Acuerdo de Procesamiento de Datos

Versión 8: Fecha de publicación: 29 de octubre de 2025

Este ATD (este «APD«) forma parte de y está sujeto al acuerdo de servicios subyacente (el «Acuerdo Principal«) entre la entidad Sinch (“Sinch”) y la entidad cliente (“Cliente”) que han suscrito dicho Acuerdo Principal para la prestación de servicios al Cliente por parte de Sinch. Este APD se aplica a Sinch y al Cliente y a sus respectivos afiliados. Las partes de este APD son idénticas a las partes del Acuerdo Principal. 

1. Definitions. For the purposes of this DPA, capitalized terms shall have the following meanings. Capitalized terms not otherwise defined shall have the meaning given to them in the Principal Agreement.  
   1. «Datos personales del ciiente» hace referencia a cualesquiera datos personales procesados por Sinch en nombre del cliente para prestar los servicios en virtud del acuerdo principal. 
   2. «Leyes de protección de datos aplicables» hace referencia al RGPD, tal como ha sido incorporado a la legislación interna de cada estado miembro (y del Reino Unido), y en su versión modificada, sustituida o reemplazada periódicamente, así como las leyes que aplican, sustituyen o complementan el RGPD y todas las leyes aplicables al procesamiento de los datos personales del ciiente, incluida la California Consumer Privacy Rights Act de 2020, que modifica la California Consumer Privacy Act de 2018 Cal. Civ. Código § 1798.100 et seq (“CCPA”). 
   3. «RGPD» significa el RGPD (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y al movimiento gratuito de dichos datos. 
   4. «Infraestructura de Sinch» hace referencia a (i) las instalaciones físicas de Sinch; (ii) la infraestructura en la nube alojada; (iii) la red corporativa de Sinch y la red interna no pública, software y hardware necesarios para proporcionar los servicios y que están controlados por Sinch; en cada caso en la medida en que se utilicen para prestar los servicios. 
   5. «Transferencia restringida» hace referencia a una transferencia de los datos personales del ciiente de Sinch a un subencargado del tratamiento cuando dicha transferencia estuviera prohibida por las leyes de protección de datos aplicables (o por las condiciones de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las leyes de protección de datos aplicables) en ausencia de las salvaguardias apropiadas requeridas para dichas transferencias en virtud de las leyes de protección de datos aplicables. 
   6. «Servicios» hace referencia a los servicios que Sinch presta al Cliente de conformidad con el acuerdo Principal. 
   7. «Cláusulas contractuales tipo» significa la última versión de las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países en virtud del RGPD (la versión actual a la fecha de este APD es la anexa a la Decisión 2021/914 (UE) de la Comisión Europea del 4 de junio de 2021).  
   8. «Apéndice del Reino Unido» hace referencia al apéndice del Reino Unido (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) establecido en https://ico.org.uk/media2/migrated/4019539/international-data-transfer-addendum.pdf 
   9. Los términos «consentimiento«, «responsable del tratamiento«, «interesado«, «estado miembro«, «datos personales«, «violación de la seguridad de los datos personales«, «encargado del tratamiento«, «subencargado del tratamiento», «procesamiento«, «autoridad de control competente» y «tercero» tendrán el significado que se les atribuye en el artículo 4 del RGPD o la CCPA, en aquellos casos donde sea de aplicación la CCPA. 

2. Compliance with Applicable Data Protection Laws 
   1. Sinch y el Cliente deberán cumplir cada uno con las disposiciones y obligaciones que les imponen las leyes de protección de datos aplicables y procurarán que sus empleados y subencargados observen las disposiciones de las leyes de protección de datos aplicables. 

