Version 6 – Date of release: 7 July 2023\u00a0<\/p>\n\n\n\n
Este Acuerdo de Tratamiento de Datos (\u201cDPA\u201d) forma parte del acuerdo de servicios de SINCH (\u201cAcuerdo Principal\u201d) entre SINCH y el Cliente y est\u00e1 sujeto a los t\u00e9rminos del Acuerdo Principal. <\/p>\n\n\n\n
A) Para os fins deste DPA, os termos em mai\u00fascula ter\u00e3o os seguintes significados:<\/p>\n\n\n\n
(a) \u201cDatos Personales del Cliente<\/strong>\u201d significa cualquier dato personal procesado por SINCH en nombre del Cliente para prestar los Servicios en virtud del Acuerdo Principal.<\/p>\n\n\n\n (b) \u201cLeyes de Protecci\u00f3n de Datos Aplicables<\/strong>\u201d significa el GDPR, tal como se transpone a la legislaci\u00f3n nacional de cada Estado Miembro (y el Reino Unido) y seg\u00fan se modifique, reemplace o suplante de tanto en tanto, y las leyes que implementan, reemplazan o complementan el GDPR y todas las leyes aplicables a la recopilaci\u00f3n, almacenamiento, procesamiento y uso de los Datos Personales del Cliente, incluso la Ley de Privacidad del Consumidor de California de 2018, C\u00f3d. Civ. Cal. \u00a7 1798.100 et seq (\u201cCCPA\u201d).<\/p>\n\n\n\n (c) \u201cGDPR<\/strong>\u201d significa el Reglamento General de Protecci\u00f3n de Datos (UE) 2016\/679 relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que se refiere al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos.<\/p>\n\n\n\n (d) \u201cInfraestructura de Sinch<\/strong>\u201d significa (i) las instalaciones f\u00edsicas de SINCH; (ii) la infraestructura de nube alojada; (iii) la red corporativa de SINCH y la red interna no p\u00fablica, el software y el hardware necesarios para prestar los Servicios y que est\u00e1n controlados por SINCH; en cada caso en la medida en que se utilice para prestar los Servicios.<\/p>\n\n\n\n (e) \u201cTransferencia Restringida<\/strong>\u201d significa una transferencia de los Datos Personales del Cliente de SINCH a un subencargado donde dicha transferencia estar\u00eda prohibida por las Leyes de Protecci\u00f3n de Datos Aplicables (o por los t\u00e9rminos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protecci\u00f3n de Datos Aplicables) en ausencia de las garant\u00edas adecuadas requeridas para dichas transferencias en virtud de las Leyes de Protecci\u00f3n de Datos Aplicables.<\/p>\n\n\n\n (f) \u201cServicios<\/strong>\u201d significa los servicios prestados al Cliente por SINCH de conformidad con el Acuerdo Principal.<\/p>\n\n\n\n (g) \u201cCl\u00e1usulas Contractuales Est\u00e1ndar<\/strong>\u201d significa la \u00faltima versi\u00f3n de las cl\u00e1usulas contractuales est\u00e1ndar para la transferencia de datos personales a encargados establecidos en terceros pa\u00edses bajo el GDPR (la versi\u00f3n actual a la fecha de este DPA es la anexa a la Decisi\u00f3n de la Comisi\u00f3n Europea 2021\/914 (UE) del 4 de junio de 2021).<\/p>\n\n\n\n (h) \u201cAp\u00e9ndice del Reino Unido<\/strong>\u201d significa el Ap\u00e9ndice del Reino Unido (Ap\u00e9ndice de Transferencia Internacional de Datos a las Cl\u00e1usulas Contractuales Est\u00e1ndar de la Comisi\u00f3n de la UE) establecido en: https:\/\/ico.org.uk\/media\/for-organisations\/documents\/4019539\/international-data-transfer-addendum.pdf<\/a> <\/p>\n\n\n\n (i) Los t\u00e9rminos \u201cconsentimiento<\/strong>\u201d, \u201cresponsable de tratamiento<\/strong>\u201d, \u201cinteresado<\/strong>\u201d, \u201cEstado Miembro<\/strong>\u201d, \u201cdatos personales<\/strong>\u201d, \u201cviolaci\u00f3n de datos personales<\/strong>\u201d, \u201cencargado<\/strong>\u201d, \u201csubencargado<\/strong>\u201d, \u201ctratamiento<\/strong>\u201d, \u201cautoridad supervisora<\/strong>\u201d y \u201ctercero<\/strong>\u201d tendr\u00e1n los significados que se les atribuyen en el art\u00edculo 4 del GDPR o la CCPA, en los casos en que la CCPA sea aplicable.<\/p>\n\n\n\n B) Los t\u00e9rminos en letras may\u00fasculas utilizados y no definidos en este DPA tendr\u00e1n los significados que se les atribuyen en el Acuerdo Principal.<\/p>\n\n\n\n a) SINCH y el Cliente deber\u00e1n cumplir con las disposiciones y obligaciones que les imponen las Leyes de Protecci\u00f3n de Datos Aplicables y deber\u00e1n procurar que sus empleados y subencargados cumplan con las disposiciones de las Leyes de Protecci\u00f3n de Datos Aplicables.<\/p>\n\n\n\n a) El tratamiento de los Datos Personales del Cliente dentro del \u00e1mbito del Acuerdo se llevar\u00e1 a cabo de acuerdo con las siguientes estipulaciones y seg\u00fan lo requerido por el Art\u00edculo 28 (3) del GDPR. Las partes pueden modificar esta informaci\u00f3n de tanto en tanto, seg\u00fan las partes consideren razonablemente necesario para cumplir con esos requisitos. <\/p>\n\n\n\n (i) Objeto y duraci\u00f3n del tratamiento de los datos personales:<\/strong> El objeto y la duraci\u00f3n del tratamiento de los datos personales se establecen en el Acuerdo Principal.