Acuerdo de Tratamiento de Datos y Política de Privacidad de PariPassu
Última modificación: 12 de marzo de 2020
El presente Acuerdo de Tratamiento de Datos de PariPassu, y sus Anexos, refleja el acuerdo entre las partes sobre el Tratamiento de Datos Personales por parte de PariPassu en nombre del Cliente con respecto a los Servicios de Suscripción de PariPassu.
Los "Anexos" complementan e integran el Acuerdo, y entran en vigencia a partir de su incorporación al mismo, la cual puede ser especificada en el Acuerdo, en un Pedido o en una modificación firmada del Acuerdo.
Actualizamos periódicamente estos términos. Si tienes una suscripción activa de PariPassu, te informaremos sobre las actualizaciones por correo electrónico.
- Definiciones
- Responsabilidades del Cliente
- Obligaciones de PariPassu
- Solicitudes de Titulares
- Suboperadores
- Transferencias de datos
- Definiciones
"Leyes de Protección de Datos" o "LGPD" es el término utilizado para referirse a la protección de datos (Ley nº 13.709) sancionada el 14 de agosto de 2018 y que entra en vigor a partir de agosto de 2020. Se refiere a todas las leyes del mundo sobre protección y privacidad de datos aplicables a la respectiva parte que está en la función de tratamiento de los Datos Personales en cuestión según el Acuerdo.
"Datos Personales" es el término utilizado para referirse a Datos Personales protegidos por la LGPD.
"Cliente", "Empresa" y "Proveedor de Servicios" son términos definidos por la LGPD.
"Responsable" es el término utilizado para referirse a la persona física o jurídica, de derecho público o privado, que, individual o colectivamente, determina los fines y los medios del Tratamiento de Datos Personales.
“Titular” es el término utilizado para referirse a la persona física a quien los Datos Personales se refieren.
“Instrucciones” es el término utilizado para referirse a las instrucciones documentadas por escrito y emitidas por un Responsable a un Operador instruyéndolo a ejecutar una acción específica en relación con los Datos Personales (incluyendo, sin restricción, anonimización, bloqueo, eliminación, disponibilización).
“Afiliados Permitidos” es el término utilizado para referirse a cualquier Afiliado del Cliente que (i) tenga permiso para utilizar los Servicios de Suscripción según el Acuerdo, sin haber firmado un acuerdo propio con PariPassu y sin ser un “Cliente” según lo definido en el Acuerdo, (ii) califique como Responsable de los Datos Personales tratados por PariPassu, y (iii) esté sujeto a las Leyes de Protección de Datos.
“Datos Personales” es el término utilizado para referirse a cualquier información relacionada con una persona física identificada o identificable que esté contenida en los Datos del Cliente y sea protegida de la misma manera que datos personales, información personal o información de identificación personal según las Leyes de Protección de Datos aplicables.
“Violación de Datos Personales” es el término utilizado para referirse a una violación de seguridad que cause, de manera accidental o ilegal, la destrucción, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales transmitidos, almacenados o Tratados de otra manera por PariPassu y/o por sus Suboperadores en relación con la prestación de los Servicios de Suscripción. El término “Violación de Datos Personales” no incluirá intentos o actividades que no comprometan la seguridad de los Datos Personales, como intentos fallidos de inicio de sesión, pings, exploraciones de puertos, ataques de denegación de servicio y otros ataques de red a firewalls o sistemas en red.
“Tratamiento” es el término utilizado para referirse a cualquier operación o conjunto de operaciones con Datos Personales, incluyendo la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión u otra forma de disponibilidad, correlación o combinación, restricción o eliminación de Datos Personales. Los términos “tratar”, “trata” y “tratado” se interpretarán en este contexto.
“Operador” es el término utilizado para referirse a la persona física o jurídica, de derecho público o privado, que trata los Datos Personales en nombre del Responsable.
“Suboperador” es el término utilizado para referirse a cualquier Operador contratado por PariPassu o sus Afiliados para ayudar en el cumplimiento de las obligaciones de PariPassu con respecto a la prestación de los Servicios de Suscripción según el Acuerdo. Los Suboperadores pueden incluir terceros o Afiliados de PariPassu, excluyendo a todos los empleados o consultores de PariPassu.
“Página de Suboperadores” es el término utilizado para referirse a la Página de Suboperadores de PariPassu.
- Responsabilidades del Cliente
- Conformidad con las Leyes
Dentro del alcance del Acuerdo y en su uso de los servicios, el Cliente será responsable de cumplir con todos los requisitos establecidos en las Leyes de Protección de Datos aplicables a él con respecto al Tratamiento de Datos Personales y las Instrucciones emitidas a PariPassu.
En particular, pero sin limitarse a lo anterior, el Cliente reconoce y acepta que será exclusivamente responsable: (i) de la precisión, calidad y legalidad de los Datos Personales y los medios mediante los cuales los adquiere; (ii) de cumplir con todos los requisitos necesarios de transparencia y licitud establecidos en las Leyes de Protección de Datos aplicables a la recopilación y uso de los Datos Personales, obteniendo, incluso, cualquier consentimiento y autorización necesarios (especialmente para el uso por parte del Cliente con fines de marketing); (iii) de garantizar que tiene el derecho de transferir o proporcionar acceso a los Datos Personales a PariPassu para fines de Tratamiento de acuerdo con el Acuerdo (incluidos los Anexos); (iv) de garantizar que sus Instrucciones a PariPassu sobre el Tratamiento de Datos Personales cumplan con las leyes aplicables, incluidas las Leyes de Protección de Datos; y (v) de cumplir con todas las leyes (incluidas las Leyes de Protección de Datos) aplicables a cualquier correo electrónico u otros contenidos creados, enviados o gestionados por los Servicios de Suscripción, incluidos aquellos relacionados con la obtención de consentimientos (cuando sea necesario) para el envío de correos electrónicos, el contenido de los correos electrónicos y sus prácticas de implementación de correo electrónico. El Cliente informará inmediatamente a PariPassu si no puede cumplir con sus responsabilidades establecidas en esta subsección (a) o en las Leyes de Protección de Datos aplicables.