3. Details and Scope of the Processing 
   1. The Processing of the Customer’s Personal Data within the scope of the Agreement shall be carried out in accordance with the following stipulations and as required according to the Applicable Data Protection Laws. The parties may amend this information from time to time, as the parties may reasonably consider necessary to meet those requirements.  
      1. Asunto y duración del procesamiento de datos personales: El asunto y la duración del procesamiento de los datos personales se establecen en el Acuerdo Principal. 
      2. La naturaleza y el propósito del procesamiento de datos personales: En virtud del acuerdo Principal, Sinch proporciona determinados servicios como mensajería, email, llamadas de voz y otros servicios de comunicación al Cliente, tal y como se detalla en el acuerdo Principal, que implican el procesamiento de datos personales. Sin perjuicio de lo dispuesto en la sección 3(a)(iv), estas actividades de procesamiento incluyen (a) la prestación de los servicios; (b) la detección, prevención y resolución de problemas técnicos y de seguridad; y (c) la respuesta a las solicitudes de asistencia del cliente. 
      3. Los tipos de datos personales a procesar: Los datos personales enviados a la red de Sinch, cuyo alcance es determinado y controlado por el responsable del tratamiento a su sola discreción, pueden incluir nombre, email, números de teléfono, dirección IP y otros datos personales incluidos en las listas de contactos y el contenido del mensaje o llamada.  
      4. Exclusión del responsable del tratamiento independiente:  Sin perjuicio de cualquier otra disposición del presente documento, al realizar el procesamiento de datos personales en el curso de la prestación de servicios de comunicación como parte de los servicios, incluida la transmisión y el intercambio de SMS a través de redes de telecomunicaciones y otros mensajes y comunicaciones, incluidos emails, voz y otros medios a través de otras plataformas de comunicación, independientemente de si el Cliente actúa como responsable del tratamiento o encargado del tratamiento, Sinch actúa como responsable del tratamiento independiente, y no como responsable conjunto, con el fin de prestar sus servicios de comunicaciones y llevar a cabo sus funciones necesarias y su empresa como proveedor de servicios de comunicaciones y servicios de valor añadido (SVA), incluidas las analíticas necesarias para evitar el spam y el fraude y el controlar, la seguridad y el mantenimiento de su red, la gestión de su empresa y las funciones de cumplimiento, y en consonancia con sus obligaciones en virtud de las leyes aplicables.   
      5. Las categorías de interesados a los que se refieren los datos personales: Remitentes y destinatarios de mensajes de email y SMS, llamadas de voz u otras comunicaciones. 
   2. Sinch solo procesará los datos personales del ciiente (i) con el fin de cumplir con sus obligaciones en virtud del acuerdo Principal y (ii) de acuerdo con las instrucciones documentadas descritas en este APD o según lo indique el Cliente ocasionalmente. Dichas instrucciones del Cliente se documentarán en el pedido aplicable, la descripción de los servicios, la incidencia de asistencia, otra comunicación por escrito o según lo indique el Cliente utilizando los servicios (como a través de una API o un panel de control).   
   3. Cuando Sinch considere razonablemente que una instrucción del cliente es contraria a las disposiciones del acuerdo principal o de este APD, o que infringe el RGPD u otras disposiciones de protección de datos aplicables, informará al cliente sin retraso. En ambos casos, Sinch estará autorizado a aplazar el rendimiento de la instrucción pertinente hasta que haya sido enmendada por el cliente o sea acordada mutuamente por el cliente y Sinch. 
   4. El Cliente es el único responsable de su utilización y gestión de los datos personales enviados o transmitidos por los servicios, lo que incluye: (i) verificar la información del destinatario, como el número de teléfono o la dirección, y que se hayan introducido correctamente en los servicios; (ii) notificar razonablemente a cualquier destinatario de la naturaleza insegura del email o la mensajería como medio de transmisión de datos personales (según corresponda); (iii) limitar razonablemente la cantidad o el tipo de información divulgada a través de los servicios; (iv) cifrar cualquier dato personal transmitido a través de los servicios cuando sea apropiado o lo exija la ley aplicable (como a través del uso de archivos adjuntos cifrados, conjuntos de herramientas PGP o S/MIME). Cuando el cliente decide no configurar la encriptación obligatoria, el cliente reconoce que los servicios pueden incluir la transmisión de email no encriptado en texto sin formato a través de la red pública de internet y las redes abiertas. La información transmitida a los servicios, incluido el contenido del mensaje, se almacena en formato encriptado cuando es procesada por la Infraestructura de Sinch. 

4. Controller and Processor 
   1. A los efectos de este APD, el cliente es el responsable del tratamiento de los datos personales del ciiente y Sinch es el encargado del tratamiento de dichos datos, excepto cuando el cliente actúa como encargado del tratamiento de los datos personales del ciiente, en cuyo caso Sinch es un subencargado.  
   2. Sinch tendrá en todo momento a un responsable encargado de asistir al Cliente (i) en la respuesta a las consultas relativas al procesamiento recibidas de los interesados; y, (ii) en completar todos los requisitos de información legal y divulgación que apliquen y estén asociados con el procesamiento. Dicha asistencia puede solicitarse en dpo@sinch.com. 
   3. The Customer warrants that: 
      1. El procesamiento de los datos personales del ciiente se basa en fundamentos legales para el procesamiento, como pueden requerir las leyes de protección de datos aplicables, y que ha obtenido y mantendrá durante toda la vigencia del acuerdo principal todos los derechos, permisos, registros y consentimientos necesarios de conformidad con y según lo requerido por las leyes de protección de datos aplicables con respecto al procesamiento de Sinch de los datos personales del ciiente en virtud de este APD y el acuerdo principal;  
      2. tiene derecho y dispone de todos los derechos, permisos y consentimientos necesarios para transferir los datos personales del ciiente a Sinch y, por lo demás, permitir que Sinch procese los datos personales del ciiente en su nombre, de modo que Sinch pueda utilizar, procesar y transferir legalmente los datos personales del ciiente para llevar a cabo los servicios y ejercer los demás derechos y obligaciones de Sinch en virtud de este APD y el acuerdo principal; 
      3. informará a sus interesados sobre su uso de encargados del tratamiento en el procesamiento de sus datos personales, en la medida requerida por las leyes de protección de datos aplicables; y, 
      4. responderá en un tiempo razonable y en la medida de lo razonablemente posible a las consultas de los interesados con respecto al procesamiento de sus datos personales, y dará las instrucciones apropiadas a Sinch de manera oportuna. 

5. Confidentiality 
   1. Sinch se asegurará de que todo su personal, y el de los subencargados del tratamiento, que esté autorizado para procesar los datos personales del ciiente esté sujeto a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad y esté capacitado en los requisitos pertinentes de seguridad y protección de datos.   

6. Technical and Organizational Measures 
   1. Sinch deberá, en relación con los datos personales del ciiente, (a) tomar y documentar analíticas razonables y apropiadas, tal y como se describe en el Anexo 2, en relación con la seguridad de la infraestructura de Sinch y las plataformas utilizadas para proporcionar los servicios descritos en el acuerdo principal, y (b) previa solicitud razonable a cargo del Cliente, asistir al Cliente para garantizar el cumplimiento de las obligaciones del Cliente en virtud de las leyes de protección de datos aplicables. 
   2. Los procedimientos operativos internos de Sinch deberán cumplir con los requisitos específicos de una gestión eficaz de la protección de datos.  

