Acuerdo de procesamiento de datos

1. Descripción general

1.1 Este anexo de procesamiento de datos (el «DPA») establece los términos y condiciones aplicables al procesamiento de datos personales por parte de Celsia en nombre del Cliente en virtud del Acuerdo. La DPA prevalecerá sobre el Acuerdo, incluidos sus apéndices y las condiciones incorporadas en él, en lo que respecta a los asuntos relacionados con el procesamiento de datos personales por parte de Celsia en nombre del Cliente.
1.2 A los efectos de este DPA, el Cliente se denominará en lo sucesivo el «Controlador» y Celsia se denominará el «Procesador».
1.3 Este DPA incluye la especificación de procesamiento de datos adjunta como anexo 1 al presente documento.
1.4 Sujeto a la cláusula 15 que figura a continuación, esta DPA se aplica a partir de la fecha indicada anteriormente.

2. Antecedentes y propósito

2.1 Según los términos del Acuerdo, el Procesador realiza ciertas tareas para el Controlador que implican el procesamiento de datos personales en nombre del Controlador.
2.2 Esta DPA establece los derechos y obligaciones de las Partes de conformidad con el reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (el «RGPD») y la legislación nacional de protección de datos aplicable que implementa el GDPR (conjuntamente, la «Ley de protección de datos aplicable»).

3. Definiciones e interpretación

3.1 A los efectos de la presente DPA, «controlador», «interesado», «Estado (s) miembro (s)», «procesador», «procesamiento», «datos personales», «violación de datos personales», «terceros países» y «autoridad supervisora» tendrán los significados que se les asignan en la ley de protección de datos aplicable.
3.2 Otros términos y expresiones en mayúscula utilizados en esta DPA tendrán el significado establecido en el Acuerdo y tal como se define en este documento, incluida la cláusula 17 que figura a continuación.

4. Descripción y propósito del procesamiento

4.1 El procesamiento llevado a cabo por el Procesador en nombre del Controlador en virtud de este DPA, incluida su naturaleza y propósito, las operaciones de procesamiento relevantes, las categorías de datos personales y los interesados involucrados, se describe con más detalle en la Especificación de procesamiento de datos.
4.2 El Controlador acepta que el Procesador puede agregar y anonimizar los datos procesados en la Plataforma CaaS con el fin de realizar análisis y obtener información general con el objetivo de (i) mejorar la Plataforma CaaS y otros servicios proporcionados por el Procesador; (ii) guiar al Controlador y a otros controladores sobre cómo optimizar sus ofertas de servicios; y (iii) crear nuevos productos y servicios.

5. Requisitos para el procesamiento

5.1 Requisitos generales

5.1.1 El Procesador solo procesará los datos personales de acuerdo con esta DPA, el Acuerdo, las instrucciones del controlador y la ley de protección de datos aplicable, y no procesará los datos personales para ningún otro propósito.
5.1.2 Las restricciones establecidas en la cláusula 5.1.1 no se aplicarán cuando el Procesador esté obligado a procesar los datos personales de conformidad con la legislación del Estado miembro o de la UE/EEE. En caso de que exista tal obligación, el Procesador lo notificará al Controlador, a menos que las leyes pertinentes prohíban divulgar esta información.
5.1.3 Si, en opinión del Procesador, una instrucción del Controlador infringe la Ley de Protección de Datos Aplicable u otra ley nacional o de la UE/EEE obligatoria, el Procesador lo notificará al Controlador.
5.1.4 El Procesador se asegurará de que las medidas se implementen de acuerdo con los requisitos de la ley de protección de datos aplicable para garantizar la confidencialidad (es decir, que los datos personales no se divulguen a personas o partes no autorizadas), la integridad (es decir, que los datos personales no se modifiquen involuntariamente en relación con el procesamiento) y la disponibilidad (es decir, que las personas requeridas tengan acceso a los datos personales, tengan el acceso necesario) en relación con el procesamiento de datos personales.
5.1.5 A menos que se acuerde lo contrario, el procesador tratará todos los datos personales recibidos de acuerdo con esta DPA como información confidencial.