- Instrucciones del Responsable
Las partes acuerdan que el Acuerdo (incluidos los Anexos), junto con el uso del Servicio de Suscripción por parte del cliente de acuerdo con el Acuerdo, constituyen las Instrucciones completas y definitivas del Cliente para PariPassu con respecto al Tratamiento de Datos Personales, y las instrucciones adicionales fuera del alcance de las Instrucciones requerirán un acuerdo previo y por escrito entre el Cliente y PariPassu.
- Obligaciones de PariPassu
- Cumplimiento de las Instrucciones
PariPassu tratará únicamente los Datos Personales para los fines descritos en este Acuerdo (incluidos los Anexos) o según lo acordado de otra manera dentro del alcance de las Instrucciones legítimas del Cliente, salvo que se requiera de otra manera por las leyes aplicables. PariPassu no es responsable del cumplimiento de ninguna Ley de Protección de Datos aplicable al Cliente o a su sector que no sea generalmente aplicable a PariPassu.
- Conflicto de leyes
Si PariPassu se da cuenta de que no puede tratar Datos Personales de acuerdo con las Instrucciones del Cliente debido a un requisito establecido en cualquier ley aplicable, PariPassu: (i) comunicará inmediatamente al Cliente sobre dicho requisito legal dentro del límite permitido por la ley aplicable; y (ii) cuando sea necesario, suspenderá todo el Tratamiento (excepto el mero almacenamiento y mantenimiento de la seguridad de los Datos Personales afectados), hasta que el Cliente emita nuevas Instrucciones que puedan ser cumplidas por PariPassu. Si se invoca esta disposición, PariPassu no será responsable ante el Cliente según los términos del Acuerdo por no proporcionar los Servicios de Suscripción aplicables hasta que el Cliente emita nuevas Instrucciones legales sobre el Tratamiento.
Seguridad
PariPassu implementará y mantendrá medidas técnicas y organizativas adecuadas para proteger los Datos Personales contra Violaciones de Datos Personales, como se describe en el Anexo 2 de este Acuerdo ("Medidas de Seguridad"). No obstante cualquier disposición en contrario, PariPassu podrá modificar o actualizar las Medidas de Seguridad prácticas a su exclusivo criterio, siempre que dicha modificación o actualización no genere un perjuicio material a la protección ofrecida por dichas medidas.
- Confidencialidad
PariPassu garantizará que todo el personal autorizado por ella para tratar los Datos Personales en su nombre esté sujeto a las debidas obligaciones de confidencialidad (ya sea por disposición en contrato o por ley) con respecto a estos Datos Personales.
- Violaciones de Datos Personales
PariPassu notificará de inmediato al Cliente después de tener conocimiento de cualquier Violación de Datos Personales y proporcionará oportunamente información relacionada con la Violación de Datos Personales cuando esta sea conocida o solicitada razonablemente por el Cliente. A solicitud del Cliente, PariPassu proporcionará de inmediato toda la asistencia razonable necesaria para permitir que el Cliente notifique a las autoridades competentes y/o a los Titulares afectados sobre Violaciones de Datos Personales relevantes, en caso de que el Cliente necesite hacerlo de acuerdo con las Leyes de Protección de Datos.
- Eliminación o devolución de Datos Personales
PariPassu eliminará o devolverá todos los Datos Personales (incluidas las copias) tratados de acuerdo con este Acuerdo según los procedimientos y plazos establecidos en el Acuerdo, salvo que este requisito no se aplique en los casos en que PariPassu esté obligada por la ley aplicable a retener los Datos Personales en su totalidad o en parte, o a los Datos Personales archivados en los sistemas de respaldo, los cuales PariPassu aislará de manera segura y protegerá contra Tratamientos, eliminándolos de acuerdo con sus prácticas de eliminación.
- Solicitudes de Titulares
El Servicio de Suscripción ofrece varios controles que el Cliente puede utilizar para recuperar, corregir, eliminar o restringir Datos Personales, para ayudarlo a cumplir con sus obligaciones establecidas en las Leyes de Protección de Datos, incluidas las obligaciones para atender Solicitudes de Titulares en el ejercicio de sus derechos según las Leyes de Protección de Datos aplicables ("Solicitudes de Titulares").
Si el Cliente no puede atender una Solicitud de Titular por sí mismo a través del Servicio de Suscripción, entonces, previa solicitud escrita del Cliente, PariPassu proporcionará asistencia razonable al Cliente para responder a cualquier Solicitud de Titular o a autoridades de protección de datos sobre el Tratamiento de Datos Personales de acuerdo con el Acuerdo. El Cliente reembolsará a PariPassu los costos comercialmente razonables derivados de dicha asistencia.
