualquier documento o política de seguridad de datos o privacidad publicado en los sitios web del Cliente, en los portales de sus proveedores o en lugares similares. La Empresa podrá actualizar este DPA para reflejar cambios sustanciales en sus prácticas comerciales o cambios en la legislación aplicable, pero en ningún caso dicho cambio reducirá sustancialmente el nivel de protección otorgado a los Datos Tratados en comparación con la obligación de la Empresa en la Fecha de Entrada en Vigor del DPA. Si se modifica este DPA, la Empresa lo notificará al Cliente por vía electrónica con antelación y le concederá un plazo de 10 días hábiles para oponerse.  Tal y como se utiliza en el presente documento,«Leyes de Protección de Datos Integrales»se refiere al Reglamento General deProtecciónde Datos adoptado por separado por el Reino Unido y por la Unión Europea para su aplicación en todo el Espacio Económico Europeo (en conjunto, el«RGPD»), la Ley de Privacidad del Consumidor de California (y en su versión modificada por la CPRA), y/o las leyes similares en otras jurisdicciones de los Estados Unidos (como Colorado y Virginia) o en todo el mundo (como la Ley de Protección de Datos Personales de Tailandia).

  • PROGRAMA DE SEGURIDAD DE DATOS.
  • En general; Actualizaciones anuales. La empresa ha adoptado e implementado un programa de seguridad de la información corporativo a nivel de toda la empresa que incluye medidas físicas, técnicas, organizativas y administrativas diseñadas para proteger, de manera coherente con los estándares aceptados del sector y la legislación aplicable, contra amenazas o riesgos previstos o reales para la seguridad y/o la integridad de los datos tratados, así como contra la destrucción, la pérdida, el acceso no autorizado o el uso no autorizado de los datos tratados ( «Programa de seguridadde datos»). La Empresa revisa y, cuando sea necesario, actualiza el Programa de Seguridad de Datos al menos una vez al año y siempre que se produzca un cambio sustancial en las prácticas comerciales de la Empresa o en la legislación aplicable, pero en ningún caso dicho cambio reducirá sustancialmente el nivel de protección otorgado a los Datos Procesados en comparación con el Programa de Seguridad de Datos de la Empresa vigente en la Fecha de Entrada en Vigor del DPA.
  • Duración; normas y controles. La Empresa mantendrá el Programa de Seguridad de Datos durante la vigencia de cada Acuerdo y, posteriormente, mientras la Empresa tenga acceso a los Datos Tratados o los almacene, en el marco de cualquier derecho de archivo o derecho relacionado previsto por la ley o en virtud de un Acuerdo. El Programa de Seguridad de Datos se ha diseñado tomando como referencia normas reconocidas del sector, como la serie ISO 270xx de normas de seguridad de datos y gestión de la información, y las normas de información SOC1 y SOC2 de la AICPA. En consecuencia, el Programa de Seguridad de Datos incluye normas y controles para:
Clasificación y gestión de datos; gestión de activos; controles de acceso y supervisión; cifrado; prevención, detección, mitigación y pruebas de vulnerabilidades;  Supervisión de terceros; gestión y respuesta ante incidentes relacionados con los datos; sensibilización del personal; conservación y destrucción de datos; y continuidad del negocio y recuperación ante desastres.  
  • Ámbito de aplicación del programa de seguridad de datos.
  • Sistemas y personal de la empresa. El Programa de Seguridad de Datos se aplica a todos los sistemas informáticos, de redes y de telecomunicaciones que sean propiedad de la empresa y estén gestionados por ella para almacenar y tratar los datos tratados. El Programa de Seguridad de Datos se aplica asimismo a todos los empleados de la empresa, a los contratistas que prestan servicios in situ y a aquellos contratistas externos de la empresa que, según las previsiones de esta, vayan a tener acceso a los datos tratados. El Programa de Seguridad de Datos exige que la Empresa adopte normas y controles para llevar a cabo una diligencia debida y una supervisión razonables de sus subcontratistas y subencargados del tratamiento externos, incluidos los Proveedores de Servicios en la Nube, si procede (definidos más adelante). Como parte de dicha diligencia debida, y con independencia de que se aplique o no la Sección 3.7, la Empresa confirma que todos esos terceros mantendrán programas de seguridad de datos o procesos equivalentes que cumplan con los estándares del sector y los requisitos normativos aplicables. Sin embargo, el propio Programa de Seguridad de Datos de la Empresa no se aplica directamente a los Proveedores de Servicios en la Nube, subencargados del tratamiento o terceros similares.