7. Data Subject Requests 
   1. Sinch proporciona herramientas específicas para ayudar a los clientes a responder a las solicitudes recibidas de los interesados. Estas incluyen nuestras API e interfaces para buscar datos de eventos, supresiones y recuperar el contenido del mensaje. Cuando Sinch reciba una queja, consulta o solicitud (incluidas las solicitudes realizadas por los interesados para ejercer sus derechos de conformidad con las leyes de protección de datos aplicables) relacionada con los datos personales del ciiente directamente de los interesados, Sinch notificará al cliente. Teniendo en cuenta la naturaleza del procesamiento, Sinch ayudará al cliente, mediante medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, a cumplir con la obligación del cliente de responder a las solicitudes para ejercer los derechos de dichos interesados.  

8. Personal Data Breaches 
   1. Sinch notificará al cliente sin retraso injustificado una vez que Sinch tenga conocimiento de una violación de la seguridad de los datos personales que afecte a los datos personales del ciiente. Sinch deberá, teniendo en cuenta la naturaleza del procesamiento y la información disponible para Sinch, hacer esfuerzos comercialmente razonables para proporcionar al cliente la información suficiente para permitir al cliente, a cargo del cliente, cumplir con cualquier obligación de informar o notificar a las autoridades reguladoras, los interesados y otras entidades sobre dicha violación de la seguridad de los datos personales en la medida requerida por las leyes de protección de datos aplicables. 

9. Data Protection Impact Assessments 
   1. Sinch proporcionará, teniendo en cuenta la naturaleza del procesamiento y la información disponible, asistencia razonable al cliente a cargo del cliente, con cualquier evaluación de impacto de protección de datos y consultas previas con las autoridades de control competentes u otras autoridades reguladoras competentes según sea necesario para que el cliente cumpla con sus obligaciones en virtud de las leyes de protección de datos aplicables.  

10. Audits 
    1. Sinch pondrá a disposición del Cliente, previa solicitud razonable, la información que sea razonablemente necesaria para demostrar el cumplimiento con este APD.  
    2. El cliente, o un auditor de un tercero designado, puede, tras una solicitud razonable por escrito, realizar una inspección en relación con el procesamiento de los datos personales del ciiente por parte de Sinch y en la medida necesaria de acuerdo con las leyes de protección de datos y sin interrumpir las operaciones de la empresa de Sinch y garantizando la confidencialidad.  
    3. El derecho de auditoría descrito en el párrafo 10(b) anterior será aplicable para el cliente, en caso de que Sinch no haya proporcionado evidencia suficiente de su cumplimiento de las disposiciones de este APD. La evidencia suficiente incluye proporcionar ya sea: (i) una certificación en cuanto al cumplimiento de la norma ISO 27001 u otros estándares implementados por Sinch (alcance según lo definido en el certificado); o (ii) una auditoría o informe de atestación de un tercero independiente. Una auditoría, tal y como se describe en este párrafo 10, se llevará a cabo a cargo y expensas del Cliente y requiere un preaviso razonable por parte del Cliente de al menos treinta (30) días.  

11. Return or Destruction of the Customer’s Personal Data 
    1. El cliente puede, mediante notificación por escrito a Sinch a más tardar en el momento de la terminación del acuerdo principal, solicitar la devolución y/o el certificado de eliminación de todas las copias de los datos personales del ciiente en el controlar o posesión de Sinch y sus subencargados. Sinch proporcionará una copia de los Datos del Cliente en un formato que pueda ser leído y procesado posteriormente.  
    2. En un plazo de noventa (90) días tras la finalización de la cuenta, Sinch eliminará todos los datos personales procesados de conformidad con este APD, a menos que el Cliente solicite la devolución de los datos personales tal y como se describe en el Párrafo 11(a) anterior. Esta disposición no afectará las posibles obligaciones legales de las Partes de conservar los registros durante los periodos de retención establecidos por ley, estatuto o contrato.  
    3. Cualquier costo adicional que surja en relación con la devolución de los datos personales después de la terminación o el vencimiento del acuerdo correrá a cargo del cliente. 

12. Data Transfers 
    1. El cliente reconoce y acepta que, en relación con el rendimiento de los servicios en virtud del acuerdo, Sinch puede transferir datos personales dentro de su grupo de empresa. Estas transferencias son necesarias para prestar los servicios globalmente. 
    2. Siempre que los datos personales se procesen fuera del país en el que esté establecida la entidad legal de Sinch contratada, Sinch garantizará un nivel adecuado de protección de los datos personales mediante analíticas organizativas, técnicas y contractuales, tal y como exigen las leyes de protección de datos aplicables y este APD.   
    3. Las Cláusulas Contractuales Tipo y, si es necesario, el apéndice del Reino Unido, que tienen a Sinch actuando como importador de datos y al cliente actuando como exportador de datos, se incorporan como parte de este APD. Si el acuerdo de Sinch con un subencargado del tratamiento implica una transferencia restringida, Sinch se asegurará de que las disposiciones de transferencia posterior de las Cláusulas Contractuales Tipo y/o el apéndice del Reino Unido se incorporen al acuerdo principal, o se celebren de otro modo entre Sinch y el subencargado del tratamiento. El cliente acepta ejercer su derecho de auditoría en las Cláusulas Contractuales Tipo instruyendo a Sinch a realizar la auditoría establecida en el párrafo 10. 
    4. Para las transferencias de datos personales de la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido a países que no garantizan un nivel adecuado de protección de datos en el sentido de las Leyes de protección de datos de los territorios anteriores, en la medida en que dichas transferencias estén sujetas a las Leyes y Reglamentos de protección de datos y con el fin de implementar las salvaguardias adecuadas, se toman las siguientes salvaguardias: (i) Cláusulas Contractuales Tipo según la Decisión 2021/914/UE de la Comisión Europea del 4 de junio de 2021, (2) para Sinch Email, el Marco de Privacidad de Datos UE-EE. UU. (EU-US DPF) y la Extensión del Reino Unido al EU-U.S DPF, según lo establecido por el Departamento de Comercio de EE. UU. (3) apéndice del Reino Unido, y (4) salvaguardias adicionales con respecto a las medidas de seguridad, incluido el cifrado de datos, la agregación de datos, la separación de los controles de acceso y los principios de minimización de datos. 