Si la Solicitud de Titular u otra solicitud sobre el Tratamiento de Datos Personales en virtud del Acuerdo se realiza directamente a PariPassu, PariPassu informará inmediatamente al Cliente y instruirá al Titular a enviar su solicitud al Cliente. Será responsabilidad exclusiva del Cliente responder a cualquier Solicitud de Titular o comunicación que involucre Datos Personales.
- Suboperadores
El Cliente acepta que PariPassu puede contratar Suboperadores para tratar Datos Personales en nombre del Cliente. En este momento, PariPassu nombra como Suboperadores a los Afiliados de PariPassu y a terceros enumerados en su Página de Suboperadores. PariPassu notificará al Cliente si agrega o elimina Suboperadores de la Página de Suboperadores antes de cualquier cambio, siempre que el Cliente haya optado por recibir dichas notificaciones por correo electrónico al completar los formularios.
Al contratar Suboperadores, PariPassu impondrá términos de protección de datos a los Suboperadores que garanticen, como mínimo, el mismo nivel de protección para los Datos Personales según lo dispuesto en el Acuerdo, dada la naturaleza de los servicios prestados por dichos Suboperadores.
- Transferencias de datos
El Cliente acepta y reconoce que PariPassu puede acceder y tratar Datos Personales a escala global según sea necesario para proporcionar el Servicio de Suscripción de acuerdo con el Acuerdo y, en particular, que los Datos Personales serán transferidos y tratados por PariPassu y en otras jurisdicciones donde los Afiliados de PariPassu y los Suboperadores tengan operaciones. PariPassu garantizará que dichas transferencias se realicen de acuerdo con los requisitos de las Leyes de Protección de Datos.
Anexo 1 - Detalles del Tratamiento
Este Anexo forma parte del Acuerdo.
- Naturaleza y propósito del Tratamiento
PariPassu tratará los Datos Personales según sea necesario para proporcionar los Servicios de Suscripción de acuerdo con el Acuerdo, como se especifica con más detalle en el Formulario de Pedido e instruido por el Cliente en su uso de los Servicios de Suscripción.
- Duración del Tratamiento
Sujeto a la sección "Exclusión o devolución de Datos Personales" de este Acuerdo, PariPassu tratará Datos Personales durante la vigencia del Acuerdo, a menos que se acuerde de otra manera por escrito.
- Categorías de Titulares
El Cliente puede enviar Datos Personales al utilizar el Servicio de Suscripción, cuya extensión es determinada y controlada a discreción exclusiva del Cliente, pudiendo incluir, sin restricciones, Datos Personales relativos a las siguientes categorías de Titulares de Datos:
- Contactos del Cliente y otros usuarios finales, incluidos empleados, proveedores de servicios, colaboradores, clientes, prospectos, proveedores y subcontratistas del Cliente. Los Titulares también pueden incluir personas físicas que intenten comunicarse con los usuarios finales del Cliente o transferir Datos Personales a ellos.
- Categorías de Datos Personales
El Cliente puede enviar Datos Personales a los Servicios de Suscripción, cuya extensión es determinada y controlada a discreción exclusiva del Cliente, pudiendo incluir, sin restricciones, las siguientes categorías de Datos Personales:
- Información de Contacto (según se define en los Términos de Servicio al Cliente de PariPassu).
- Cualquier otro Datos Personales que el Cliente o sus usuarios finales envíen o reciban a través del Servicio de Suscripción.
- Categorías especiales de datos (si corresponde)
Las partes no anticipan la transferencia de categorías especiales de datos.
- Operaciones de tratamiento
Los Datos Personales serán tratados de acuerdo con el Acuerdo (incluido este Acuerdo) y pueden estar sujetos a las siguientes actividades de Tratamiento:
- Almacenamiento y otros Tratamientos necesarios para proporcionar, mantener y mejorar los Servicios de Suscripción proporcionados al Cliente, como el envío de correos electrónicos; y/o
- Divulgación de acuerdo con el Acuerdo (incluido este Acuerdo) y/o según lo requieran las leyes aplicables.
Anexo 2 - Medidas de Seguridad
Este Anexo forma parte del Acuerdo.
En este momento, PariPassu sigue las Medidas de Seguridad descritas en el presente Anexo 2. Todos los términos en mayúsculas no definidos de otra manera en este documento tendrán los mismos significados definidos en el Acuerdo.
- a) Control de acceso
- i) Impedimento al acceso no autorizado al producto
Tratamiento terciarizado: PariPassu aloja su Servicio con proveedores de infraestructura en la nube externos. Además, PariPassu mantiene relaciones contractuales con proveedores para proporcionar el Servicio de acuerdo con el Acuerdo de Tratamiento de Datos. PariPassu confía en los contratos, políticas de privacidad y programas de cumplimiento de sus proveedores para proteger los datos tratados o almacenados por ellos.
Seguridad física y ambiental: PariPassu aloja la infraestructura de su producto con proveedores de infraestructura de multilocación externos. Los controles de seguridad física y ambiental se auditan para cumplir con estándares y certificaciones.
Autenticación: PariPassu ha implementado una política uniforme de contraseñas para los productos de sus clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben pasar por autenticación antes de acceder a datos de clientes que no son públicos.