  • Subcontratistas; proveedores de servicios en la nube. Para prestar sus servicios, la Empresa podrá recurrir a socios comerciales y subcontratistas externos, entre los que se incluyen proveedores de plataformas en la nube y de infraestructuras de almacenamiento de datos (en conjunto, los«Proveedores de servicios en la nube»). En su caso, se aplicará lo siguiente:
  • Programas de seguridad de datos. Los proveedores de servicios en la nube operan según un modelo de responsabilidad compartida en virtud del cual ellos, y no la Empresa, son responsables de proteger la infraestructura informática general y las instalaciones físicas de su plataforma de nube o almacenamiento, mientras que la Empresa es responsable de proteger su entorno tecnológico (denominado en ocasiones «pod» o «tenant») implementado y gestionado desde dichas plataformas. La Empresa trasladará al Cliente los beneficios de las prácticas y procedimientos de seguridad de datos y privacidad de sus subcontratistas (incluidos los Proveedores de servicios en la nube) para la infraestructura de nube o almacenamiento de datos correspondiente.
  • Pruebas de vulnerabilidad. La Empresa ha adoptado normas y ha implementado controles en el marco de su Programa de Seguridad de Datos para la prevención, detección y mitigación de vulnerabilidades. La Empresa comprueba periódicamente dichos controles. Además, durante la vigencia de cada Contrato, el Cliente podrá, a su costa y por su cuenta, realizar sus propias pruebas de penetración y otras evaluaciones de vulnerabilidad de los Proveedores de Servicios en la Nube y de aquellas partes de la tecnología de la Empresa alojadas en ellos, siguiendo los procedimientos publicados por los Proveedores de Servicios en la Nube. Dado que la Empresa no suele almacenar cantidades significativas de Datos Procesados en formato electrónico fuera de la infraestructura de los Proveedores de Servicios en la Nube, el Cliente no estará autorizado a realizar pruebas de vulnerabilidad de los sistemas internos de la Empresa o de sus otros subcontratistas, salvo que se acuerde lo contrario por escrito.
  • Cuestionarios y auditorías de seguridad de los datos. La Empresa cooperará de forma razonable con el personal de seguridad interno del Cliente y/o con las autoridades reguladoras para completar los cuestionarios relacionados con los Datos Tratados; sin embargo, la Empresa se reserva el derecho a facturar al Cliente según sus tarifas horarias estándar si dichos cuestionarios se envían más de una vez al año y/o si alguno de ellos requiere más de 10 horas de trabajo total por parte del personal en un año natural. Además, si se produce un Evento Auditable (definido a continuación), el Cliente podrá llevar a cabo revisiones remotas razonables de los controles de seguridad utilizados por la Empresa y, si fuera razonablemente necesario posteriormente, realizar una auditoría in situ de la Empresa. El Cliente programará todas estas revisiones y auditorías poniéndose en contacto con el gestor de relaciones de la Empresa asignado al Cliente para determinar un plan de auditoría y un calendario acordados mutuamente. El momento y la duración de la auditoría serán razonables en relación con el tipo de evento auditable que se produzca, y tendrán en cuenta el tiempo necesario para debatir y subsanar cualquiera de las supuestas preocupaciones de seguridad. El Cliente llevará a cabo la revisión o la auditoría por sí mismo o a través de un tercero designado de buena reputación que no sea competidor de la Empresa, que no represente ya a la Empresa y que esté sujeto a obligaciones de confidencialidad habituales que protejan a la Empresa al menos en la misma medida que las establecidas en el Acuerdo. Todas las auditorías correrán a cargo y a expensas del Cliente. Los resultados de todas las auditorías y las respuestas de la Empresa a todos los cuestionarios constituirán información confidencial de la Empresa, sujeta a las condiciones de confidencialidad de cada Acuerdo. Tal y como se utiliza en el presente documento, un«Evento Auditable»es cualquiera de los siguientes, o una combinación de ellos: (a) la caducidad o revocación de, o la