13. Sub-processing 
    1. Por la presente el Cliente otorga una autorización general a Sinch a nombrar Subencargados del Tratamiento de conformidad con el presente párrafo 13 y el anexo 1. Sinch se asegurará de que los subencargados estén vinculados por acuerdos escritos que les exijan proporcionar al menos el nivel de protección de datos requerido a Sinch en virtud de este APD. El Cliente también autoriza expresamente a Sinch a seguir utilizando los subencargados ya contratados en la fecha de este APD, tal y como se menciona en la sección (b).  
    2. Los subencargados actuales para los servicios se establecen en https://sinch.com/legal/data-protection-agreement-sub-processors/ (“Lista de subencargados”). Siempre que el Cliente se suscriba a las notificaciones de nuevos subencargados a través del mecanismo de suscripción que se encuentra en https://sinch.com/legal/data-protection-agreement-sub-processors/Sinch notificará al Cliente, a través de dicho mecanismo, con treinta (30) días de antelación cualquier cambio previsto relativo a la adición o sustitución de cualquier Subencargado. Si, en el plazo de diez (10) días hábiles a partir de la recepción de dicha notificación, el Cliente notifica a Sinch por escrito cualquier objeción por motivos razonables al nombramiento propuesto, Sinch no nombrará a dicho Subencargado del Tratamiento propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por el Cliente y el Cliente haya proporcionado una explicación razonable por escrito de las medidas adoptadas. Si Sinch y el Cliente no pueden resolver el nombramiento de un Subencargado del Tratamiento en un plazo razonable, cualquiera de las partes tendrá derecho a rescindir el Acuerdo Principal por causa justificada.  
    3. Sinch será responsable de los actos y omisiones de cualquier subencargado como lo es ante el cliente por sus propios actos y omisiones en relación con los asuntos contemplados en este APD. 

14. Governing law and jurisdiction 
    1. Las partes de este APD se someten por la presente a la elección de jurisdicción estipulada en el acuerdo principal con respecto a cualquier disputa o reclamación que surja en virtud de este APD, incluidas las disputas relativas a su existencia, validez o terminación o las consecuencias de su nulidad.  
    2. Este APD y todas las obligaciones extracontractuales o de otro tipo que se deriven de él o estén relacionadas con él se rigen por las leyes del país o territorio estipuladas a tal efecto en el acuerdo principal.  
    3. Sin perjuicio de lo anterior en este párrafo (a) y (b), todas las obligaciones derivadas o relacionadas con las Cláusulas Contractuales Tipo incorporadas a este APD se regirán por la legislación del estado miembro de la UE especificado en el Anexo 1, tal y como se exige para la validez de dichas Cláusulas Contractuales Tipo de conformidad con la Decisión 2021/914/UE de la Comisión Europea de 4 de junio de 2021. 

15. Order of precedence 
    1. Con respecto al objeto de este APD, en caso de inconsistencias entre las disposiciones de este APD y cualquier otro acuerdo entre las partes, incluido el acuerdo principal e incluidos (salvo que se acuerde explícitamente lo contrario por escrito, firmado en nombre de las partes) los acuerdos celebrados o que se pretenda celebrar después de la fecha de este APD, prevalecerán las disposiciones de este APD. 

16. Severance 
    1. Si alguna disposición de este APD es inválida o inaplicable, el resto de este APD seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada según sea necesario para garantizar su validez y aplicabilidad, preservando las intenciones de las partes lo más fielmente posible o, si esto no es posible, (ii) interpretada de manera que la parte inválida o inaplicable nunca hubiera estado contenida en ella. 

17. Termination 
    1. Este APD y las Cláusulas Contractuales Tipo finalizarán simultánea y automáticamente con la rescisión del acuerdo principal.  

ANEXO 1

CLÁUSULAS CONTRACTUALES TIPO

Con respecto a las Cláusulas Contractuales Tipo, las Partes acuerdan que: 