Autorización: Los Datos del Cliente se almacenan en sistemas de almacenamiento de multilocación accesibles para los Clientes solo a través de interfaces de usuario de aplicaciones y interfaces de programación de aplicaciones. Los Clientes no tienen acceso directo a la infraestructura de la aplicación subyacente. El modelo de autorización de cada uno de los productos de PariPassu está diseñado para garantizar que solo las personas debidamente autorizadas puedan acceder a recursos, visualizaciones y opciones de personalización pertinentes. La autorización para conjuntos de datos se realiza mediante la validación de los permisos del usuario de acuerdo con los atributos asociados a cada conjunto de datos.
Acceso a través de Interfaces de Programación de Aplicaciones (API): Las API públicas de los productos pueden ser accedidas mediante una clave de API o mediante autorización con protocolo.
- ii) Impedimento al uso no autorizado del producto
PariPassu implementa controles de acceso y funciones de detección que son estándar de la industria para las redes internas que sirven a sus productos.
Controles de acceso: Los mecanismos de control de acceso a redes están diseñados para evitar que el tráfico de red con protocolos no autorizados alcance la infraestructura de los productos. Las medidas técnicas implementadas varían según los proveedores de infraestructura e incluyen implementaciones de Red Privada Virtual (VPN), asignaciones de grupos de seguridad y reglas de firewall tradicionales.
Análisis de código estático: Se realizan análisis de seguridad de códigos almacenados en los repositorios de código fuente de PariPassu para verificar las mejores prácticas de programación y las fallas identificables en el software.
A PariPassu utiliza metodologías de desarrollo de software aceptadas a nivel global que buscan garantizar la calidad de los sistemas desarrollados. Todas las nuevas versiones de los sistemas pasan por pruebas para garantizar la calidad y seguridad de la información almacenada.
iii) Limitaciones de privilegios y requisitos de autorización
Acceso a productos: Un subgrupo de empleados de PariPassu tiene acceso a los productos y datos de los clientes a través de interfaces controladas. Los objetivos del acceso de un subgrupo de empleados incluyen la prestación de un soporte al cliente eficaz, la solución de posibles problemas, la detección y respuesta a incidentes de seguridad, y la implementación de la seguridad de datos. El acceso se permite mediante solicitudes y todas estas solicitudes quedan registradas. Los empleados tienen acceso de acuerdo con sus funciones y se realizan análisis de concesiones de privilegios de alto riesgo con frecuencia. Las funciones de los empleados se revisan al menos una vez cada doce meses.
Verificaciones de historial profesional: Todos los empleados de PariPassu pasan por una verificación independiente del historial profesional antes de avanzar en una propuesta de trabajo, de acuerdo con las leyes aplicables. Todos los empleados están obligados a comportarse según las pautas de la empresa, los requisitos de confidencialidad y los estándares éticos.
- b) Control de transmisión
En tránsito: PariPassu proporciona cifrado HTTPS (también conocido como SSL o TLS) en todas sus interfaces de inicio de sesión. La implementación de HTTPS de PariPassu utiliza algoritmos y certificados que son estándar en la industria.
En reposo: PariPassu almacena las contraseñas de los usuarios de acuerdo con políticas que siguen prácticas de seguridad estándar en la industria. PariPassu ha implementado tecnologías para garantizar que las contraseñas almacenadas estén cifradas cuando estén en reposo.
- c) Control de entrada
Detección: PariPassu ha diseñado su infraestructura para registrar amplia información sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos agregan datos de registro y alertan a ciertos empleados sobre actividades malintencionadas, no intencionadas o anómalas. El personal de PariPassu, incluidos los equipos de seguridad, operaciones y soporte, responde a incidentes conocidos.
Anexo 3 – Cláusulas Contractuales Estándar
Para los fines del Artículo para la transferencia de datos personales a operadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos, el Cliente, según se define en los Términos de Servicio al Cliente de PariPassu (el "exportador de datos").
PariPassu Aplicativos Especializados LTDA. (el "importador de datos"),
siendo cada uno una "parte", y juntos, "partes",
ACUERDAN las siguientes Cláusulas Contractuales (las "Cláusulas") con el fin de brindar protecciones adecuadas para la protección de la privacidad y los derechos y libertades fundamentales de las personas físicas relacionadas con la transferencia de los datos personales especificados en
Anexo 1 entre el exportador de datos y el importador de datos.
Cláusula 1ª - Beneficiarios de terceros
- El titular, como beneficiario de tercero, puede hacer cumplir, frente al exportador de datos: de estas Cláusulas.
- El titular puede hacer cumplir frente al importador de datos estas Cláusulas en los casos en que el exportador de datos haya desaparecido efectivamente o dejado de existir legalmente, a menos que una entidad sucesora eventual haya asumido todas las obligaciones legales del exportador de datos por contrato o por ley, asumiendo, por lo tanto, los derechos y obligaciones del exportador de datos, caso en el cual el titular puede hacer cumplir dichas cláusulas frente a dicha entidad sucesora.
- El titular puede hacer cumplir frente al suboperador estas Cláusulas en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido efectivamente, dejado de existir legalmente o se hayan vuelto insolventes, a menos que una entidad sucesora eventual haya asumido todas las obligaciones legales del exportador de datos por contrato o por ley, asumiendo, por lo tanto, los derechos y obligaciones del exportador de datos, caso en el cual el titular puede hacer cumplir dichas cláusulas frente a dicha entidad sucesora. Esta responsabilidad ante terceros del suboperador estará limitada a sus propias actividades de tratamiento según lo estipulado en las Cláusulas.
- Las partes no se oponen a que un titular sea representado por una asociación u otro organismo si la legislación nacional lo permite y si el titular declara expresamente que esta es su voluntad.