detección de una deficiencia material en, una certificación ISO 27001, SOC 2 Tipo 2, o certificación o informe equivalente o similar para la infraestructura en la nube; y/o (b) la ocurrencia de una Violación de la Seguridad de los Datos (definida en la Sección 2.5), siempre que dicha revisión y auditoría no se lleven a cabo hasta después de la resolución de la Violación de la Seguridad de los Datos para permitir al Cliente confirmar que las causas de la misma han sido razonablemente subsanadas. Los Proveedores de la nube no permiten que la Empresa, ninguno de los clientes de la Empresa ni sus organismos reguladores visiten los centros de datos o las instalaciones de los Proveedores de la nube, ya sea de forma remota o presencial, y, por lo tanto, los derechos de visita in situ previstos en esta Sección no se extienden a las instalaciones bajo el control de los Proveedores de la nube. Sin embargo, algunos Proveedores de la nube permiten a la Empresa presentar cuestionarios de seguridad de datos en nombre de los clientes de la Empresa si es necesario para cumplir con las obligaciones reglamentarias. La Empresa lo hará previa solicitud por escrito del Cliente, si procede. La Empresa cooperará además de forma razonable con la solicitud del Cliente de obtener información sobre la seguridad y la privacidad de los datos de cualquiera de los subcontratistas importantes de la Empresa (incluidos los Proveedores de servicios en la nube), como copias de sus certificaciones ISO o informes SOC.
  • Gestión y respuesta ante incidentes. La Empresa evaluará y responderá a todos los incidentes que constituyan, o que den lugar a sospechas razonables de, una violación de la seguridad de los datos. El objetivo de la respuesta ante incidentes de la Empresa es identificar y contener la actividad potencialmente no autorizada, así como restablecer la seguridad, la integridad y la disponibilidad de los sistemas afectados, además de determinar las causas fundamentales y las medidas correctivas. El equipo de seguridad de la información de la Empresa será informado de todos estos incidentes y definirá los procedimientos de escalado y los equipos de respuesta para abordarlos. Tal y como se utiliza en el presente documento, «violación de la seguridadde los datos»significa el acceso, la adquisición, la divulgación o el uso no autorizados y confirmados de datos tratados protegidos por el Programa de Seguridad de Datos. 
  • Notificación de violaciones de la seguridad de los datos. Si la Empresa determina que un incidente constituyó efectivamente una violación de la seguridad de los datos o dio lugar a ella, la Empresa, a medida que recopile la información pertinente o esta se ponga a su disposición, proporcionará al Cliente una descripción de la violación de la seguridad de los datos, los datos tratados que se hayan visto afectados negativamente y cualquier otra información que el Cliente pueda solicitar razonablemente, salvo que la ley se lo prohíba. En cualquier caso, la Empresa notificará al Cliente tan pronto como sea posible y sin demoras injustificadas tras determinar que se ha producido una violación de la seguridad de los datos, pero en ningún caso más tarde de lo que le permita al Cliente disponer de un plazo razonable para cumplir con sus propias obligaciones de notificación o comunicación en virtud de la legislación aplicable. Por lo general, esto significa que la Empresa notificará al Cliente en un plazo máximo de 24 horas tras haber confirmado que los Datos Personales del Cliente han sufrido una violación de la seguridad de los datos. Además, el equipo de seguridad de la información de la Empresa colaborará con el Cliente y, cuando sea necesario, con investigadores forenses externos y con las autoridades reguladoras y policiales, para responder e intentar mitigar los efectos adversos de una violación de la seguridad de los datos. La Empresa se compromete a coordinarse de buena fe con el Cliente para elaborar el contenido de cualquier declaración pública relacionada con el Cliente o cualquier notificación requerida a los interesados del Cliente como consecuencia de una violación de la seguridad de los datos.  