<\/p>\n\n\n\n (ii) La naturaleza y finalidad del tratamiento de los datos personales:<\/strong> En virtud del Acuerdo Principal, SINCH presta ciertos servicios como mensajer\u00eda, correo electr\u00f3nico, llamadas de voz y otros servicios de comunicaci\u00f3n, como se detalla en el Acuerdo Principal, al Cliente que implica el tratamiento de datos personales. Sujeto a la secci\u00f3n 3(a)(iv), dichas actividades de tratamiento incluyen (a) la prestaci\u00f3n de los Servicios; b) la detecci\u00f3n, prevenci\u00f3n y resoluci\u00f3n de problemas t\u00e9cnicos y de seguridad; y (c) responder a las solicitudes de soporte del Cliente.<\/p>\n\n\n\n (iii) Los tipos de datos personales a tratar:<\/strong> Los datos personales enviados a la red de SINCH, cuyo alcance es determinado y controlado por el responsable del tratamiento a su entera discreci\u00f3n, pueden incluir nombre, correo electr\u00f3nico, n\u00fameros de tel\u00e9fono, direcci\u00f3n IP y otros datos personales incluidos en las listas de contactos y el contenido de mensajes o llamadas.<\/p>\n\n\n\n (iv) Exclusi\u00f3n del Responsable de Datos Independiente:<\/strong> Sin perjuicio de cualquier otra disposici\u00f3n del presente documento, al tratar datos personales en el curso de la prestaci\u00f3n de servicios de comunicaci\u00f3n como parte de los Servicios, incluso la transmisi\u00f3n e intercambio de SMS a trav\u00e9s de redes de telecomunicaciones y otros mensajes y comunicaciones, incluso correos electr\u00f3nicos, voz y otros medios a trav\u00e9s de otras plataformas de comunicaci\u00f3n, independientemente de si el Cliente act\u00faa como responsable o encargado de tratamiento, SINCH act\u00faa como un responsable de datos independiente, y no como responsable de tratamiento conjunto, para proporcionar sus servicios de comunicaciones y llevar a cabo sus funciones necesarias y negocios como proveedor de servicios de comunicaci\u00f3n, incluso las medidas necesarias para prevenir el spam y el fraude y el control, la seguridad y el mantenimiento de su red, la gesti\u00f3n de sus funciones comerciales y de cumplimiento, y de conformidad con sus obligaciones en virtud de las leyes aplicables.<\/p>\n\n\n\n (v) Las categor\u00edas de titulares de datos a los que se refieren los datos personales:<\/strong> Remitentes y destinatarios de mensajes de correo electr\u00f3nico y SMS, llamadas de voz u otras comunicaciones.<\/p>\n\n\n\n b) SINCH solo tratar\u00e1 los Datos Personales del Cliente (i) con el fin de cumplir con sus obligaciones en virtud del Acuerdo Principal y (ii) de acuerdo con las instrucciones documentadas descritas en este DPA o seg\u00fan lo indique el Cliente peri\u00f3dicamente. Las instrucciones de dicho Cliente se documentar\u00e1n en el pedido aplicable, la descripci\u00f3n de los servicios, el ticket de soporte, otra comunicaci\u00f3n escrita o seg\u00fan lo indique el Cliente que utiliza los Servicios (como a trav\u00e9s de una API o panel de control). <\/p>\n\n\n\n c) Cuando SINCH crea razonablemente que una instrucci\u00f3n del Cliente es contraria a las disposiciones del Acuerdo Principal o este DPA, o que infringe el GDPR u otras disposiciones de protecci\u00f3n de datos aplicables, lo informar\u00e1 al Cliente sin demora. En ambos casos, SINCH estar\u00e1 autorizada a diferir la ejecuci\u00f3n de la instrucci\u00f3n relevante hasta que haya sido modificada por el Cliente o sea mutuamente acordada por el Cliente y SINCH.<\/p>\n\n\n\n d) El Cliente es el \u00fanico responsable de su utilizaci\u00f3n y gesti\u00f3n de los datos personales enviados o transmitidos por los Servicios, incluso: (i) verificar la informaci\u00f3n del destinatario, como el n\u00famero de tel\u00e9fono o la direcci\u00f3n, y que se han ingresado correctamente en los Servicios (ii) notificar razonablemente a cualquier destinatario la naturaleza insegura del correo electr\u00f3nico o la mensajer\u00eda como medio de transmisi\u00f3n de datos personales (seg\u00fan corresponda), (iii) limitar razonablemente la cantidad o el tipo de informaci\u00f3n divulgada a trav\u00e9s de los Servicios (iv) cifrar cualquier dato personal transmitido a trav\u00e9s de los Servicios cuando sea apropiado o requerido por la ley aplicable (como mediante el uso de archivos adjuntos cifrados, conjuntos de herramientas PGP o S\/MIME). Cuando el Cliente decide no configurar el cifrado obligatorio, el Cliente reconoce que los Servicios pueden incluir la transmisi\u00f3n de correo electr\u00f3nico no cifrado en texto sin formato a trav\u00e9s de Internet p\u00fablica y redes abiertas. La informaci\u00f3n cargada a los Servicios, incluso el contenido del mensaje, se almacena en un formato cifrado cuando es procesada por la Infraestructura de Sinch.