Cláusula 2ª - Obligaciones del exportador de datos
El exportador de datos declara y garantiza:
(a) que el tratamiento de los datos personales, incluida su transferencia, se ha realizado y seguirá realizándose de acuerdo con las disposiciones pertinentes de las leyes aplicables de protección de datos (y, cuando corresponda, que se ha informado a las autoridades competentes del Estado en el que el exportador de datos está establecido) y que dicho tratamiento, incluida su transferencia, no infringe las disposiciones pertinentes de dicho Estado;
(b) que instruyó e instruirá, a lo largo de toda la duración de los servicios de tratamiento de datos personales, al importador de datos a tratar los datos personales transferidos únicamente en nombre del exportador de datos y de acuerdo con las leyes aplicables de protección de datos y las Cláusulas;
(c) que el importador de datos proporcionará garantías suficientes con respecto a las medidas técnicas y organizativas de seguridad especificadas en el Apéndice 2 del presente contrato;
(d) que, después de evaluar los requisitos de las leyes aplicables de protección de datos, las medidas de seguridad son adecuadas para la protección de datos personales contra destrucción accidental o ilegal, contra pérdida, alteración, divulgación o acceso no autorizado de manera accidental, en particular, cuando el tratamiento involucre la transmisión de datos por red, y contra todas las demás formas de tratamiento ilegal, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos presentados por el tratamiento y por la naturaleza de los datos a proteger, considerando el estado del arte y el costo de la implementación de dichas medidas.
(e) que garantizará el cumplimiento de tales medidas de seguridad;
(f) que, si la transferencia involucra categorías especiales de datos, el titular fue o será informado antes o tan pronto como sea posible después de la transferencia de que sus datos podrían ser transmitidos a un país tercero que no ofrece la protección adecuada a datos según los términos de la LGPD;
(g) enviar cualquier notificación proveniente del importador de datos o de cualquier suboperador conforme a las Cláusulas a la autoridad de control de protección de datos en caso de que el exportador de datos decida continuar la transferencia o retire la suspensión;
(h) proporcionar, a solicitud de los titulares, una copia de las Cláusulas, con excepción del Apéndice 2, y una breve descripción de las medidas de seguridad, así como una copia de cualquier contrato para servicios de subtratamiento que deba hacerse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso dicha información comercial podrá ser eliminada;
(i) que, en caso de subtratamiento, la actividad de tratamiento sea realizada de acuerdo con las Cláusulas por un suboperador que ofrezca, como mínimo, el mismo nivel de protección de datos personales y los mismos derechos de los titulares que el importador de datos según los términos de las Cláusulas; y
(j) que cumplirá con la Cláusula 4(a) a (i).
Cláusula 3ª - Obligaciones del importador de datos
El importador de datos declara y garantiza:
(a) tratar los datos personales en nombre del exportador de datos y de acuerdo con sus instrucciones y con las Cláusulas; si, por alguna razón, no es posible cumplir con esta conformidad, el importador de datos acepta notificar inmediatamente al exportador de datos sobre dicha imposibilidad, en cuyo caso el exportador de datos tiene el derecho de suspender la transferencia de datos y/o rescindir el contrato.
(b) que no tiene motivos para creer que la legislación aplicable le impida cumplir las instrucciones proporcionadas por el exportador de datos y sus obligaciones estipuladas en el contrato, y que, en caso de cambios en dicha legislación que puedan afectar las obligaciones y garantías establecidas por las Cláusulas, el importador de datos notificará rápidamente al exportador de datos tan pronto como tenga conocimiento de tales cambios, en cuyo caso el exportador de datos tiene el derecho de suspender la transferencia de datos y/o rescindir el contrato;
(c) que ha implementado las medidas técnicas y organizativas de seguridad especificadas en el Apéndice 2 antes de tratar los datos personales transferidos;
(d) que notificará rápidamente al exportador de datos sobre:
(i) cualquier solicitud legalmente vinculante para divulgar datos personales realizada por una autoridad policial o de supervisión, a menos que exista una prohibición que le impida hacer tal comunicación, como una prohibición en la legislación penal para preservar la confidencialidad de una investigación policial o de una investigación;
(ii) cualquier acceso accidental o no autorizado; y
(iii) cualquier solicitud recibida directamente de los titulares, sin haber respondido a dicha solicitud, a menos que exista autorización en contrario para hacerlo;
(e) atender pronta y debidamente a todos los contactos del exportador de datos en relación con el tratamiento de sus datos personales, sometiéndose a transferir y cumplir con las orientaciones de la autoridad de control con respecto al tratamiento de los datos transferidos;
(f) a solicitud del exportador de datos, someter sus instalaciones de tratamiento de datos a auditorías de las actividades de tratamiento cubiertas por las Cláusulas, que pueden ser realizadas por el exportador de datos o por un organismo de inspección compuesto por profesionales independientes debidamente calificados y con la obligación de confidencialidad, según lo seleccionado por el exportador de datos, cuando corresponda, de acuerdo con la autoridad de control;
(g) proporcionar, a solicitud del titular, una copia de las Cláusulas o una copia de cualquier contrato para servicios de subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso dicha información comercial podrá ser eliminada, con la excepción del Apéndice 2, que será reemplazado por una breve descripción de las medidas de seguridad en los casos en que el titular no pueda obtener una copia con el exportador de datos;
(h) que, en caso de subtratamiento, ha informado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito.