  • PROTECCIÓN DE DATOS PERSONALES.
  • Capacidad; Duración; Naturaleza y finalidad. En lo que respecta a los datos personales del cliente, las partes reconocen y acuerdan que: (a) la empresa actúa principalmente en calidad de «proveedor de servicios» o «encargado del tratamiento» del cliente, según proceda en virtud de la legislación general en materia de protección de datos; (b) la duración del tratamiento por parte de la empresa queda a discreción del cliente, en consonancia con el plazo descrito en la sección 2.2; (c) la naturaleza y la finalidad del tratamiento por parte de la Empresa se limitan a lo necesario para cumplir con el Acuerdo en beneficio del Cliente; y (d) los tipos de Datos Personales del Cliente tratados y las categorías de interesados se determinarán y revelarán en cada Acuerdo. Todo el tratamiento de dichos Datos Personales del Cliente por parte de la Empresa estará además sujeto a las obligaciones descritas en las secciones 3.3 a 3.12 del presente DPA que figuran a continuación. Si así se establece en el Contrato, determinadas líneas de servicios de doForm pueden requerir que doForm actúe en calidad de «contratista» en virtud de la Ley Integral de Protección de Datos de California. En tales casos, y únicamente en ellos, doForm certifica que comprende y tiene la intención de cumplir lo dispuesto en la presente Sección 3.1 y en las Secciones 3.3 y 3.11 del presente documento. 
  •       El Cliente como encargado del tratamiento. En los casos en que el alcance de las tareas realizadas por el Cliente en virtud del Contrato subyacente requiera que el Cliente actúe como encargado del tratamiento de la Empresa, el Cliente deberá cumplir con los términos y condiciones del presente artículo. Se considerará automáticamente que el Cliente actúa como encargado del tratamiento en todas las actividades de tratamiento de datos que no se mencionen específicamente en el presente Acuerdo.
  • Instrucciones del cliente; prohibición de venta. La empresa nunca venderá los datos personales del cliente ni los combinará con datos personales recibidos de otras fuentes. La empresa tratará (incluidas las transferencias transfronterizas descritas en la sección 3.4) los datos personales del cliente únicamente siguiendo las instrucciones del cliente, tal y como se recogen en el contrato correspondiente. Si la empresa se viera obligada por ley a tratar los datos personales del cliente de una forma no contemplada en las instrucciones recibidas del cliente, la empresa, salvo que lo prohíba la ley, informará al cliente antes de proceder a dicho tratamiento. La empresa también informará sin demora al cliente si, en opinión de la empresa, las instrucciones del cliente infringen las Leyes Generales de Protección de Datos aplicables.
  • Transferencias transfronterizas.
  • En general. En la medida en que las partes acuerden que es necesaria la transferencia de los Datos Personales del Cliente desde la Jurisdicción de Origen (definida más adelante), pero las Leyes de Protección de Datos Integrales aplicables restrinjan dicha transferencia, la parte que realiza la transferencia llevará a cabo una evaluación del impacto de la transferencia (cuando la Empresa sea la parte que realiza la transferencia, la evaluación se llevará a cabo de la manera y en la forma que la Empresa considere necesarias en función de los riesgos correspondientes) para determinar si existen las garantías adecuadas en la Jurisdicción de Destino (definida más adelante). Si el resultado de la evaluación respalda la transferencia, esta se llevará a cabo únicamente según lo permitido por las Leyes de Protección de Datos Integrales aplicables y la presente Sección 3.4. Cuando la Empresa sea la parte que realiza la transferencia, esta se comunicará al Cliente. Tal y como se utiliza en el presente documento,«jurisdicción de origen»significa el país y, si procede, el territorio, la provincia o el estado en el que se encontraban o residían los interesados (según lo determine la Ley Integral de Protección de Datos aplicable) en el momento en que se recopilaron sus datos personales, y«jurisdicción de destino»significa el país y, si procede, el territorio, la provincia o el estado al que se transfieren dichos datos personales.