1. El Módulo 2 (Responsable del tratamiento a Encargado del tratamiento) se aplicará cuando Sinch actúe como encargado del tratamiento del cliente; el Módulo 3 (Encargado del tratamiento a Encargado del tratamiento) se aplicará cuando Sinch actúe como subencargado del cliente. Para cada Módulo, cuando corresponda: 
2. Se incorpora la Cláusula 7 (Cláusula de incorporación); 
3. A efectos de la Cláusula 9.a) (Uso de Subencargados), se aplicará la Opción 2: autorización general por escrito. El importador de datos cuenta con una autorización general del exportador de datos para contratar a Subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de Subencargados previstas en dicha lista con al menos treinta (30) días hábiles de antelación;
4. No se incorpora la redacción opcional sobre cuerpos independientes de resolución en la Cláusula 11 (Reparación); 
5. A efectos de la Cláusula 13 (Supervisión), la IMY, la Agencia Sueca de protección de datos (Integritetsskyddsmyndigheten)  actuará como autoridad de control competente; 
6. Se aplicará la Opción 1 de la Cláusula 17 (Derecho aplicable) y las leyes de Suecia regirán las Cláusulas Contractuales Tipo;
7. A efectos de la Cláusula 18 (Elección del foro y jurisdicción), serán los tribunales de Suecia los que resolverán cualquier litigio derivado de las Cláusulas Contractuales Tipo;
8. El Anexo IA (Lista de Partes) y el Anexo IB (Descripción de la transferencia) se completarán utilizando la información y los detalles especificados en el acuerdo principal y enumerados en el párrafo 3 de este APD; 
9. El Anexo IB (Descripción de la transferencia) se completará aún más especificando que no se transferirán datos sensibles. La frecuencia de la transferencia será continua. Para las transferencias a subencargados, el asunto, la naturaleza y la duración del procesamiento serán los mismos que los del importador de datos; 
10. A efectos del Anexo IC, la autoridad de control competente de acuerdo con la Cláusula 13 es IMY, la Autoridad Sueca de Protección de Datos (Integritetsskyddsmyndigheten); 
11. A efectos del Anexo II, las analíticas técnicas y organizativas se describen en el Anexo 2 del APD; 
12. A efectos del Anexo III, la lista de subencargados del tratamiento se referencia en la Cláusula 13 del APD; 
13. where the Restricted Transfer is subject to the Regulation as it forms part of the law of England and Wales, Scotland and Northern Ireland (UK GDPR), the Standard Contractual Clauses shall incorporate the UK Addendum completed as follows: 
    1. A efectos de la Tabla 1, la fecha de inicio es la fecha de la firma del APD y los detalles de las Partes se completarán utilizando la información y los detalles especificados en el acuerdo principal; 
    2. A efectos de la Tabla 2, la versión de las Cláusulas Contractuales Tipo de la UE a las que se adjunta el Apéndice del Reino Unido son las Cláusulas Contractuales Tipo completadas de acuerdo con este Anexo 1, siendo la fecha la fecha de entrada en vigor de este Apéndice;
    3. A efectos de la Tabla 3, la Información del Apéndice es como se describe en los párrafos (h) – (l) de este Anexo 1; y
    4. A efectos de la Tabla 4, la entidad de Sinch que actúe como Importador puede finalizar el Apéndice del Reino Unido cuando el Apéndice Aprobado cambie.

ANEXO 2

SEGURIDAD DE LA INFORMACIÓN – MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Las Medidas Técnicas y Organizativas incluidas en este Anexo son medidas aplicables en el/los Servicio/s prestado/s por Sinch. Si es necesario, para el servicio, Sinch puede incluir otras medidas técnicas y organizativas en el pedido de servicio o en el servicio.

1) Inventario de información y otros activos asociados    

Se elabora y mantiene un inventario de la información y otros activos asociados, incluidos los propietarios.  Se ha designado un propietario para cada bien del inventario de acuerdo con la política de etiquetado de bienes.   

2) Información de autenticación  

La asignación y gestión de la información de autenticación se controla mediante un proceso de gestión, que incluye asesorar al personal sobre el manejo adecuado de la información de autenticación.     

En particular:   

• No limita los caracteres permitidos que se pueden utilizar.  
• Longitud mínima de la contraseña de 12 caracteres con complejidad exigida 
• No utilices preguntas secretas como único requisito de restablecimiento de la contraseña     
• Exige la verificación de emails para una solicitud de cambio de contraseña    
• Exige la contraseña actual además de la nueva contraseña durante el cambio de contraseña  
• Verifica las contraseñas recién creadas contra listas de contraseñas comunes o bases de datos de contraseñas filtradas   
• Comprueba regularmente si las contraseñas de los usuarios existentes están comprometidas     
• Los secretos memorizados deben contar con sal y estar cifrados mediante hash utilizando una función de derivación de clave unidireccional adecuada.       
• Aplica un bloqueo de cuenta adecuado y una protección de fuerza bruta en el acceso a la cuenta; como máximo, 5 inicios de sesión fallidos y, a continuación, bloqueo durante 30 minutos.
• La última contraseña no debe reutilizarse     
• MFA y el inicio de sesión único deben utilizarse en todos los casos de uso

3) Derechos de acceso   

Los derechos de acceso a la información y otros activos asociados se proporcionan, revisan, modifican y eliminan de acuerdo con la política y las reglas específicas de la organización sobre el controlar de acceso.   

En particular:  

• Los derechos de acceso a oficinas, información y sistemas se revisan trimestralmente. 

4) Preparación de las TIC para la continuidad de la empresa     

La preparación de las TIC se planifica, implementa, mantiene y prueba en función de los objetivos de continuidad de la empresa y los requisitos de continuidad de las TIC.    

En particular: 

• Todas las unidades de empresa tienen uno o más planes de recuperación ante desastres específicamente alineados con la oferta de productos.     
• Los Planes de Recuperación ante Catástrofes se comprueban anualmente.   

5) Concienciación, educación y formación en seguridad de la información  

El personal de la organización y las partes interesadas pertinentes reciben una concienciación, educación y formación adecuadas en materia de seguridad de la información, así como actualizaciones periódicas de la política de seguridad de la información de la organización y de las políticas y procedimientos sobre temas específicos, según corresponda a su función laboral.  