(i) que los servicios de tratamiento por parte del suboperador serán prestados de acuerdo con las Cláusulas;
(j) enviar prontamente al exportador de datos una copia de cualquier contrato con suboperador que sea firmado en los términos de las Cláusulas.
Cláusula 4ª - Responsabilidades
- Las partes acuerdan que cualquier titular que sufra daños como resultado de la violación de las obligaciones mencionadas en las Cláusulas por cualquier parte o por un suboperador tiene derecho a recibir indemnización del exportador de datos por los daños sufridos.
- Si un titular no puede entablar una acción de indemnización según lo dispuesto en el párrafo 1 contra el exportador de datos debido a una violación de cualquiera de las obligaciones establecidas en las Cláusulas por parte del importador de datos o de su suboperador, porque el exportador de datos ha desaparecido efectivamente, ha dejado de existir legalmente o se ha vuelto insolvente, el importador de datos acuerda que el titular puede entablar una acción contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora eventual haya asumido todas las obligaciones legales del exportador de datos por contrato o por ley, en cuyo caso el titular podrá hacer valer sus derechos contra dicha entidad sucesora. El importador de datos no podrá basarse en la violación de sus obligaciones por parte de un suboperador para eludir sus propias responsabilidades.
- Si un titular no puede entablar una acción contra el exportador de datos o el importador de datos según lo dispuesto en los párrafos 1 y 2 debido a una violación por parte de ellos de cualquiera de las obligaciones establecidas en las Cláusulas, porque tanto el exportador de datos como el importador de datos han desaparecido efectivamente, han dejado de existir legalmente o se han vuelto insolventes, el suboperador acuerda que el titular puede entablar una acción contra el suboperador de datos en relación con sus propias actividades de tratamiento establecidas en las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que una entidad sucesora eventual haya asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por ley, en cuyo caso el titular podrá hacer valer sus derechos contra dicha entidad sucesora. La responsabilidad del suboperador estará limitada a sus propias actividades de tratamiento según lo dispuesto en las Cláusulas.
Cláusula 5ª - Mediación y jurisdicción
- El importador de datos acepta que si el titular invoca sus derechos como beneficiario de terceros y/o entabla acciones de indemnización según las Cláusulas, el importador de datos aceptará la decisión del titular de:
(a) someter la disputa a mediación por un tercero ajeno a la relación o, cuando corresponda, por la autoridad de control;
(b) someter la disputa a los tribunales del Estado donde el exportador de datos está establecido.
- Las partes acuerdan que la opción elegida por el titular no menoscabará sus derechos sustantivos o procesales para buscar remedios legales previstos en otras disposiciones o en la legislación internacional.
Cláusula 6ª - Cooperación con autoridades de control
- El exportador de datos acepta entregar una copia de este contrato a la autoridad de control si así se solicita o si dicha entrega es exigida por las leyes aplicables de protección de datos.
- Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría en el importador de datos y en cualquier suboperador que tenga el mismo alcance y esté sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos según las leyes aplicables de protección de datos.
- El importador de datos comunicará de inmediato al exportador de datos sobre la existencia de legislación aplicable a él o a cualquier suboperador que impida la realización de una auditoría del importador de datos o de cualquier suboperador según lo establecido en el párrafo 2. En este caso, el exportador de datos tendrá derecho a actuar según lo previsto en las Cláusulas.
Cláusula 7ª - Ley aplicable
Las Cláusulas estarán regidas por las leyes del Estado donde el exportador de datos está establecido.
Cláusula 8ª - Modificación del contrato
Las partes se comprometen a no modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre asuntos comerciales cuando sea necesario, siempre que dichas cláusulas adicionales no entren en conflicto con las Cláusulas.
Cláusula 9ª - Subtratamiento
- El importador de datos no subcontratará ninguna de sus actividades de tratamiento realizadas en nombre del exportador de datos según las Cláusulas sin el consentimiento previo por escrito del exportador de datos. En caso de que el importador de datos subcontrate sus obligaciones según las Cláusulas, con el consentimiento del exportador de datos, el importador de datos solo lo hará a través de un contrato escrito con el suboperador, imponiéndole las mismas obligaciones que el importador de datos asumió según las Cláusulas. Si el Suboperador incumple sus obligaciones de protección de datos establecidas en dicho contrato escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del suboperador según los términos de dicho contrato.
- El contrato previo por escrito entre el importador de datos y el suboperador también contendrá una cláusula de terceros beneficiarios según lo establecido en las Cláusulas para los casos en que el titular no pueda entablar la acción indemnizatoria mencionada en las Cláusulas contra el exportador de datos o el importador de datos, porque ellos han desaparecido efectivamente, han dejado de existir legalmente o se han vuelto insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por ley. La responsabilidad del suboperador ante terceros estará limitada a sus propias actividades de tratamiento según lo dispuesto en las Cláusulas.
- Los términos relacionados con los aspectos de protección de datos para el subtratamiento del contrato mencionado en las Cláusulas estarán sujetos a las leyes del Estado donde el exportador de datos está establecido.
- El exportador de datos mantendrá una lista de contratos de subtratamiento firmados de acuerdo con las Cláusulas y comunicados por el importador de datos según lo dispuesto en la Cláusula 5(j), actualizándola al menos una vez al año. La lista estará disponible para la autoridad de control de protección de datos del exportador de datos.