  • Transferencias en virtud del RGPD; cláusulas contractuales tipo. Cuando una transferencia se rija por el RGPD, se llevará a cabo de conformidad con un mecanismo aprobado, respectivamente, establecido en los artículos 46 a 49 del RGPD de la UE o del RGPD del Reino Unido, según corresponda, lo que podrá, si así lo determina la parte cedente en consulta con la parte receptora, requerir que la parte receptora se adhiera al módulo de Cláusulas Contractuales Típicas («SCC») aplicable y adecuado a las funciones de las partes en dicha transferencia. Cuando se utilicen los módulos 2, 3 y/o 4 de las SCC, las partes acuerdan que, si existe algún conflicto o contradicción entre dichas SCC y el presente DPA, la resolución requerida de dicho conflicto a favor de las SCC se aplicará únicamente al acto de transferencia/importación y al subconjunto de datos personales directamente relacionado con el mismo.
  • Reconocimiento del Cliente. El Cliente reconoce que, salvo que se indique expresamente lo contrario en un Contrato, la Empresa opera desde sus propias instalaciones y las de sus proveedores de servicios en la nube en todo el mundo. Si las partes acuerdan que el Cliente realice una transferencia transfronteriza desde una Jurisdicción de Origen a la Empresa en una o varias de esas ubicaciones como Jurisdicción de Destino, entonces, con sujeción a lo dispuesto en las secciones 3.4(a) y 3.4(b), el Cliente será, en la relación entre la Empresa y el Cliente, el único responsable de garantizar que está autorizado a entregar sus datos a la Empresa en la Jurisdicción de destino y de cumplir las obligaciones de un responsable del tratamiento, recopilador o exportador de datos en virtud de las Leyes de Protección de Datos Integrales aplicables.
  • Medidas adecuadas; seguridad del tratamiento. El Programa de Seguridad de Datos está diseñado para cumplir con el requisito establecido en las Leyes de Protección de Datos Integrales de que la Empresa adopte las medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente. La Empresa aplicará su Programa de Seguridad de Datos a los Datos Personales del Cliente, incluyendo, en la medida en que sea necesario, las medidas requeridas en virtud del artículo 32 del RGPD para permitir que el Cliente cumpla con las Leyes de Protección de Datos Integrales aplicables.
  • Obligaciones de confidencialidad del personal. La empresa exige que los miembros de su plantilla (incluidos los contratistas) que estén autorizados a tratar los datos personales de los clientes se hayan comprometido a mantener la confidencialidad de los mismos o estén sujetos a una obligación legal de confidencialidad adecuada.
  • Subencargados del tratamiento. Si la Empresa contrata a un subencargado del tratamiento para llevar a cabo actividades de tratamiento de Datos Personales del Cliente que, de otro modo, formarían parte de la obligación de la Empresa para con el Cliente, la Empresa llevará a cabo la debida diligencia para confirmar que dicho subencargado es capaz de proteger los Datos Personales del Cliente en la misma medida en que la Empresa está obligada a hacerlo en virtud del presente DPA, incluso mediante un contrato u otro acto jurídico conforme a la legislación aplicable y, en la medida en que lo exija la legislación aplicable (como el artículo 28, apartados 2 y 4, del RGPD), la Empresa obtendrá el consentimiento del Cliente antes de dicha contratación y notificará al Cliente, concediéndole una oportunidad razonable para oponerse, en caso de que la Empresa cambie un subencargado del tratamiento previamente aprobado; siempre que, al celebrar un Acuerdo, el Cliente esté dando su consentimiento general para que la Empresa utilice a sus Filiales como subencargados del tratamiento, así como para el uso de subencargados del tratamiento en las funciones del Proveedor de Servicios en la Nube.
