Proton

Acuerdo para el tratamiento de datos

Última modificación: 23 de septiembre de 2024

Este Acuerdo de Procesamiento de Datos ("Acuerdo") forma parte del Contrato de Servicios bajo los Términos y Condiciones de Proton AG (el “Acuerdo Principal”) entre Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Suiza, número de identificación de la empresa CHE-354.686.492 (referido como el "Procesador") y la Empresa que utiliza los servicios de Proton (referida como la "Empresa").”

Este Acuerdo rige los requisitos específicos de las Leyes de Protección de Datos en la medida en que el uso de los Servicios de Proton por parte de la Empresa implique el tratamiento de Datos Personales sujetos a las Leyes de Protección de Datos.

Este Acuerdo es complementario a nuestra política de privacidad, que sirve como la referencia principal para nuestras prácticas y medidas de protección de datos.

El plazo de este Acuerdo seguirá el plazo del Acuerdo Principal. Los términos no definidos en este documento tendrán el significado establecido en el Acuerdo Principal.

CONSIDERANDO

A) La Empresa actúa como un Controlador de Datos (el "Controlador").

B) La Empresa desea subcontratar ciertos Servicios (según se definen a continuación), que implican el tratamiento de Datos Personales, a Proton AG, actuando como un Procesador de Datos (el "Procesador").

C) Las Partes buscan implementar un acuerdo de tratamiento de datos que cumpla con los requisitos del marco legal actual en relación al tratamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en relación con el tratamiento de Datos Personales y sobre la libre circulación de dichos datos, y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y otras leyes de protección de datos aplicables.

D) Las Partes desean establecer sus derechos y obligaciones.

SE ACUERDA LO SIGUIENTE:

1. Definiciones e Interpretación

A menos que se defina lo contrario en este documento, los términos y expresiones que comiencen en mayúscula utilizados en este DPA tendrán el siguiente significado:

1.1) "Acuerdo" significa este Acuerdo de Tratamiento de Datos y todos los Anexos;

1.2) "Datos Personales de la Empresa" significa cualesquiera Datos Personales relacionados con la Empresa o los clientes o empleados de la Empresa tratados en relación con el Acuerdo Principal;

1.3) "Procesador Contratado" significa un Subprocesador;

1.4) "Leyes de Protección de Datos" significa las Leyes de Protección de Datos de la UE y, en la medida en que sea aplicable, las leyes de protección de datos o privacidad de cualquier otro país;

1.5) "EEE" significa el Espacio Económico Europeo;

1.6) "Leyes de Protección de Datos de la UE" significa la Directiva 95/46/CE de la UE, tal como se transpuso en la legislación interna de cada Estado Miembro y según sea enmendada, reemplazada o sustituida de vez en cuando, incluyendo el RGPD y las leyes que implementan o complementan el RGPD;

1.7) "RGPD" significa el Reglamento General de Protección de Datos de la UE 2016/679;

1.8) "Transferencia de Datos" significa:

  • 1.8.1) una transferencia de Datos Personales de la Empresa del Controlador al Procesador o a un Procesador Contratado; o
  • 1.8.2) una transferencia posterior de Datos Personales de la Empresa del Procesador a un Subprocesador, o entre dos establecimientos de un Subprocesador;

1.9) "Servicios" significa servicios en línea seguros proporcionados por el Procesador, como correo electrónico, calendario, Drive y otros servicios desarrollados por el Procesador. Los detalles y precios de los Servicios se pueden encontrar en el sitio web del Procesador.

1.10) "Subprocesador" significa cualquier persona designada por o en nombre del Procesador para procesar Datos Personales en nombre del Controlador en relación con el Acuerdo.

Los términos, "Comisión", "Controlador", "Sujeto de Datos", "Estado Miembro", "Datos Personales", "Vulneración de Datos Personales", "Procesamiento" y "Autoridad de Supervisión" tendrán el mismo significado que en el RGPD o en otra Ley de Protección de Datos aplicable, y sus términos afines serán interpretados en consecuencia.

2. Tratamiento de Datos Personales de la Empresa

El Procesador deberá:

2.1) cumplir con todas las Leyes de Protección de Datos aplicables en el Tratamiento de Datos Personales de la Empresa;

2.2) y no tratar Datos Personales de la Empresa excepto según las instrucciones documentadas del Controlador en la sección 2.

El Controlador instruye al Procesador para tratar Datos Personales de la Empresa para:

2.3) proporcionar los Servicios y el soporte técnico relacionado;

2.4) cumplir obligaciones legales o resolver disputas;

2.5) ejercer cualquier tarea interna destinada a optimizar la seguridad, privacidad, confidencialidad y funcionalidades de los Servicios;

2.6) realizar informes internos, informes financieros y otras tareas internas similares.