5.2 Transferencias de datos personales a terceros países

5.2.1 El procesador no procesará ni hará que los datos personales se procesen fuera del EEE sin el consentimiento previo por escrito del controlador, y siempre que existan las medidas necesarias para garantizar un nivel adecuado de protección de los datos personales de conformidad con la ley de protección de datos aplicable. En caso de que una transferencia aprobada de datos personales fuera del EEE exija la celebración de cláusulas contractuales tipo («SCC») de conformidad con la Decisión de Ejecución 2021/914/UE de la Comisión, de 4 de junio de 2021 (o cualquier otra sucesora de la misma), con el destinatario de los datos personales del tercer país, el procesador establecerá dichas SCC con el destinatario del tercer país en su propio nombre.
5.2.2 El Controlador autoriza al Procesador a procesar o hacer que los datos personales se procesen fuera del EEE en la medida necesaria para prestar los Servicios sujetos al Procesador, proporcionando al Controlador una notificación por escrito razonable informando al Controlador de la transferencia prevista de datos personales a un tercer país, incluida cualquier información razonablemente solicitada por el Controlador sobre cómo se garantiza un nivel de protección esencialmente equivalente para los datos personales y cualquier medida complementaria implementada a tal efecto. El controlador tendrá derecho a oponerse a la transferencia si hay motivos razonables para creer que la transferencia en cuestión sería perjudicial para los requisitos de protección de datos establecidos en este documento. Si el Controlador se opone a la transferencia, las Partes negociarán de buena fe para encontrar una solución que aborde las preocupaciones del Controlador
5.2.3 El procesador se asegurará y podrá demostrar que (i) ha realizado una evaluación de riesgos asociada con la transferencia de datos personales a sus subprocesadores y (ii) ha implementado medidas complementarias cuando sea necesario.
5.2.4 Al celebrar el Acuerdo, el Controlador acepta las transferencias de los datos personales identificados en la Especificación de procesamiento de datos adjunta a esta DPA.

5.3 Necesidades de personal

5.3.1 El Procesador se asegurará de que los datos personales sean procesados únicamente por personal confiable que:
a) se concedió el acceso a los datos personales cuando fuera necesario conocerlos;
b) familiarizado con las disposiciones de la ley de protección de datos aplicable al procesamiento de datos personales por parte del procesador;
c) capacitados en el cuidado, la protección y el manejo de los datos personales;
d) autorizado a procesar los datos personales solo cuando sea necesario para los fines establecidos en esta DPA; e) y sujeto a las obligaciones de confidencialidad apropiadas.

6. Seguridad

6.1 Requisitos de seguridad del procesamiento

6.1.1 El Procesador ha implementado y mantiene las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales contra la destrucción accidental o ilegal, la pérdida accidental, la alteración, la divulgación o el acceso no autorizados y otras violaciones de la seguridad.
6.1.2 Las medidas de seguridad descritas en la Cláusula 6.1.1 se implementan teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
6.1.3 Las rutinas y medidas aplicables al procesamiento se detallan con más detalle en la política de seguridad de la información del Procesador, que se actualiza periódicamente, cuyo resumen está disponible para el Controlador si lo solicita.

6.2 Incidentes de seguridad y notificación (violación de datos personales)

6.2.1 Al tener conocimiento de cualquier violación de datos personales, el Procesador, sin demora indebida y tras tener conocimiento del incidente, notificará al Controlador y proporcionará toda la información y la cooperación que el Controlador pueda necesitar razonablemente para que el Controlador cumpla con sus requisitos de violación de datos personales en virtud de la ley de protección de datos aplicable. Además, el procesador tomará las medidas y acciones necesarias para remediar y mitigar los efectos de la violación de datos personales.

7. Evaluación del impacto de la protección de datos

7.1 El Procesador, a solicitud del Controlador, proporcionará toda la asistencia razonable y oportuna que el Controlador pueda necesitar para llevar a cabo una evaluación de impacto de la protección de datos (DPIA) según lo establecido en el artículo 35 del RGPD y, si es necesario, consultar con su autoridad supervisora correspondiente.

8. Cooperación con el controlador y la autoridad supervisora

8.1 El Procesador proporcionará la asistencia solicitada por el Controlador que sea necesaria para que el Controlador pueda cumplir sus obligaciones de conformidad con los artículos 32 a 36 del GDPR y para que el Controlador pueda responder a (i) las solicitudes de los interesados para ejercer sus derechos en virtud de la ley de protección de datos aplicable (incluidos los derechos de acceso, corrección, objeción, borrado y portabilidad de datos, según corresponda); y (ii) otra correspondencia, consultas o quejas recibidas de un sujeto de datos, Autoridad supervisora u otro tercero en relación con con el procesamiento de los datos personales.
8.2 En caso de que dicha solicitud, correspondencia, consulta o reclamación se dirija directamente al Procesador, el Procesador informará al Controlador sin demora indebida, proporcionándole los detalles necesarios de la misma.