Cláusula 10ª - Obligación después de la finalización de los servicios de tratamiento de datos personales
- Las partes acuerdan que, al finalizar los servicios de tratamiento de datos personales, el importador de datos y el suboperador, a elección del exportador de datos, devolverán todos los datos personales transferidos y sus copias al exportador de datos o los destruirán y certificarán al exportador de datos que así lo hicieron, a menos que la legislación aplicable al importador de datos le impida devolver o destruir, total o parcialmente, los datos personales transferidos. En ese caso, el importador de datos garantiza que mantendrá la confidencialidad de los datos personales transferidos y ya no los procesará de manera activa.
- El importador de datos y el suboperador garantizan que, a solicitud del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el párrafo 1.
Apéndice 1 de las Cláusulas Contractuales Estándar
Este Apéndice forma parte de las Cláusulas.
Los términos definidos utilizados en este Apéndice 1 seguirán los significados dados a ellos en el Acuerdo (incluido el Acuerdo).
Exportador de datos
El exportador de datos es la persona jurídica especificada como "Cliente" en el Acuerdo.
Importador de datos
El importador de datos es PariPassu.
Titulares
Consulta el Anexo 1 del Acuerdo, que describe a los titulares de los datos.
Categorías de datos
Consulta el Anexo 1 del Acuerdo, que describe las categorías de datos.
Categorías especiales de datos (si corresponde)
Las partes no prevén la transferencia de categorías especiales de datos.
Fines del Tratamiento.
PariPassu tratará datos personales según sea necesario para proporcionar los Servicios de Suscripción al exportador de datos en términos del Acuerdo.
Operaciones de tratamiento
Consulta el Anexo 1 del Acuerdo, que describe las operaciones de tratamiento.
Apéndice 2 de las Cláusulas Contractuales Estándar
Este Apéndice forma parte de las Cláusulas.
Descripción de las medidas técnicas y organizativas de seguridad implementadas por el importador de datos según las Cláusulas:
Consulta el Anexo 2 del Acuerdo, que describe las medidas técnicas y organizativas de seguridad implementadas por PariPassu.
Apéndice 3 de las Cláusulas Contractuales Estándar
Este Apéndice forma parte de las Cláusulas.
Este Apéndice define la interpretación de las partes de sus respectivas obligaciones según los términos específicos de las Cláusulas Contractuales Estándar ("Cláusulas"). Cuando una parte cumpla con las interpretaciones establecidas en este Apéndice, la otra parte la considerará como si hubiera cumplido con las obligaciones previstas en estas Cláusulas.
A los efectos de este Apéndice, "Acuerdo" es el término utilizado para referirse al Acuerdo de Tratamiento de Datos vigente entre el Cliente y PariPassu y al que se incorporan estas Cláusulas. El significado de "Acuerdo" estará estipulado en el Acuerdo.
Divulgación de estas Cláusulas
- El exportador de datos acepta que estas Cláusulas son Informaciones Confidenciales del importador de datos según el término definido en el Acuerdo y no podrán ser divulgadas por el exportador de datos a terceros sin el consentimiento previo por escrito del importador de datos, salvo que el Acuerdo lo permita.
Suspensión de transferencias de datos y rescisión
- Las partes reconocen que el importador de datos solo podrá tratar los datos personales en nombre del exportador de datos y de acuerdo con sus instrucciones y las Cláusulas.
- Las partes reconocen que si el importador de datos no puede cumplir con dicha conformidad por cualquier motivo, acuerda notificar prontamente al exportador de datos acerca de tal imposibilidad, en cuyo caso el exportador de datos tiene el derecho de suspender la transferencia de datos y/o rescindir el contrato.
- Si el exportador de datos tiene la intención de suspender la transferencia de datos personales y/o rescindir estas Cláusulas, notificará al importador de datos al respecto y le dará un plazo razonable para corregir la falta ("Plazo de Corrección").
- Si, después del Plazo de Corrección, el importador de datos no ha logrado corregir la falta, el exportador de datos podrá suspender o rescindir inmediatamente la transferencia de datos personales. El exportador de datos no estará obligado a proporcionar tal notificación si considera que existe un riesgo significativo de perjudicar a los titulares de datos o sus datos personales.
Auditoría
- El exportador de datos reconoce y acepta que ejerce su derecho de auditoría según las Cláusulas al instruir al importador de datos a cumplir con las medidas de auditoría descritas en la Sección "Demostración de conformidad" del Acuerdo.
Presentación de contratos de suboperador
- Las partes reconocen la obligación del importador de datos de enviar prontamente al exportador de datos una copia de cualquier contrato con suboperador secundario que sea firmado según las Cláusulas.
- Las partes reconocen además que, conforme a las restricciones de confidencialidad del suboperador, el importador de datos puede estar impedido de divulgar los contratos de suboperador secundario al exportador de datos. Sin embargo, el importador de datos hará esfuerzos razonables para solicitar que cualquier suboperador designado por él permita la presentación del contrato de suboperador al exportador de datos.
- Aun cuando el importador de datos no pueda presentar un contrato de suboperador al exportador de datos, las partes acuerdan que, mediante solicitud del exportador de datos, el importador de datos presentará al exportador de datos (de forma confidencial) toda la información que razonablemente considere necesaria contenida en dicho contrato de subtratamiento
Responsabilidad
- Cualquier reclamación realizada de acuerdo con las Cláusulas estará sujeta a los términos y condiciones, incluyendo, sin limitación, las exclusiones y limitaciones establecidas en el Acuerdo. En ningún caso las partes limitarán su responsabilidad con respecto a los derechos de los titulares de datos previstos en estas Cláusulas.