3. Personal del Procesador

El Procesador deberá tomar medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a Datos Personales de la Empresa, garantizando en cada caso que el acceso se limite estrictamente a aquellos individuos que necesitan conocer / acceder a los Datos Personales de la Empresa relevantes, según sea estrictamente necesario para los fines del Acuerdo Principal y/o para cumplir con las Leyes de Protección de Datos y otra legislación relevante en el contexto de los deberes de ese individuo hacia el Procesador Contratado, asegurando que todos esos individuos estén sujetos a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.

4. Seguridad

De acuerdo con el Artículo 32 (1) del RGPD, el Procesador deberá implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del tratamiento. Estas medidas deberán estar diseñadas para proteger los derechos y libertades de las personas físicas, considerando los riesgos de variada probabilidad y gravedad, incluyendo el riesgo de una Vulneración de Datos Personales.

El Procesador también deberá evaluar los riesgos asociados con las actividades de tratamiento y aplicar medidas que sean consistentes con los requisitos establecidos en el Artículo 32 (1) del RGPD, asegurando la seguridad de los Datos Personales de la Empresa en todo momento.

5. Subprocesamiento

Sujeto a este Acuerdo, la Empresa otorga autorización general al Procesador para captar a Subprocesadores y divulgar o transferir Datos Personales de la Empresa a ellos. La Empresa reconoce y aprueba la lista de Subprocesadores descritos en la política de privacidad del Procesador, entendiendo que esta lista puede ser actualizada por el Procesador regularmente, en cuyo caso la empresa será informada por el Procesador de acuerdo con el proceso de notificación de la Política de Privacidad. Además, la Empresa autoriza al Procesador a divulgar y transferir Datos Personales a cualquier empresa dentro de su grupo corporativo.

El Procesador asegura que los Subprocesadores están sujetos a un acuerdo con el Procesador no menos restrictivo y protector que el presente Acuerdo respecto a la protección de los Datos Personales de la Empresa en la medida que sea aplicable a la naturaleza de los servicios proporcionados por el Subprocesador.

6. Derechos del Sujeto de Datos

Teniendo en cuenta la naturaleza del tratamiento, el Procesador deberá asistir razonablemente a la Empresa para cumplir con las obligaciones de la Empresa de responder a las solicitudes para ejercer los derechos de los Sujetos de Datos bajo las Leyes de Protección de Datos.

El Procesador deberá:

6.1) notificar puntualmente a la Empresa si recibe una solicitud de un Sujeto de Datos bajo cualquier Ley de Protección de Datos respecto a los Datos Personales de la Empresa; y

6.2) asegurarse de que no responde a esa solicitud excepto según las instrucciones documentadas del Controlador o según lo requieran las Leyes Aplicables a las que está sujeto el Procesador, en cuyo caso el Procesador deberá, en la medida en que lo permitan las Leyes Aplicables, informar al Controlador de ese requerimiento legal antes de que el Procesador Contratado responda a la solicitud.

7. Vulneración de Datos Personales

El Procesador deberá gestionar cualquier Vulneración de Datos Personales en cumplimiento con las Leyes de Protección de Datos aplicables y sus procedimientos internos de Vulneración de Datos Personales. En caso de una Vulneración de Datos Personales que afecte a los Datos Personales de la Empresa, el Procesador deberá notificar a la Empresa sin demora, proporcionando suficiente información para permitir a la Empresa cumplir con sus obligaciones bajo las Leyes de Protección de Datos, incluyendo informar a los Sujetos de Datos según sea necesario. En tales casos, el Procesador deberá proporcionar a la Empresa suficiente información para permitir a la Empresa cumplir con cualquier obligación de informar o notificar a los Sujetos de Datos sobre la Vulneración de Datos Personales bajo las Leyes de Protección de Datos.

El Procesador deberá cooperar con la Empresa y tomar medidas comerciales razonables según lo dirija la Empresa para asistir en la investigación, mitigación y reparación de cada Vulneración de Datos Personales.

Cada parte deberá asumir los costos de la investigación, reparación, mitigación y otros costes relacionados en la medida en que una Vulneración de Datos sea causada por dicha parte.

Cada parte asumirá los costos de cualquier multa, penalización, daños u otros montos relacionados impuestos por un organismo regulador autorizado, una agencia gubernamental o un tribunal con jurisdicción competente en la medida en que surjan de la infracción de dicha parte de sus obligaciones bajo este Acuerdo.

8. Evaluación de Impacto en la Protección de Datos y Consulta Previa

El Procesador deberá proporcionar asistencia razonable a la Empresa con cualquier evaluación de impacto en la protección de datos, y consultas previas con Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos, que el Controlador considere razonablemente que se requieren por el artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Tratamiento de Datos Personales de la Empresa y teniendo en cuenta la naturaleza del Tratamiento y la información disponible para los Procesadores Contratados.