  • Solicitudes de los interesados. Teniendo en cuenta la naturaleza del tratamiento que realiza la Empresa, la Empresa prestará asistencia al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para que este pueda cumplir con su obligación de responder a las solicitudes de los interesados para ejercer sus derechos en virtud de la legislación aplicable; esto incluye, en caso de que un interesado cuyos datos personales esté tratando la Empresa se ponga en contacto con esta en lugar de con el Cliente, que la Empresa, en la medida en que lo permita la ley, notificará sin demora al Cliente y cooperará razonablemente con él para que este cumpla con sus obligaciones, sin perjuicio de que el Cliente sea responsable de cualquier coste razonable que se derive de ello.
  • Verificación; Asistencia en materia de cumplimiento. La Empresa prestará asistencia al Cliente para garantizar el cumplimiento de las obligaciones de este de consultar con determinadas autoridades reguladoras en relación con el tratamiento de los Datos Personales del Cliente, incluidas, cuando proceda, las obligaciones enumeradas en el artículo 28 del RGPD con respecto a los artículos 32 a 34 y 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone la Empresa. Tal y como se describe en la sección 2.4 del presente DPA, la Empresa pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento por parte de la Empresa del presente DPA.
  • Investigaciones de las autoridades de supervisión. Si la Empresa fuera objeto de una consulta de las autoridades de control (definida más adelante), salvo que la ley lo prohíba, la Empresa lo notificará inmediatamente al Cliente y no podrá responder a ella de forma independiente, salvo que el Cliente lo indique expresamente por escrito. En la relación entre el Cliente y la Empresa, el Cliente es la única parte que responderá a las consultas de las autoridades de control relacionadas con los Datos Personales del Cliente, salvo que el Cliente lo autorice expresamente o que lo exija el texto expreso de una ley o reglamento aplicable incluido en las Normas de Tratamiento de Datos. La Empresa prestará una asistencia razonable al Cliente para hacer valer y proteger los Datos Personales del Cliente, lo que incluye prevenir y/o limitar su divulgación. Si no se puede evitar dicha divulgación, será el Cliente, y no la Empresa, quien revele la parte requerida de los Datos Personales del Cliente directamente a la autoridad competente.«Consulta de supervisión»significa una solicitud, que no sea una citación judicial, de acceso a los Datos personales del cliente o de información sobre los mismos, por parte de cualquier autoridad gubernamental (incluidas la Comisión de Valores y Bolsa de EE. UU., la Comisión Federal de Comercio de EE. UU. y las autoridades de protección de datos de las distintas jurisdicciones del RGPD) y/o de organismos autorreguladores.
  • Eliminación o devolución. La Empresa, a elección del Cliente, eliminará o devolverá todos los Datos Personales del Cliente al término de cada Contrato, y eliminará las copias existentes, salvo que la legislación aplicable exija lo contrario. No obstante, la Empresa hará uso de cualquier derecho que le otorgue la legislación aplicable que le permita conservar copias de archivo de dichos Datos Personales del Cliente o eliminar dichos datos en el curso normal de los procedimientos documentados de la Empresa en materia de copias de seguridad, conservación y destrucción. En tales situaciones, la Empresa reconoce que el presente DPA seguirá rigiendo todos los Datos Personales del Cliente así conservados. 
  • Notificación de violaciones. La Empresa notificará al Cliente y responderá a cualquier violación de la seguridad de los datos tal y como se describe en la sección 2.6 del presente DPA. Si la legislación aplicable exige que dicha notificación contenga información específica (como ocurre en virtud del artículo 33, apartado 3, del RGPD), la Empresa facilitará dicha información al Cliente en la medida en que esté razonablemente a su disposición. A los efectos de la presente sección 3.12, el término «datos personales» incluye los datos definidos en las leyes de notificación de violaciones vigentes en los distintos estados de los Estados Unidos que no sean leyes integrales de protección de datos.