<\/p>\n\n\n\n e) Excepciones (reglas espec\u00edficas basadas en la legislaci\u00f3n nacional aplicable):<\/p>\n\n\n\n (i) Para Clientes y contratos en Brasil,<\/strong> adem\u00e1s de lo acordado en este DPA, las obligaciones establecidas adoptar\u00e1n las siguientes redacciones y directrices:<\/p>\n\n\n\n (a) Las definiciones destacadas a continuaci\u00f3n deber\u00e1n sustituir las definiciones utilizadas en el presente DPA:<\/p>\n\n\n\n 1. \u201cCategor\u00edas Especiales de Datos Personales<\/strong>\u201d significar\u00e1 los datos personales Sensibles: esto significa los datos relativos al origen racial o \u00e9tnico, las creencias religiosas, las opiniones pol\u00edticas, la afiliaci\u00f3n a un sindicato u organizaciones religiosas, filos\u00f3ficas o pol\u00edticas, los datos relativos a la salud o la vida sexual de una persona f\u00edsica, los datos gen\u00e9ticos o biom\u00e9tricos, cuando est\u00e9n relacionados con una persona f\u00edsica. <\/p>\n\n\n\n 2. \u00abTratamiento de Datos<\/strong>\u201d se entender\u00e1 cualquier operaci\u00f3n realizada con datos personales, tales como las que se refieran a la recogida, producci\u00f3n, recepci\u00f3n, clasificaci\u00f3n, uso, acceso, reproducci\u00f3n, transmisi\u00f3n, distribuci\u00f3n, tratamiento, archivo, conservaci\u00f3n, eliminaci\u00f3n, evaluaci\u00f3n o control de la informaci\u00f3n, modificaci\u00f3n, comunicaci\u00f3n, transferencia, difusi\u00f3n o extracci\u00f3n.<\/p>\n\n\n\n (b) Las disposiciones contenidas en la Cl\u00e1usula 13(b) no ser\u00e1n aplicables.<\/p>\n\n\n\n (ii) Para Clientes y contratos en Colombia<\/strong>, adem\u00e1s de lo acordado en este DPA, se aplica lo siguiente en relaci\u00f3n con el tratamiento y transferencia de datos personales:<\/p>\n\n\n\n \u201cEl responsable del tratamiento reconoce que el encargado del tratamiento puede tratar, transferir, transmitir, almacenar y procesar datos personales a territorios fuera de Colombia, donde estar\u00e1n sujetos a las leyes de las jurisdicciones extranjeras en las que se encuentran. El responsable del tratamiento reconoce que posee todas las autorizaciones previas necesarias de los titulares de los datos personales y los registros de bases de datos que permitir\u00edan al encargado del tratamiento para tratar los datos personales y transferir y\/o transmitir los mismos a pa\u00edses que cumplen al menos los mismos est\u00e1ndares de protecci\u00f3n de datos personales (nivel adecuado de protecci\u00f3n) como los previstos en las normas colombianas (tales como, pero no limitado a la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto 90 de 2018, la Circular \u00danica de la Superintendencia de Industria y Comercio y la Circular Externa N\u00ba 005 de 2017 de la Superintendencia de Industria y Comercio y dem\u00e1s normas que modifiquen, sustituyan o complementen las anteriores).\u201d <\/p>\n\n\n\n (iii) Para los Clientes y contratos en Argentina<\/strong>, adem\u00e1s de lo acordado en este DPA, las partes acuerdan concluir las siguientes Cl\u00e1usulas Contractuales Est\u00e1ndar de Argentina para la transferencia internacional en caso de que el Controlador de los datos personales sea de Argentina y\/o la Legislaci\u00f3n de Protecci\u00f3n de Datos aplicable y\/o la Autoridad Argentina de Protecci\u00f3n de Datos requiera que se celebren estas cl\u00e1usulas:<\/p>\n\n\n\n Contrato modelo de transferencia internacional de datos personales con motivo de prestaci\u00f3n de servicios Entre, por una parte, ______________________________________, con domicilio en la calle________, localidad_____________, provincia de __________, Argentina, (en adelante, \u201cel exportador de datos\u201d) y, por la otra, ____________________________ (nombre), __________ (direcci\u00f3n y pa\u00eds), (\u201cen adelante, el importador de datos\u201d), en conjunto \u201clas partes\u201d, convienen el presente contrato de transferencia internacional de datos personales para la prestaci\u00f3n de servicios, someti\u00e9ndola a los t\u00e9rminos y condiciones que se detallan a continuaci\u00f3n.<\/p>\n\n\n\n (iv) Para Clientes y contratos en M\u00e9xico<\/strong>, las obligaciones establecidas en las secciones 13(b) no son aplicables.<\/p>\n\n\n\n a) A los efectos de este DPA, el Cliente es el responsable de los Datos Personales del Cliente y SINCH es el encargado de dichos datos personales, excepto cuando el Cliente act\u00faa como encargado de los Datos Personales del Cliente, en cuyo caso SINCH es un subencargado. <\/p>\n\n\n\n b) SINCH contar\u00e1 en todo momento con un funcionario responsable de ayudar al Cliente (i) a responder a las consultas relacionadas con el tratamiento de datos personales recibidas de los titulares de los datos; y, (ii) al completar todos los requisitos legales de informaci\u00f3n y divulgaci\u00f3n que se aplican y est\u00e1n asociados con el tratamiento de datos personales. Dicha asistencia puede solicitarse en dpo@sinch.com<\/a>.