9. Auditoría y revisión del cumplimiento

9.1 El Procesador responderá a las consultas del Controlador relacionadas con su procesamiento de datos personales, incluida la puesta a disposición de toda la información necesaria para demostrar el cumplimiento de esta DPA y las obligaciones del Procesador en virtud de la Ley de protección de datos aplicable.
9.2 El Procesador mantendrá la documentación de responsabilidad en relación con los datos personales procesados en virtud de la DPA (tal como se defina, describa o exija en virtud de la ley de protección de datos aplicable), incluidos los registros escritos del procesamiento de datos personales llevado a cabo en nombre del Controlador.
9.3 A menos que la ley de protección de datos aplicable exija lo contrario, el controlador tendrá derecho a realizar auditorías del cumplimiento por parte del procesador de este DPA y la ley de protección de datos aplicable.
9.4 El Controlador asumirá todos los costos asociados con su participación y la del Procesador en cualquier auditoría o inspección que se lleve a cabo en virtud de esta DPA, así como los costos asociados con sus propios auditores (si los hubiera). Dichas auditorías o inspecciones se limitarán a una (1) por año natural del Período de vigencia y deberán notificarse por escrito al Procesador con cuatro (4) semanas de antelación, a menos que la autoridad gubernamental a la que esté sujeto el Cliente exija lo contrario.

10. Uso de subprocesadores

10.1 Requisitos generales para el uso de subprocesadores

10.1.1 El Procesador no podrá subcontratar ningún procesamiento de datos personales a ningún subcontratista («Subprocesadores») sin la autorización previa por escrito del Controlador. El procesador impondrá condiciones de protección de datos a los subprocesadores que designe de conformidad con la oración anterior, de conformidad con las obligaciones de protección de datos establecidas en la presente DPA.
10.1.2 El Procesador seguirá siendo responsable de cualquier acto u omisión de sus Subprocesadores como si los hubiera llevado a cabo el propio Procesador.
10.1.3 Los subprocesadores contratados por el Procesador y autorizados por el Controlador en la fecha de entrada en vigor se establecen en la Especificación de procesamiento de datos adjunta al presente documento.

10.2 Contratación o sustitución de subprocesadores

10.2.1 En caso de que el Procesador sustituya a alguno de los subprocesadores establecidos en la Especificación de procesamiento de datos o contrate a un nuevo subprocesador, el Controlador tendrá derecho a recibir una notificación por escrito con treinta (30) días naturales de antelación informando al Controlador de las intenciones del Procesador.
10.2.2 El controlador tendrá derecho a oponerse a la sustitución o adición de subprocesadores por parte del procesador si hay motivos razonables para creer que la contratación del subprocesador en cuestión sería perjudicial para los requisitos de protección de datos establecidos en este documento. Si el controlador se opone al subprocesador, las Partes negociarán de buena fe para encontrar una solución que aborde las preocupaciones del controlador. Si las Partes no llegan a un acuerdo sobre una solución, la disputa se resolverá de acuerdo con los procedimientos de resolución de disputas establecidos en el Acuerdo.
10.2.3 El Procesador mantendrá una lista actualizada de todos los subprocesadores que participan en el procesamiento de datos personales en nombre del Controlador disponible a solicitud del Controlador en todo momento.

11. Plazo y rescisión

11.1 Esta DPA permanecerá en vigor mientras el Procesador procese los datos personales en nombre del Controlador para los fines descritos en esta DPA.

12. Retención de datos

12.1 Tras la rescisión del Acuerdo y la expiración de este DPA, el Procesador devolverá al Controlador todos los Datos personales y cualquier copia de los mismos que el Procesador esté procesando o haya procesado en nombre del Controlador, y/o los destruirá de forma segura.
12.2 Sin perjuicio de lo anterior, el Procesador puede retener los Datos personales que tenga la obligación legal de retener en virtud de la legislación nacional o de la UE/EEE.

13. Avisos

13.1 Cualquier notificación entre las Partes seguirá los procedimientos aplicables acordados en virtud del Acuerdo.

14. Responsabilidad e indemnización

14.1 Las disposiciones de responsabilidad e indemnización establecidas en el Acuerdo se aplicarán con respecto a las obligaciones de las Partes en virtud de este DPA.
14.2 Las reclamaciones de los interesados por daños materiales o inmateriales derivados de una infracción del RGPD se resolverán de conformidad con el artículo 82 del RGPD.

15. Cambios en la DPA

15.1 Las disposiciones establecidas en la DPA pueden estar sujetas a cambios para adaptarse a los cambios en la Ley de protección de datos aplicable. El Cliente recibirá una notificación por escrito de dichos cambios. Los cambios se aplicarán tras la renovación del plazo vigente en ese momento (el plazo inicial o el plazo de renovación, según sea el caso), a menos que la ley de protección de datos aplicable exija que dichos cambios entren en vigor antes.
15.2 Sin perjuicio de lo anterior, la Especificación de procesamiento de datos puede actualizarse de vez en cuando para (a) reflejar los cambios acordados en las instrucciones del Controlador o para adaptarse a los cambios en los Servicios del Procesador; o (b) reflejar los cambios en el procesamiento llevado a cabo de conformidad con las cláusulas 10.2 y 5 de la presente DPA.