  • DOFORMS COMO RESPONSABLE DEL TRATAMIENTO SUCESIVO.

En determinadas circunstancias, como la emisión de credenciales de administrador para que el Cliente acceda a los servicios de doForms, es posible que doForms deba tomar decisiones independientes sobre la forma y los medios mediante los cuales se tratan los Datos Personales del Cliente y, por lo tanto, actuará como responsable del tratamiento sucesivo independiente respecto al Cliente en relación con los Datos Personales del Cliente utilizados en dichas circunstancias. En la medida en que sea pertinente en virtud de las Leyes de Protección de Datos Integrales aplicables a los Datos Personales del Cliente, doForms y la entidad local aplicable, doForms Global S.L., son responsables sucesivos independientes con respecto a todo el tratamiento de dichos datos tal y como se describe en este aviso. Cada parte, en su calidad de responsable sucesivo independiente, deberá cumplir con las Leyes de Protección de Datos Integrales aplicables, lo que incluye: (a) determinar sus intereses legítimos u otras bases legales para el tratamiento; (b) proporcionar todos los avisos requeridos tanto en el momento de la recogida (incluido, cuando sea aplicable el RGPD, realizar su propia evaluación de si es aplicable la excepción prevista en el artículo 14, apartado 5, letra a), del RGPD), como en caso de que se produzca una violación de la seguridad de los datos; y (c) gestionar y responder a todos los intentos verificados de los interesados de ejercer sus derechos. DoForms y el Cliente cooperarán razonablemente entre sí en la medida necesaria para cumplir con las Leyes de Protección de Datos Integrales aplicables a sus respectivas funciones como responsables del tratamiento independientes sucesivos, incluyendo la respuesta al ejercicio de derechos por parte de interesados verificables. Ciertas Leyes de Protección de Datos Integrales hacen que cada responsable del tratamiento independiente sea responsable solidario de los actos y omisiones del otro. Siempre que así sea, la parte cuyos actos y omisiones hayan dado lugar a la reclamación aplicable indemnizará y eximirá de responsabilidad (sin obligación de defensa) a la otra parte por dicha responsabilidad. Bajo ninguna circunstancia las partes actuarán como responsables conjuntos, tal y como se define e interpreta dicho término en el artículo 26 del RGPD.

  • EXCLUSIONES Y CONDICIONES.

La recopilación y el tratamiento de la información de contacto empresarial (como el nombre, el cargo y la dirección de correo electrónico del dominio corporativo) entrañan un riesgo muy bajo de perjuicio para los interesados. Por lo tanto, de conformidad con la mayoría de las leyes generales de protección de datos, dicha información de contacto empresarial que se intercambia entre las partes para gestionar su relación contractual y recibir credenciales para acceder a los portales de clientes de la Empresa o herramientas similares no se considera «Datos personales del cliente» en virtud del presente DPA. Además, la Empresa no se hace responsable en virtud del presente DPA de ningún evento relacionado con o derivado de: (a) la propia conexión del Cliente a la Red Pública (definida a continuación); (b) la negligencia del Cliente, incluido su personal o sus contratistas; (c) el incumplimiento de un Acuerdo por parte del Cliente o de quienes se encuentren bajo su control razonable; (d) fallos que escapen al control razonable de la Empresa; y/o (e) el incumplimiento por parte del Cliente de la obligación de implementar y mantener las normas y controles de seguridad y privacidad de los datos requeridos por parte del Cliente.«Red pública»se refiere a los circuitos, el cableado terrestre y/o submarino, y otras infraestructuras de telecomunicaciones y conectividad desde un punto de demarcación que comienza inmediatamente después del router de entrada/salida o dispositivo similar de la red del Cliente hasta el punto inmediatamente anterior al router de entrada/salida o dispositivo similar en las instalaciones que doForms utiliza para sus propias redes e infraestructura de comunicaciones, incluidas aquellas que operan en la infraestructura de los Proveedores de la nube.

FIN DE LOS DATOS ANEXO SOBRE PROTECCIÓN DE DATOS