<\/p>\n\n\n\n c) El Cliente garantiza que:<\/p>\n\n\n\n (i) El tratamiento de los Datos Personales del Cliente se basa en bases legales para el tratamiento, seg\u00fan lo exijan las Leyes de Protecci\u00f3n de Datos Aplicables y que ha realizado y mantendr\u00e1 durante la vigencia del Acuerdo Principal todos los derechos, permisos, registros y consentimientos necesarios de acuerdo con y seg\u00fan lo exijan las Leyes de Protecci\u00f3n de Datos Aplicables con respecto al tratamiento de los Datos Personales del Cliente por parte de SINCH en virtud de este DPA y el Acuerdo Principal;<\/p>\n\n\n\n (ii) Posee y tiene todos los derechos, permisos y consentimientos necesarios para transferir los Datos Personales del Cliente a SINCH y permitir que Sinch trate los Datos Personales del Cliente en su nombre, de modo que SINCH pueda usar, tratar y transferir legalmente los Datos Personales del Cliente para prestar los Servicios y cumplir con los dem\u00e1s derechos y obligaciones de SINCH en virtud de este DPA y el Acuerdo Principal;<\/p>\n\n\n\n (iii) Informar\u00e1 a sus titulares de datos sobre el uso de encargados en el tratamiento de sus datos personales, en la medida requerida por las Leyes de Protecci\u00f3n de Datos Aplicables; y<\/p>\n\n\n\n (iv) Responder\u00e1 en un plazo razonable y en la medida en que sea razonablemente posible a las consultas de los titulares de los datos sobre el tratamiento de sus datos personales, y dar\u00e1 las instrucciones adecuadas a SINCH de manera oportuna.<\/p>\n\n\n\n a) SINCH se asegurar\u00e1 de que cada uno de sus empleados y subencargados autorizados para tratar los Datos Personales del Cliente est\u00e9 sujeto a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad y est\u00e9 capacitado con los requisitos de seguridad y Protecci\u00f3n de Datos pertinentes. <\/p>\n\n\n\n a) SINCH deber\u00e1, en relaci\u00f3n con los Datos Personales del Cliente, (a) tomar y documentar medidas razonables y apropiadas, como se describe en el Anexo 2, en relaci\u00f3n con la seguridad de la Infraestructura de SINCH y las plataformas utilizadas para prestar los Servicios como se describe en el Acuerdo Principal, y (b) a petici\u00f3n razonable a expensas del Cliente, ayudar al Cliente a garantizar el cumplimiento de las obligaciones del Cliente. de conformidad con el Art\u00edculo 32 del GDPR.<\/p>\n\n\n\n b) Los procedimientos operativos internos de SINCH deber\u00e1n cumplir con los requisitos espec\u00edficos de una gesti\u00f3n eficaz de la Protecci\u00f3n de Datos. <\/p>\n\n\n\n a) SINCH proporciona herramientas espec\u00edficas para ayudar a los clientes a responder a las solicitudes recibidas de los titulares de los datos. Estas incluyen nuestras API e interfaces para buscar datos de eventos, supresiones y recuperar contenido de mensajes. Cuando SINCH reciba una queja, consulta o solicitud (incluso las solicitudes realizadas por los titulares de los datos para ejercer sus derechos de conformidad con las Leyes de Protecci\u00f3n de Datos Aplicables) relacionada con los Datos Personales del Cliente directamente de los titulares de los datos, SINCH notificar\u00e1 al Cliente. Teniendo en cuenta la naturaleza del tratamiento, SINCH asistir\u00e1 al Cliente, con medidas t\u00e9cnicas y organizativas apropiadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligaci\u00f3n del Cliente de responder a las solicitudes de ejercicio de los derechos de dichos titulares de los datos. <\/p>\n\n\n\n a) SINCH notificar\u00e1 al Cliente sin demora indebida una vez que SINCH tenga conocimiento de una violaci\u00f3n de datos personales que afecte los Datos Personales del Cliente. SINCH deber\u00e1, teniendo en cuenta la naturaleza del tratamiento y la informaci\u00f3n disponible para SINCH, realizar esfuerzos comercialmente razonables para proporcionar al Cliente informaci\u00f3n suficiente para permitir que el Cliente, a expensas del Cliente, cumpla con cualquier obligaci\u00f3n de reportar o informar a las autoridades reguladoras, a los titulares de los datos y a otras entidades de dicha violaci\u00f3n de datos personales en la medida requerida por las Leyes de Protecci\u00f3n de Datos Aplicables.<\/p>\n\n\n\n a) SINCH deber\u00e1, teniendo en cuenta la naturaleza del tratamiento y la informaci\u00f3n disponible, proporcionar asistencia razonable al Cliente a expensas del Cliente, con cualquier evaluaci\u00f3n de impacto de protecci\u00f3n de datos y consultas previas con las autoridades de supervisi\u00f3n u otras autoridades reguladoras competentes seg\u00fan sea necesario para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de Protecci\u00f3n de Datos Aplicables. <\/p>\n\n\n\n a) SINCH deber\u00e1 poner a disposici\u00f3n del Cliente, previa solicitud razonable, la informaci\u00f3n que sea razonablemente necesaria para demostrar el cumplimiento de este DPA. <\/p>\n\n\n\n b) El Cliente, o un auditor externo autorizado, puede, previa solicitud razonable por escrito, realizar una inspecci\u00f3n en relaci\u00f3n con el tratamiento de los Datos personales del Cliente por parte de SINCH y en la medida necesaria de acuerdo con las leyes de