16. Consideración

16.1 El Procesador tendrá derecho a recibir del Controlador una contraprestación temporal y material por su asistencia y participación de conformidad con las Cláusulas 7 (Evaluación del impacto de la protección de datos), 8 (Cooperación con el Controlador y la Autoridad de Supervisión) y 9 (Auditoría y revisión del cumplimiento) anteriores, siempre que, si una auditoría revela algún incumplimiento de esta DPA, el Procesador no tendrá derecho a cobrarle al Controlador los costos de la auditoría.

17. Descripción y propósito del procesamiento

17.1 Propósitos y naturaleza del procesamiento

17.1.1 El propósito general del Procesamiento es proporcionar los Servicios establecidos en el Acuerdo. Concretamente, el Procesador realizará el procesamiento que sea necesario para que el Controlador evalúe su cumplimiento con el marco taxonómico de la UE.
Además, si el Controlador así lo ha acordado, al firmarlo en el acuerdo con el cliente, el Procesador realizará el Procesamiento que sea necesario para que el Controlador acceda y utilice el Portal Celsia ESG.

17.2 Operaciones de procesamiento

17.2.1 El procesamiento de los datos personales para los fines descritos en la cláusula 1.1 anterior implicará las operaciones de procesamiento que sean necesarias para lograr los fines establecidos, incluidas, entre otras, las siguientes operaciones básicas de procesamiento, como la entrada y recopilación de datos, el almacenamiento y la estructuración, la consulta y combinación, y la transmisión y eliminación de datos. Además, el procesamiento de las categorías de datos personales que se describen a continuación es necesario para fines de autenticación y personalización de los Servicios.
17.2.2 Algunas operaciones pueden estar total o parcialmente automatizadas. También es posible que se realicen operaciones de procesamiento adicionales de acuerdo con las instrucciones del Controlador o que sean necesarias para adaptarse a los cambios que se produzcan en los Servicios del Procesador de vez en cuando.

17.3 Categorías de datos personales

17.3.1 El procesamiento incluirá, entre otras, las siguientes categorías de datos personales: nombre completo, nombre para mostrar, dirección de correo electrónico, número de teléfono (opcional), foto de perfil (opcional), configuración de la aplicación (en la medida en que contengan datos personales) y membresías empresariales relevantes (si corresponde).
17.3.2 También se pueden procesar datos personales adicionales de acuerdo con las instrucciones del Controlador o para adaptarse a los cambios en los Servicios del Procesador de vez en cuando.

17.4 Categorías especiales de datos personales

17.4.1 No participarán categorías especiales de datos personales en el procesamiento.

17.5 Categorías de sujetos de datos

17.5.1 Los datos personales que se procesan se referirán principalmente a los empleados del Socio y a los usuarios finales.

18. Subprocesadores y ubicaciones de procesamiento

18.1 Los subprocesadores que utilizan las ubicaciones de procesamiento que figuran en la tabla siguiente son contratados por el Procesador a partir de la fecha de entrada en vigor del Acuerdo y se considerarán aprobados por el Controlador a partir de la misma fecha.

Entity name and contact details

Function

Processing location(s)

Nhost AB
Org.id: SE559224135901

Address: Spennarslingan 20, 155 93, Nykvarn, Sweden
Contact: data.protection@nhost.io

Cloud services, including storage and processing of data

EU
Sweden (office), Germany (datacenter, operated by Amazon Web Services)

Freshworks Inc
Address: 2950 S. Delaware Street, Suite 201, San Mateo, CA 94403, USA
Contact: Marcus Toussaint, dpo@freshworks.com, c/o Freshworks GmbH, Neue Grünstraße 17, 10179 Berlin

Customer support chat

EEA

Vercel Inc
Address: 340 S Lemon Ave #4133, Walnut, CA 91789, USA
Contact: privacy@vercel.com

Hosting (frontend web application)

EU
Germany (hosting)

Mixpanel Inc.
Address: 1 Front St Fl 28, San Francisco, California, 94111, USA
Contact: compliance@mixpanel.com

Product and usage analytics

EU
Netherlands

Bettermode Inc.
Address: 22 Wellesley St East, Toronto, ON M2M 0G4, Canada
Contact: gdpr@bettermode.com

Celsia ESG Portal (optional service)

Canada

USA

Boletín

Suscríbase a nuestras últimas actualizaciones

Síguenos:

Soluciones

Taxonomía de la UESolución SFDRSolución CSRD

Recursos

CSRD Asistente de IABlogHistorias de clientesNoticiasGuías e informes

Empresa

Acerca de CelsiaPolítica de privacidadCondiciones de uso

Contactos

contact@celsia.io+4794899405Ponte en contacto