Obligación después de la terminación de los servicios de tratamiento de datos personales
El importador de datos acuerda que el exportador de datos cumplirá con su obligación de devolver o destruir todos los datos personales al finalizar la prestación de los servicios de tratamiento de datos de conformidad con la sección "Exclusión o Devolución de Datos Personales" del Acuerdo.
Política de Privacidad – Sistemas de PariPassu
Esta Política de Privacidad y Protección de Datos tiene como objetivo aclarar las prácticas que se adoptarán con respecto a la recolección, uso, almacenamiento, tratamiento, protección y divulgación de la información proporcionada por cualquier persona que utilice ("Usuario") cualquier programa de computadora de monitoreo y rastreo de productos en la cadena de suministro de Paripassu Aplicativos Especializados Ltda. a través del sitio web www.paripassu.com.br y/o de cualquier aplicación relacionada ("Softwares"), especialmente datos personales que puedan identificar al Usuario.
El Usuario debe leer completamente esta Política de Privacidad antes de utilizar o enviar cualquier información a través de los Softwares. Esta Política de Privacidad se aplicará al uso de los Softwares a través de cualquier dispositivo o plataforma.
Al acceder o utilizar los Softwares, el Usuario acepta no solo esta Política de Privacidad, sino también los Términos de Uso de los cuales es parte. Cada vez que el Usuario envíe información a través de los Softwares, autoriza la recolección, uso, almacenamiento, tratamiento y divulgación de dicha información de acuerdo con los términos de esta Política de Privacidad.
La información proporcionada por el Usuario se retendrá solo durante el tiempo necesario para cumplir con los propósitos previstos por los Softwares, conforme a la legislación aplicable. Se tomarán todas las precauciones razonables para proteger la información proporcionada por el Usuario, la cual se almacenará en un entorno seguro y estará protegida con los sistemas de seguridad comúnmente utilizados. El acceso a la información recopilada está restringido a personas autorizadas, quienes también están obligadas a cumplir con esta Política de Privacidad.
El Usuario garantiza que toda la información proporcionada es verdadera, precisa, estará siempre actualizada y que tiene el derecho de divulgarla legalmente, sin violar los derechos de terceros, asumiendo toda la responsabilidad derivada del incumplimiento de esta garantía.
Cuando el Usuario accede a los Softwares, pueden enviarse cookies al equipo utilizado para el acceso con el propósito de mejorar el rendimiento de los Softwares, así como personalizar la experiencia de acceso del Usuario. El Usuario tiene total libertad para bloquear dichas cookies; sin embargo, dicho bloqueo puede impedir la prestación de un acceso personalizado y, eventualmente, que el Usuario utilice ciertas funcionalidades de los Softwares.
Durante el acceso y/o la utilización de los Softwares por parte del Usuario, se almacenarán cierta información con fines de seguridad y/o estadísticas. Esta información puede incluir los nombres de los proveedores de acceso y servicios de Internet, la forma de acceso a los Softwares, la dirección IP del Usuario, así como la región geográfica, la fecha y la hora de acceso.
La información recopilada se utilizará para intereses comerciales legítimos, que incluyen los siguientes propósitos:
(i) mantener actualizado el registro del Usuario para el eventual envío de información, incluidos boletines informativos;
(ii) comunicarse con el Usuario para informar sobre la implementación de nuevas funcionalidades de los Softwares;
(iii) mejorar la usabilidad y la interactividad de los Softwares;
(iv) elaborar y comercializar análisis estadísticos, así como proporcionar servicios a terceros, manteniendo, sin embargo, el anonimato de cada Usuario y evitando que pueda ser individualizado e identificado;
(v) responder a solicitudes, comentarios o preguntas del Usuario;
(vi) cumplir con las leyes y regulaciones aplicables;
y (vii) llevar a cabo campañas de comunicación y marketing de relación, así como divulgar ofertas especiales de socios.
En este último caso, los mensajes enviados incluirán obligatoriamente una opción para cancelar el envío de ese tipo de mensaje.
El Usuario reconoce y acepta que la información proporcionada por él puede ser divulgada, total o parcialmente, para responder a órdenes o procesos judiciales, así como para investigar y/o tomar medidas contra cualquier sospecha de actividad ilícita o violación de esta Política de Privacidad, los Términos de Uso o la legislación aplicable. En cualquier otro caso, el Usuario será consultado previamente antes de la divulgación de cualquiera de la información proporcionada.
Esta Política de Privacidad se aplica exclusivamente a los Softwares y no se aplica al acceso a sitios web de terceros, aunque el Usuario haya sido dirigido a dichos sitios web de terceros a través de enlaces disponibles en los Softwares. Por lo tanto, se recomienda que el Usuario, al ser redirigido a sitios externos, consulte la política de privacidad y los términos de uso respectivos antes de proporcionar cualquier información.
Esta Política de Privacidad puede sufrir mejoras esporádicas, y la versión actual siempre estará disponible en los Softwares para la consulta periódica del Usuario. El acceso y la utilización de los Softwares después de cualquier cambio en esta Política de Privacidad constituyen la aceptación de dichos cambios por parte del Usuario. Cualquier cambio que reduzca los derechos del Usuario requerirá un nuevo consentimiento expreso del mismo.
Esta Política de Privacidad y Protección de Datos hace referencia al documento registrado en notaría en la fecha 08/09/2015.