protecci\u00f3n de datos y sin interrumpir las operaciones comerciales de SINCH y garantizar la confidencialidad. <\/p>\n\n\n\n c) El derecho de auditor\u00eda descrito en la Cl\u00e1usula 10 (b) anterior ser\u00e1 aplicable para el Cliente, en caso de que SINCH no haya proporcionado pruebas suficientes de su cumplimiento de las disposiciones de este DPA. La evidencia suficiente incluye proporcionar: (i) una certificaci\u00f3n en cuanto al cumplimiento de la ISO 27001 u otras normas implementadas por SINCH (alcance como se define en el certificado); o (ii) un informe de auditor\u00eda o certificaci\u00f3n de un tercero independiente. Una auditor\u00eda como se describe en esta Cl\u00e1usula 10 se llevar\u00e1 a cabo a expensas y costos del Cliente.<\/p>\n\n\n\n a) El Cliente puede, mediante notificaci\u00f3n por escrito a SINCH a m\u00e1s tardar en el momento de la terminaci\u00f3n del Acuerdo Principal, solicitar la devoluci\u00f3n y\/o el certificado de eliminaci\u00f3n de todas las copias de los Datos Personales del Cliente bajo el control o posesi\u00f3n de SINCH y sus subencargados. SINCH deber\u00e1 proporcionar una copia de los Datos del Cliente en una forma que pueda leerse y procesarse posteriormente. <\/p>\n\n\n\n b) Dentro de los noventa (90) d\u00edas siguientes al t\u00e9rmino del Acuerdo Principal, SINCH deber\u00e1 eliminar todos los datos personales procesados de conformidad con este DPA, a menos que el Cliente solicite la devoluci\u00f3n de los datos personales como se describe en la Cl\u00e1usula 11 (a) anterior. Esta disposici\u00f3n no afectar\u00e1 los posibles deberes legales de las partes de conservar los registros durante los per\u00edodos de retenci\u00f3n establecidos por ley, estatuto o contrato. <\/p>\n\n\n\n c) Cualquier costo adicional que surja en relaci\u00f3n con la devoluci\u00f3n de datos personales despu\u00e9s de la terminaci\u00f3n o expiraci\u00f3n del Acuerdo Principal correr\u00e1 a cargo del Cliente.<\/p>\n\n\n\n a) Las Cl\u00e1usulas Contractuales Est\u00e1ndar y, si es necesario, el Ap\u00e9ndice del Reino Unido, que hace que SINCH act\u00fae como importador de datos con el Cliente actuando como exportador de datos se incorporan como parte de este DPA. Si el contrato de SINCH con un subencargado implica una Transferencia Restringida, SINCH se asegurar\u00e1 de que las disposiciones de transferencia posterior de las Cl\u00e1usulas Contractuales Est\u00e1ndar y\/o el Ap\u00e9ndice del Reino Unido se incorporen al Acuerdo Principal, o se celebren de otra manera entre SINCH y el subencargado. El Cliente acepta ejercer su derecho de auditor\u00eda en las Cl\u00e1usulas Contractuales Est\u00e1ndar instruyendo a SINCH para que realice la auditor\u00eda establecida en la Cl\u00e1usula 10.<\/p>\n\n\n\n b) El Cliente reconoce y acepta que, en relaci\u00f3n con la prestaci\u00f3n de los Servicios en virtud del Acuerdo Principal, SINCH puede transferir los datos personales dentro de su grupo de empresas. Estas transferencias son necesarias para prestar los Servicios a nivel mundial.<\/p>\n\n\n\n c) Para transferencias de datos personales desde la Uni\u00f3n Europea, el Espacio Econ\u00f3mico Europeo y\/o sus estados miembros, Suiza y el Reino Unido a pa\u00edses que no garantizan un nivel adecuado de Protecci\u00f3n de Datos en el sentido de las Leyes de Protecci\u00f3n de Datos de los territorios anteriores, en la medida en que dichas transferencias est\u00e9n sujetas a las Leyes y Reglamentos de Protecci\u00f3n de Datos y con el fin de implementar las salvaguardas adecuadas, se adoptan las siguientes salvaguardias: (i) Cl\u00e1usulas Contractuales Est\u00e1ndar seg\u00fan la Decisi\u00f3n de la Comisi\u00f3n Europea 2021\/914\/UE de 4 de junio de 2021, (2) Ap\u00e9ndice del Reino Unido, y (3) salvaguardias adicionales con respecto a las medidas de seguridad, incluso el cifrado de datos, la agregaci\u00f3n de datos, la separaci\u00f3n de los controles de acceso y los principios de minimizaci\u00f3n de datos.<\/p>\n\n\n\n a) Por el presente documento, el Cliente otorga una autorizaci\u00f3n general a SINCH para designar subencargados de acuerdo con esta Cl\u00e1usula 13 y el Anexo 1. SINCH se asegurar\u00e1 de que los subencargados est\u00e9n obligados por acuerdos escritos que les exijan proporcionar al menos el nivel de protecci\u00f3n de datos requerido de SINCH por este DPA. El Cliente tambi\u00e9n otorga a SINCH una autorizaci\u00f3n espec\u00edfica para continuar utilizando aquellos subencargados ya contratados en la fecha de este DPA, como se menciona en la secci\u00f3n (b). <\/p>\n\n\n\n b) Los subencargados actuales para los Servicios se establecen en https:\/\/sinch.com\/data-protection-agreement\/sub-processors\/<\/a> (\u201cLista de Subencargados<\/strong>\u201d). Siempre que el Cliente se suscriba a las notificaciones de nuevos subencargados a trav\u00e9s del mecanismo de suscripci\u00f3n que se encuentra en