En particular: 

• Todos los empleados completaron en un plazo de 2 semanas desde la fecha de inicio   
• Todos los empleados realizaron formación sobre ISA durante los últimos 12 meses   
• El contenido de la formación sobre ISA se actualiza cada 12 meses   

6) Gestión de la capacidad    

El uso de los recursos se supervisa y ajusta en función de las necesidades de capacidad actuales y previstas.    

7) Protección contra malware    

La protección contra el malware está implementada y apoyada por una concienciación adecuada de los usuarios.  Todos los dispositivos de punto de conexión deben tener detección de punto de conexión EDR/XDR. 

8) Gestión de las vulnerabilidades técnicas  

Se obtiene información sobre las vulnerabilidades técnicas de los sistemas de información en uso, se evalúa la exposición de Sinch a dichas vulnerabilidades y se toman las analíticas adecuadas.    

En particular:  

• Escaneo de vulnerabilidades cada 7 días.     
• Aplica parches de seguridad a todos los componentes de apilar aplicaciones con una puntuación de gravedad superior a «Media», según lo determine el emisor del parche, en el plazo de un mes (30 días) tras su publicación 
• Prueba de penetración manual de caja negra (blackbox) realizada cada 12 meses 

9) Gestión de la configuración   

Las configuraciones, incluidas las configuraciones de seguridad, de hardware, software, servicios y redes, se establecen, documentan, implementan, supervisan y revisan según los siguientes estándares: Controles de NIST 800-53 y CIS.   

10)  Copia de seguridad de la información      

Las copias de seguridad de la información, el software y los sistemas se mantienen y se comprueban periódicamente de acuerdo con la política específica acordada sobre copias de seguridad.   

La rutina de copia de seguridad al menos especifica:      

• Intervalos de copia de seguridad (mínimo semanal)     
• Requisitos de retención     
• Ubicación para el almacenamiento de la copia de seguridad      
• Alcance de la copia de seguridad (por ejemplo, datos, configuraciones, copia de seguridad completa del sistema)     
• Estrategia de copia de seguridad (por ejemplo, en línea frente a fuera de línea, número de copias de seguridad, relación entre copia de seguridad completa e incremental)     
• Las pruebas de restauración de las copias de seguridad se realizarán al menos trimestralmente para los sistemas críticos para la empresa y al menos anualmente para todos los demás

11) Actividades de seguimiento  

Se supervisan las redes, los sistemas y las aplicaciones en busca de comportamientos anómalos y se adoptan las medidas adecuadas para evaluar posibles incidentes de seguridad de la información.  Se supervisan las redes, los sistemas y las aplicaciones en busca de comportamientos anómalos y maliciosos para detectar posibles incidentes de seguridad.      

12) Seguridad de la red  

Las redes y los dispositivos de red se aseguran, gestionan y controlan para proteger la información en sistemas y aplicaciones.  

Por ejemplo: 

• Cifra los datos en reposo en servidores, aplicaciones y bases de datos (AES256 como mínimo).  Cifrar datos en tránsito (TLS 1.2 o superior).    
• Registrar y realizar un seguimiento de forma adecuada para permitir el registro y la detección de acciones que puedan afectar, o sean relevantes para, la seguridad de la información, incluido EDR/XDR 
• El propietario del producto debe mantener actualizada la documentación, incluidos los diagramas de red y los archivos de configuración de los dispositivos (p. ej., routers, cambiar).     
• Endurecimiento de dispositivos de red 
• Los canales de administración de la red están separados del resto del tráfico de la red 

13) Gestión del ciclo de vida del sistema  

Se establecen y aplican normas para el desarrollo seguro de software y sistemas.   

Por ejemplo, en Sinch: 

• El sistema está diseñado de manera segura utilizando el modelado de amenazas según sea necesario.      
• Existe un plan para mantener el sistema en línea con el control de la gestión de vulnerabilidades   
• Hay un propietario del sistema     
• Existe un plan para sustituir el sistema (política de legado cero)     

14) Pruebas de seguridad en desarrollo y aceptación  

Los procesos de comprobación de la seguridad se definen y aplican en el ciclo de vida del desarrollo.   

• Escaneos de detección de SAST y vulnerabilidades y secretos en conductos CICD. Si es posible DAST     
• Ninguna vulnerabilidad crítica o alta sin remediar antes de estar disponibles para los clientes     
• Gestiona con seguridad la infraestructura de red.   
• Todos los proyectos siguen las listas de comprobación de seguridad de lanzamiento de productos     

15) Analíticas para garantizar la seguridad física de las ubicaciones en las que se procesan datos personales  

Se han implementado analíticas de seguridad física y ambiental dentro de Sinch.   

Por ejemplo, en Sinch: 