9. Eliminación o devolución de Datos Personales de la Empresa

En caso de cese de cualquier Servicio que implique el Tratamiento de Datos Personales de la Empresa, el Procesador deberá eliminar todos los Datos Personales de la Empresa en la medida permitida por las leyes aplicables y de acuerdo con los Términos y Condiciones y la Política de Privacidad del Procesador. Si la Empresa requiere una copia de sus datos, debe solicitarlo antes de la eliminación de su cuenta; las solicitudes realizadas después de que se haya eliminado la cuenta ya no pueden ser consideradas.

10. Derechos de Auditoría

Sujeto a esta sección 10, el Procesador deberá poner a disposición de la Empresa, al solicitarse, toda la información necesaria para demostrar el cumplimiento de este Acuerdo, y deberá permitir y contribuir a auditorías, incluidas inspecciones, por parte de la Empresa o un auditor designado por la Empresa en relación con el Tratamiento de los Datos Personales de la Empresa por los Procesadores Contratados. La Empresa no ejercerá sus derechos de auditoría más de una vez por año natural, excepto después de una Vulneración de Datos Personales o una instrucción por parte de una autoridad reguladora. La Empresa deberá dar al Procesador un aviso escrito con al menos sesenta (60) días de antelación de su intención de auditar al Procesador de conformidad con este Acuerdo. La auditoría se llevará a cabo durante el horario laboral del Procesador, no deberá interrumpir las operaciones del Procesador y deberá garantizar la protección de los Datos Personales de la Empresa, del Procesador y de otros Sujetos de Datos. El Procesador y la Empresa deberán acordar mutuamente de antemano la fecha, el alcance, la duración y los controles de seguridad y confidencialidad aplicables a la auditoría. La Empresa reconoce que la firma de un acuerdo de no divulgación podrá ser exigida por el Controlador antes de la realización de la auditoría.

Los derechos de información y auditoría de la Empresa solo dimanan de la sección 10 en la medida en que el Acuerdo no les otorga de otro modo derechos de información y auditoría que cumplan con los requisitos relevantes de la Ley de Protección de Datos.

11. Transferencia de Datos

En la medida de lo posible, el Procesador solo transferirá o autorizará la transferencia de Datos a países dentro de Suiza, la UE y/o países sujetos a una decisión de adecuación, según lo establecido en el art. 45 RGPD y art. 16 FADP suizo. Si los Datos Personales tratados bajo este Acuerdo son transferidos desde Suiza o de cualquier país dentro de la UE o de cualquier país sujeto a una decisión de adecuación a un país fuera de este ámbito, las Partes deberán garantizar que los Datos Personales estén adecuadamente protegidos. Para lograr esto, las Partes deberán, a menos que se acuerde lo contrario, apoyarse en cláusulas contractuales estándar aprobadas y vigentes de Suiza y/o UE y/o Reino Unido para la transferencia de Datos Personales u otros mecanismos de transferencia establecidos por las Leyes de Protección de Datos. El Procesador estará autorizado a realizar dichas transferencias a Subprocesadores siempre que se implementen salvaguardias adecuadas en relación con la naturaleza de la transferencia.

12. Términos Generales

Cumplimiento de las Leyes Aplicables. El Procesador procesará los Datos Personales de la Empresa conforme a este Acuerdo y las Leyes de Protección de Datos aplicables a su papel bajo este Acuerdo. El Procesador no es responsable ni está obligado a cumplir con las Leyes de Protección de Datos que sean exclusivamente aplicables a la Empresa en virtud de su negocio o industria.

Confidencialidad. Cada parte debe mantener cualquier información que reciba sobre la otra parte y su negocio en relación con este Acuerdo (“Información Confidencial”) confidencial y no debe usar o divulgar esa Información Confidencial sin el consentimiento previo por escrito de la otra parte, excepto en la medida en que:

(a) la divulgación sea requerida por ley;

(b) la información relevante ya esté en dominio público sin culpa de las Partes.

Notificaciones. Todas las notificaciones y comunicaciones dadas bajo este Acuerdo deben ser por escrito y se enviarán por correo electrónico. El Controlador será notificado por correo electrónico enviado a la dirección relacionada con su uso de los Servicios bajo el Acuerdo Principal. El Procesador será notificado por correo electrónico enviado a la dirección: legal@proton.me.

Ley Aplicable y Jurisdicción. Este Acuerdo se regirá por la ley suiza, sin tener en cuenta las disposiciones sobre elección o conflictos de leyes de cualquier jurisdicción en contrario, y las disputas, acciones, reclamaciones o causas de acción que surjan de o en conexión con este Acuerdo, un formulario de pedido, cualquier documento incorporado por referencia, la tecnología de Proton o los Servicios estarán sujetos a la jurisdicción exclusiva de Ginebra, Suiza.