https:\/\/sinch.com\/data-protection-agreement\/sub-processors\/<\/a>, SINCH deber\u00e1 notificar al Cliente, a trav\u00e9s de dicho mecanismo, con treinta (30) d\u00edas de anticipaci\u00f3n de cualquier cambio previsto relacionado con la adici\u00f3n o reemplazo de cualquier subencargado. Si, dentro de los diez (10) d\u00edas h\u00e1biles posteriores a la recepci\u00f3n de esa notificaci\u00f3n, el Cliente notifica a SINCH por escrito cualquier objeci\u00f3n por motivos razonables al nombramiento propuesto, SINCH no deber\u00e1 designar a ese subencargado propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por el Cliente y se le haya proporcionado al Cliente una explicaci\u00f3n razonable por escrito de los pasos tomados. Si SINCH y el Cliente no pueden resolver el nombramiento de un subencargado dentro de un per\u00edodo razonable, cualquiera de las partes tendr\u00e1 derecho a rescindir el Acuerdo Principal por causa justificada. <\/p>\n\n\n\n c) SINCH ser\u00e1 responsable de los actos y omisiones de cualquier subencargado, como lo es ante el Cliente por sus propios actos y omisiones en relaci\u00f3n con los asuntos previstos en este DPA.<\/p>\n\n\n\n a) Las partes de este DPA se someten a la elecci\u00f3n de jurisdicci\u00f3n estipulada en el Acuerdo Principal con respecto a cualquier disputa o reclamo que surja bajo este DPA, incluso las disputas relacionadas con su existencia, validez o terminaci\u00f3n o las consecuencias de su nulidad. <\/p>\n\n\n\n b) Este DPA y todas las obligaciones no contractuales o de otro tipo que surjan de o en conexi\u00f3n con \u00e9l se rigen por las leyes del pa\u00eds o territorio estipuladas para este prop\u00f3sito en el Acuerdo Principal. <\/p>\n\n\n\n c) Sin perjuicio de lo mencionado en esta Cl\u00e1usula (a) y (b), todas las obligaciones que surjan de o en relaci\u00f3n con las Cl\u00e1usulas Contractuales Est\u00e1ndar incorporadas en este DPA se regir\u00e1n por las leyes del Estado Miembro de la UE especificadas en el Anexo 1, seg\u00fan sea necesario para la validez de esas Cl\u00e1usulas Contractuales Est\u00e1ndar de conformidad con la Decisi\u00f3n de la Comisi\u00f3n Europea 2021\/914\/UE de 4 de junio de 2021.<\/p>\n\n\n\n a) Con respecto al objeto de este DPA, en caso de inconsistencias entre las disposiciones de este DPA y cualquier otro acuerdo entre las partes, incluso el Acuerdo Principal e incluyendo (excepto cuando se acuerde expl\u00edcitamente lo contrario por escrito, firmado en nombre de las partes) acuerdos celebrados o pretendidos para celebrar despu\u00e9s de la fecha de este DPA, prevalecer\u00e1n las disposiciones de este DPA.<\/p>\n\n\n\n a) En caso de que alguna disposici\u00f3n de este DPA sea inv\u00e1lida o inaplicable, entonces el resto de este DPA seguir\u00e1 siendo v\u00e1lido y vigente. La disposici\u00f3n inv\u00e1lida o inaplicable deber\u00e1 ser (i) modificada seg\u00fan sea necesario para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las Partes lo m\u00e1s cerca posible o, si esto no es posible, (ii) deber\u00e1 ser interpretada de manera que la parte inv\u00e1lida o inaplicable nunca hubiera estado contenida en ella.<\/p>\n\n\n\n a) Con la terminaci\u00f3n del Acuerdo Principal, este DPA y las Cl\u00e1usulas Contractuales Est\u00e1ndar terminar\u00e1n en el cumplimiento de la obligaci\u00f3n de Sinch de eliminar los datos personales bajo tratamiento de acuerdo con la Cl\u00e1usula 11.<\/p>\n\n\n\n Con respecto a las Cl\u00e1usulas Contractuales Est\u00e1ndar, las Partes acuerdan que:<\/p>\n\n\n\n a) El M\u00f3dulo 2 (Responsable del Tratamiento a Encargado) se aplicar\u00e1 cuando SINCH act\u00fae como encargado de tratamiento de datos del Cliente; el M\u00f3dulo 3 (Encargado a Encargado) se aplicar\u00e1 cuando SINCH act\u00fae como subencargado del Cliente. Para cada m\u00f3dulo, cuando aplicable:<\/p>\n\n\n\n b) Se incorpora la Cl\u00e1usula 7 (Cl\u00e1usula de Adesi\u00f3n);<\/p>\n\n\n\n c) A los efectos de la Cl\u00e1usula 9.a) (Uso de Subencargados), se aplicar\u00e1 la Opci\u00f3n 2: Se aplicar\u00e1 una autorizaci\u00f3n general por escrito. El importador de datos tiene la autorizaci\u00f3n general del exportador de datos para la contrataci\u00f3n de subencargados de una lista acordada. El importador de datos deber\u00e1 informar espec\u00edficamente al exportador de datos por escrito de cualquier cambio previsto en esa lista mediante la adici\u00f3n o sustituci\u00f3n de subencargados con al menos treinta (30) d\u00edas de antelaci\u00f3n;<\/p>\n\n\n\n d) No se incorpora la redacci\u00f3n opcional de la Cl\u00e1usula 11 (Reparaci\u00f3n) sobre los organismos de resoluci\u00f3n independientes;<\/p>\n\n\n\n e) A efectos de la Cl\u00e1usula 13 (Supervisi\u00f3n), IMY, la Autoridad Sueca de Protecci\u00f3n de Datos (Integritetsskyddsmyndigheten) actuar\u00e1 como autoridad supervisora competente;<\/p>\n\n\n\n f) Se aplicar\u00e1 la opci\u00f3n 1 de la Cl\u00e1usula 17 (Ley aplicable) y las leyes de