• Los perímetros de seguridad se definen y utilizan para proteger las áreas que contienen información y otros activos asociados. 
• Las áreas seguras están protegidas por controles de entrada y puntos de acceso adecuados. 
• Se diseña e implementa la seguridad física para oficinas, salas e instalaciones. 
• Las instalaciones se monitorean continuamente en busca de accesos físicos no autorizados. 
• Se diseña y aplica la protección contra amenazas físicas y medioambientales, como catástrofes naturales y otras amenazas físicas intencionadas o no intencionadas a las infraestructuras.
• Se diseñan e implementan analíticas de seguridad para trabajar en áreas seguras. 
• Se definen y aplican adecuadamente normas de escritorio vacío para papeles y medios de almacenamiento extraíbles y normas de pantalla limpia para las instalaciones de procesamiento de información.
• El equipo está ubicado de forma segura y protegido. 
• Los activos fuera de las instalaciones están protegidos. 
• Los soportes de almacenamiento se gestionan a lo largo de su ciclo de vida de adquisición, uso, transporte y eliminación de acuerdo con el esquema de clasificación y los requisitos de manipulación de la organización.
• Las instalaciones de procesamiento de la información están protegidas de los cortes de electricidad y otras interrupciones causadas por fallos en los servicios públicos de apoyo.
• Los cables que transportan energía, datos o servicios de información de apoyo están protegidos contra interceptaciones, interferencias o daños.
• El equipo se mantiene correctamente para garantizar la disponibilidad, integridad y confidencialidad de la información. 
• Los equipos que contienen soportes de almacenamiento se verifican para garantizar que se han eliminado o sobrescrito de forma segura todos los datos confidenciales y el software con licencia antes de su eliminación o reutilización.

Sinch también ha aplicado un Sistema de gestión de la seguridad de la información (SGSI), según la norma ISO/IEC 27001:2022. 

16) Analíticas para garantizar una retención de datos limitada   

Se han implementado analíticas para garantizar una retención de datos personales limitada.  

Por ejemplo, Sinch:  

• Establecida una política de retención de datos, que define claramente los tipos específicos de datos que se recopilarán, durante cuánto tiempo se conservarán y cuándo se eliminarán. 
• Procesos de eliminación automatizados implementados.  
• Revisa y actualiza regularmente la política de retención. 
• Limita la recolección de datos a solo lo necesario para el propósito específico de la empresa. 
• Capacita a los empleados sobre la retención de datos. 
• Revisa y monitorea regularmente la retención de datos 
• Utiliza la encriptación para proteger los datos que se conservan, a fin de reducir el riesgo de acceso o divulgación no autorizados.   

17) Analíticas para garantizar la responsabilidad  

Se han implementado medidas técnicas y organizativas adecuadas para cumplir con los requisitos de responsabilidad.  

Por ejemplo, Sinch:   

• Adoptó e implementó políticas de protección de datos. 
• Adoptado un enfoque de «protección de datos desde el diseño y por defecto».   
• Establece contratos por escrito con organizaciones que procesan datos personales en nombre de Sinch. 
• Documentó sus actividades de procesamiento. 
• Llevó a cabo evaluaciones de impacto de la protección de datos. 
• Nombró un DPD del Grupo  

18) Analíticas para permitir la portabilidad de datos y garantizar la eliminación   

En Sinch se implementan analíticas para permitir el ejercicio de los derechos del interesado. 

Por ejemplo, Sinch:  

• Borra los datos personales de los sistemas de copia de seguridad, así como de los sistemas activos cuando sea necesario, e informa claramente a la persona de lo que ocurrirá con sus datos.
• Se pone en contacto con cada destinatario para informarle de la eliminación, si los datos personales se comunican a otras personas, a menos que sea imposible o suponga un esfuerzo desproporcionado. Si los datos personales se han hecho públicos en un entorno en línea, la organización toma medidas razonables para informar a otros responsables del tratamiento, si están realizando el procesamiento de los mismos, que borren los enlaces a, las copias o la replicación de esos datos. 
• Informa al interesado sobre qué terceros han recibido los datos personales siempre que lo solicite. 
• Proporciona datos personales en un formato estructurado, de uso común y legible por máquina, cuando se soliciten. Siempre que sea posible y si una persona lo solicita, la organización puede transmitir directamente la información a otra organización.

19) Analíticas para garantizar la minimización de datos   

Se implementan analíticas para minimizar la cantidad de datos procesados.  

Por ejemplo, para cada actividad de procesamiento, Sinch:  

• Implementó analíticas que aseguran que la recolección de datos personales sea adecuada, relevante y estrictamente limitada a lo necesario en relación con los fines para los que se procesan.  
• Ha evaluado que no puede lograr los propósitos de su actividad de procesamiento con datos menos invasivos para la privacidad (por ejemplo, trabajando con datos menos granulares) o un proceso menos intrusivo (es decir, utilizando medios menos intrusivos). 
• Documentó el requisito para cada campo de datos en relación con el propósito. 

ANEXO 3

DESVIACIONES

1. Deviations. 
   1. For Customers and contracts in Brazil, in addition to what is agreed upon in this DPA, the established obligations will adopt the following word and guidelines: 
      1. The definitions highlighted below shall replace the ones used in this DPA: 
         1. Por «Categorías especiales de datos personales» se entenderán los Datos personales particularmente sensibles: esto significa datos relativos al origen racial o étnico, creencias religiosas, opiniones políticas, afiliación a un sindicato u organizaciones religiosas, filosóficas o políticas, datos relativos a la salud o la vida sexual de una persona física, datos genéticos o biométricos, cuando estén relacionados con una persona física. 
         2. «Leyes de protección de datos aplicables» significa la Ley General de Protección de Datos de Brasil (Ley No. 13.709/2018) («LGPD») y el RGPD, tal como se transpuso a la legislación nacional de cada estado miembro (y el Reino Unido) y según se modifique, reemplace o sustituya de vez en cuando, y las leyes que implementan, reemplazan o complementan el RGPD y todas las leyes aplicables al procesamiento de los datos personales del ciiente, incluida la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Código § 1798.100 y ss. (“CCPA”). 
         3. Por «Procesamiento de datos» se entenderá cualquier operación realizada con datos personales, como las que se refieren a la recopilación, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o controlar de la información, modificación, comunicación, transferencia, difusión o extracción. 
         4. Los términos «consentimiento», «encargado del tratamiento», «responsable del tratamiento», «interesado», «datos personales», «procesamiento» y «autoridad nacional» tendrán los significados que se les asignan en la LGPD. En ausencia de una definición específica en la LGPD, se adoptará la definición contenida en el Artículo 4 del RGPD para los siguientes términos: «tercero», «violación de la seguridad de los datos personales», «subencargado» y «autoridad(es) de control competente» (o «autoridad de controlar»). 
      2. La sección 3(b) adoptará la siguiente redacción: 
         Sinch solo procesará los datos personales del ciiente para los fines de (i) cumplir con sus obligaciones bajo el acuerdo principal; (ii) el ejercicio regular de derechos, incluyendo en contratos y en procedimientos judiciales, administrativos y arbitrales; (iii) garantizar la prevención de fraude y la seguridad del interesado; y (iv) de acuerdo con las instrucciones documentadas descritas en este APD o según lo indicado por el Cliente de vez en cuando. Dichas instrucciones del cliente se documentarán en el pedido aplicable, la descripción de los servicios, la incidencia de asistencia, otra comunicación por escrito o según lo indique el cliente utilizando los servicios (como a través de una API o un panel de control). 
      3. Las disposiciones contenidas en la Cláusula 13(b) no se aplicarán. 
      4. La sección 6 (b) adoptará la siguiente redacción:  
         Los procedimientos operativos internos de ambas partes deberán cumplir con los requisitos específicos de una gestión efectiva de la protección de datos y la seguridad de la información, incluyendo, entre otros, la gestión de acceso, la prevención de fraude y el uso irregular de los servicios de Sinch.  
   2. For Customers and contracts in Colombia, in addition to what is agreed upon in this DPA, the following is applicable concerning the definition of the term “Applicable Data Protection Laws” as well the processing and transfer of personal data:  
      1. «Leyes de protección de datos aplicables» significa la Ley Estatutaria Colombiana 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, y otras regulaciones que modifican, reemplazan o complementan las anteriores, así como el RGPD, tal como se transpuso a la legislación nacional de cada estado miembro (y el Reino Unido) y según se modifique, reemplace o sustituya de vez en cuando, y las leyes que implementan, reemplazan o complementan el RGPD y todas las leyes aplicables al procesamiento de los datos personales del ciiente, incluida la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Código § 1798.100 y ss. (“CCPA”). 
      2. “El responsable del tratamiento reconoce que el encargado del tratamiento puede transferir, almacenar y procesar datos personales a territorios fuera de Colombia, donde estarán sujetos a las leyes de las jurisdicciones extranjeras en las que se encuentren. El responsable del tratamiento reconoce que posee todas las autorizaciones previas necesarias de los interesados y los registros de bases de datos que permitirían al encargado del tratamiento procesar los datos dentro de bases de datos y en países que cumplen al menos los mismos estándares de protección de datos (nivel adecuado de protección) que los previstos en las leyes colombianas (como, entre otras, la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto N° 90 de 2018, la Circular Única de la Superintendencia de Industria y Comercio y la Circular Externa Nº 005 de 2017 de la Superintendencia de Industria y Comercio, y otras regulaciones que modifican, reemplazan o complementan las anteriores).” 
   3. Para clientes y contratos en Argentina, además de lo acordado en este APD, se aplica lo siguiente con respecto al procesamiento y transferencia de datos personales: el cliente reconoce que tiene toda la autorización previa necesaria de los interesados para el procesamiento y transferencia de datos personales, incluidos los datos sensibles, si corresponde, a SINCH. Las partes reconocen y acuerdan que el procesamiento de datos personales se llevará a cabo de acuerdo con la Ley No. 25.326 («Ley de Protección de Datos Personales de la República Argentina») y las disposiciones y resoluciones emitidas por la Agencia de Acceso a la Información Pública. La transferencia de datos personales a países u organizaciones internacionales o supranacionales solo se llevará a cabo a destinatarios que proporcionen niveles adecuados de protección.  
   4. For Customers and contracts in Uruguay, in addition to what is agreed upon in this DPA, the following applies concerning the processing and transfer of personal data: 
      1. El responsable del tratamiento reconoce que tiene todas las autorizaciones previas necesarias de los interesados y registros de bases de datos que permitirían a Sinch procesar datos personales y transferirlos y/o transmitirlos a países que cumplen al menos el mismo estándar de protección de datos personales (nivel adecuado de protección) según lo dispuesto en la legislación uruguaya, como, entre otras, la Ley N.º 18.331, el Decreto Reglamentario N.º 414/009 y la Ley N.º 19.670, y otras regulaciones que modifican, reemplazan o complementan las anteriores. 
      2. Las disposiciones contenidas en la Cláusula 13(b) no se aplicarán. 
   5. Para los Clientes y contratos en México, además de lo acordado en este APD, las definiciones destacadas a continuación sustituirán a las definiciones utilizadas en este APD:  
      «Leyes de protección de datos aplicables» significa la Ley Federal de Protección de Datos Personales en Posesión de los Particulares («LFPDPPP») de México, y otras regulaciones que modifican, sustituyen o complementan las anteriores, así como el RGPD, tal como se transpuso a la legislación nacional de cada estado miembro (y del Reino Unido) y según se modifique, sustituya o reemplace de vez en cuando, y las leyes que implementan, sustituyen o complementan el RGPD y todas las leyes aplicables al procesamiento de los datos personales del ciiente, incluida la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Código § 1798.100 et seq. («CCPA»).