Suecia regir\u00e1n las Cl\u00e1usulas Contractuales Est\u00e1ndar;<\/p>\n\n\n\n g) A los efectos de la Cl\u00e1usula 18 (Elecci\u00f3n de foro y jurisdicci\u00f3n), los tribunales de Suecia resolver\u00e1n cualquier disputa que surja de las Cl\u00e1usulas Contractuales Est\u00e1ndar;<\/p>\n\n\n\n h)El Anexo IA (Lista de Partes) y el Anexo IB (Descripci\u00f3n de la Transferencia) se completar\u00e1n utilizando la informaci\u00f3n y los detalles especificados en el Acuerdo Principal y enumerados en la Cl\u00e1usula 3 del DPA;<\/p>\n\n\n\n i) El Anexo IB (Descripci\u00f3n de la Transferencia) se completar\u00e1 especificando que no se transferir\u00e1n datos sensibles. La frecuencia de la transferencia deber\u00e1 ser continua. Para las transferencias a subencargados, el objeto, la naturaleza y la duraci\u00f3n del tratamiento ser\u00e1n los mismos que los del importador de datos;<\/p>\n\n\n\n j) A efectos del Anexo IC, la autoridad de control competente de conformidad con la Cl\u00e1usula 13 es IMY, la Autoridad de Protecci\u00f3n de Datos de Suecia (Integritetsskyddsmyndigheten);<\/p>\n\n\n\n k) A efectos del Anexo II, las Medidas t\u00e9cnicas y organizativas se describen en el Anexo 2 del DPA;<\/p>\n\n\n\n l) A los efectos del Anexo III, la Lista de Subencargados se incluye en el Anexo 3 del DPA;<\/p>\n\n\n\n m) cuando la Transferencia Restringida est\u00e9 sujeta al Reglamento, ya que forma parte de la legislaci\u00f3n de Inglaterra y Gales, Escocia e Irlanda del Norte (GDPR del Reino Unido), las Cl\u00e1usulas Contractuales Est\u00e1ndar incorporar\u00e1n el Ap\u00e9ndice del Reino Unido completado de la siguiente manera:<\/p>\n\n\n\n a. A los efectos de la Tabla 1, la fecha de inicio es la fecha de la firma del DPA y los detalles de las partes se completar\u00e1n utilizando la informaci\u00f3n y los detalles especificados en el Acuerdo Principal;<\/p>\n\n\n\n b. A efectos de la Tabla 2, la versi\u00f3n de las CCE de la UE aprobadas a las que se adjunta el Ap\u00e9ndice del Reino Unido son las Cl\u00e1usulas Contractuales Est\u00e1ndar completadas de conformidad con el presente Anexo 1, siendo la fecha la fecha de entrada en vigor del presente Ap\u00e9ndice;<\/p>\n\n\n\n c. A los efectos de la Tabla 3, la Informaci\u00f3n del Ap\u00e9ndice es la descrita en los p\u00e1rrafos (h) \u2013 (l) del presente Anexo 1; y<\/p>\n\n\n\n d. A los efectos de la Tabla 4, la entidad Sinch que act\u00fae como Importadora podr\u00e1 finalizar el Ap\u00e9ndice del Reino Unido cuando cambie el Ap\u00e9ndice Aprobado.<\/p>\n\n\n\n Las Medidas T\u00e9cnicas y Organizativas incluidas en este Anexo son medidas aplicables a los Servicios prestados por SINCH. Si es necesario, para el Servicio, SINCH puede incluir Medidas T\u00e9cnicas y Organizativas adicionales en la Orden de Servicio o Servicio.<\/p>\n\n\n\n Se desarrolla y mantiene un inventario de informaci\u00f3n y otros activos asociados, incluso los propietarios. Se ha designado un propietario de activos para cada activo dentro del inventario de acuerdo con la pol\u00edtica de etiquetado de activos.<\/p>\n\n\n\n La asignaci\u00f3n y gesti\u00f3n de la informaci\u00f3n de autenticaci\u00f3n se controla mediante un proceso de gesti\u00f3n, que incluye asesorar al personal sobre el manejo adecuado de la informaci\u00f3n de autenticaci\u00f3n. <\/p>\n\n\n\n En particular, SINCH: <\/p>\n\n\n\n Los derechos de acceso a la informaci\u00f3n y otros activos asociados se aprovisionan, revisan, modifican y eliminan de acuerdo con la pol\u00edtica y las reglas espec\u00edficas del tema de la organizaci\u00f3n para el control de acceso. <\/p>\n\n\n\n En particular, en SINCH: <\/p>\n\n\n\n La preparaci\u00f3n para las TICs se planifica, implementa, mantiene y prueba sobre la base de los objetivos de continuidad de los negocios y los requisitos de continuidad de las TICs.<\/p>\n\n\n\n En particular, en SINCH:<\/p>\n\n\n\n El personal de la organizaci\u00f3n y las partes interesadas pertinentes reciben concienciaci\u00f3n, educaci\u00f3n y capacitaci\u00f3n adecuadas sobre seguridad de la informaci\u00f3n y actualizaciones peri\u00f3dicas de la pol\u00edtica de seguridad de la informaci\u00f3n de la organizaci\u00f3n, pol\u00edticas y procedimientos espec\u00edficos del tema, seg\u00fan sea relevante para su funci\u00f3n laboral. <\/p>\n\n\n\n En particular, en Sinch:<\/p>\n\n\n\n El uso de los recursos se supervisa y ajusta de acuerdo con los requisitos de capacidad actuales y previstos.<\/p>\n\n\n\n La protecci\u00f3n contra el malware se implementa y est\u00e1 respaldada por la conciencia adecuada del usuario.<\/p>\n\n\n\n Todos los dispositivos de endpoint deben tener detecci\u00f3n de Endpoint EDR.<\/p>\n\n\n\n Se obtiene informaci\u00f3n sobre las vulnerabilidades t\u00e9cnicas de los sistemas de informaci\u00f3n en uso, se eval\u00faa la exposici\u00f3n de Sinch a dichas vulnerabilidades y se toman las medidas adecuadas.<\/p>\n\n\n\n En particular, en SINCH: <\/p>\n\n\n\n Las configuraciones, incluso las configuraciones de seguridad, de hardware, software, servicios y redes se establecen, documentan, implementan, monitorean y revisan seg\u00fan los siguientes est\u00e1ndares: NIST 800-53 y controles CIS.<\/p>\n\n\n\n Las copias de seguridad de la informaci\u00f3n, software y los sistemas se mantienen y prueban peri\u00f3dicamente de acuerdo con la pol\u00edtica acordada sobre backup. <\/p>\n\n\n\n La rutina de backup al menos especifica: <\/p>\n\n\n\n Las redes, sistemas y aplicaciones se supervisan para detectar comportamientos an\u00f3malos y se toman las medidas apropiadas para evaluar posibles incidentes de seguridad de la informaci\u00f3n. Las redes, los sistemas y las aplicaciones se supervisan para detectar comportamientos an\u00f3malos y maliciosos con el fin de detectar posibles incidentes de seguridad.<\/p>\n\n\n\n Las redes y los dispositivos de red est\u00e1n protegidos, administrados y controlados para proteger la informaci\u00f3n en sistemas y aplicaciones. <\/p>\n\n\n\n Por ejemplo, SINCH: <\/p>\n\n\n\n Se establecen y aplican reglas para el desarrollo seguro de software y sistemas. <\/p>\n\n\n\n Por ejemplo, en SINCH: <\/p>\n\n\n\n Los procesos de pruebas de seguridad se definen e implementan en el ciclo de vida del desarrollo:<\/p>\n\n\n\n Se han implementado medidas de seguridad f\u00edsica y ambiental dentro de Sinch. <\/p>\n\n\n\n Por ejemplo, en SINCH: <\/p>\n\n\n\n SINCH tambi\u00e9n ha aplicado un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI), de acuerdo con ISO\/IEC 27001:2022.<\/p>\n\n\n\n Se han implementado medidas para garantizar una retenci\u00f3n limitada de los datos personales. <\/p>\n\n\n\n Por ejemplo, SINCH: <\/p>\n\n\n\n Se han aplicado medidas t\u00e9cnicas y organizativas apropiadas para cumplir los requisitos de responsabilidad. <\/p>\n\n\n\n Por ejemplo, SINCH: <\/p>\n\n\n\n Las medidas para permitir el ejercicio de los derechos de los titulares de los datos se implementan dentro de Sinch.<\/p>\n\n\n\n Por ejemplo, SINCH: <\/p>\n\n\n\n Se implementan medidas para minimizar la cantidad de datos procesados. <\/p>\n\n\n\n Por ejemplo, para cada actividad de procesamiento SINCH: <\/p>\n\n\n\n2. CUMPLIMIENTO DE LAS LEYES DE PROTECCI\u00d3N DE DATOS APLICABLES<\/strong><\/h2>\n\n\n\n
3. DETALLES Y \u00c1MBITO DEL PROCESAMIENTO<\/strong> <\/h2>\n\n\n\n
4. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO<\/strong><\/h2>\n\n\n\n
5. CONFIDENCIALIDAD<\/strong><\/h2>\n\n\n\n
6. MEDIDAS T\u00c9CNICAS Y ORGANIZATIVAS<\/strong><\/h2>\n\n\n\n
7. SOLICITUDES DE LOS TITULARES DE LOS DATOS<\/strong> <\/h2>\n\n\n\n
8. VIOLACIONES DE DATOS PERSONALES <\/strong><\/h2>\n\n\n\n
9. EVALUACIONES DE IMPACTO DE LA PROTECCI\u00d3N DE DATOS<\/strong><\/h2>\n\n\n\n
10. AUDITOR\u00cdAS<\/strong><\/h2>\n\n\n\n
11. DEVOLUCI\u00d3N O DESTRUCCI\u00d3N DE LOS DATOS PERSONALES DEL CLIENTE<\/strong><\/h2>\n\n\n\n
12. TRANSFERENCIAS DE DATOS<\/strong><\/h2>\n\n\n\n
13. SUBENCARGADOS DEL TRATAMIENTO<\/strong><\/h2>\n\n\n\n
14. LEY APLICABLE Y JURISDICCI\u00d3N<\/strong><\/h2>\n\n\n\n
15. ORDEN DE PRECEDENCIA<\/strong><\/h2>\n\n\n\n
16. DISPOSICIONES INDEPENDIENTES <\/strong><\/h2>\n\n\n\n
17. TERMINACI\u00d3N<\/strong><\/h2>\n\n\n\n
ANEXO 1 \u2013 CL\u00c1USULAS CONTRACTUALES EST\u00c1NDAR<\/strong><\/h2>\n\n\n\n
ANEXO 2 \u2013 SEGURIDAD DE LA INFORMACI\u00d3N – MEDIDAS T\u00c9CNICAS Y ORGANIZATIVAS<\/strong><\/h2>\n\n\n\n
1. Inventario de informaci\u00f3n y otros activos asociados<\/strong><\/h3>\n\n\n\n
2. Informaci\u00f3n de autenticaci\u00f3n <\/strong><\/h3>\n\n\n\n
\n
3. Derechos de acceso <\/strong> <\/h3>\n\n\n\n
\n
4. Preparaci\u00f3n de las TICs para la continuidad del negocio<\/strong><\/h3>\n\n\n\n
\n
5. Concienciaci\u00f3n, educaci\u00f3n y capacitaci\u00f3n en seguridad de la informaci\u00f3n<\/strong><\/h3>\n\n\n\n
\n
6. Gesti\u00f3n de capacidad<\/strong> <\/h3>\n\n\n\n
7. Protecci\u00f3n contra malware <\/strong><\/h3>\n\n\n\n
8. Gesti\u00f3n de vulnerabilidades t\u00e9cnicas<\/strong><\/h3>\n\n\n\n
\n
9. Gesti\u00f3n de Configuraci\u00f3n <\/strong><\/h3>\n\n\n\n
10. Backup de la Informaci\u00f3n <\/strong><\/h3>\n\n\n\n
\n
11. Actividades de monitoreo<\/strong> <\/h3>\n\n\n\n
12. Seguridad de la Red<\/strong> <\/h3>\n\n\n\n
\n
13. Gesti\u00f3n del ciclo de vida del sistema<\/strong><\/h3>\n\n\n\n
\n
14. Pruebas de seguridad en el desarrollo y aceptaci\u00f3n<\/strong><\/h3>\n\n\n\n
\n
15. Medidas para garantizar la seguridad f\u00edsica de los lugares en los que se procesan los datos personales<\/strong><\/h3>\n\n\n\n
\n
16. Medidas para garantizar una retenci\u00f3n limitada de los datos<\/strong><\/h3>\n\n\n\n
\n
17. Medidas para garantizar la responsabilidad<\/strong><\/h3>\n\n\n\n
\n
18. Medidas para permitir la portabilidad de los datos y garantizar el borrado<\/strong><\/h3>\n\n\n\n
\n
19. Medidas para garantizar la minimizaci\u00f3n de los datos <\/strong><\/h3>\n\n\n\n
\n