Acuerdo de Procesamiento de Datos de CiviCRM Spark

CONSIDERANDO QUE

• (A) La Compañía actúa como Procesador de Datos.
• (B) El Cliente actúa como Responsable del Tratamiento.
• (C) Las Partes desean subcontratar determinados Servicios que implican el tratamiento de datos personales.
• (D) Las Partes buscan implementar un acuerdo de procesamiento de datos que cumpla con los requisitos del marco legal vigente en relación con el procesamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
• (E) Las Partes desean establecer sus derechos y obligaciones.

SE ACUERDA LO SIGUIENTE:

• 1. Definiciones e interpretación
• 1.1 Salvo que se defina lo contrario, los términos y expresiones en mayúsculas utilizados en el presente Acuerdo tendrán el siguiente significado:
• 1.1.1 “Acuerdo” significa este Acuerdo de Procesamiento de Datos y todos los Anexos;
• 1.1.2 “Datos Personales de la Empresa” se refiere a los Datos Personales tratados por un Encargado del Tratamiento contratado en nombre de la Empresa de conformidad con el Acuerdo Principal o en relación con el mismo;
• 1.1.3 “Procesador contratado” significa un Subprocesador;
• 1.1.4 “Leyes de protección de datos” significa las leyes de protección de datos de la UE y, en la medida en que sean aplicables, las leyes de protección de datos o privacidad de cualquier otro país;
• 1.1.5 “EEE” significa el Espacio Económico Europeo;
• 1.1.6 “Leyes de protección de datos de la UE” significa la Directiva 95/46/CE de la UE, tal y como ha sido transpuesta a la legislación nacional de cada Estado miembro y tal y como ha sido modificada, sustituida o reemplazada de vez en cuando, incluyendo el GDPR y las leyes que implementan o complementan el GDPR;
• 1.1.7 “GDPR” significa el Reglamento General de Protección de Datos de la UE 2016/679;
• 1.1.8 “Transferencia de datos” significa:
• 1.1.8.1 una transferencia de Datos Personales de la Empresa a un Procesador Contratado; o
• 1.1.8.2 una transferencia posterior de Datos Personales de la Empresa de un Procesador Contratado a un Procesador Subcontratado, o entre dos establecimientos de un Procesador Contratado, en cada caso, cuando dicha transferencia estaría prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);
• 1.1.9 “Servicios” o “Servicio de Suscripción” significa los servicios de CiviCRM Spark que la Compañía proporciona.
• 1.1.10 “Subprocesador” significa cualquier persona designada por o en nombre del Procesador para procesar Datos Personales en nombre de la Empresa en relación con el Acuerdo.
• 1.2 Los términos, “Comisión”, “Controlador”, “Sujeto de Datos”, “Estado Miembro”, “Datos Personales”, “Violación de Datos Personales”, “Procesamiento” y “Autoridad de Supervisión” tendrán el mismo significado que en el GDPR, y sus términos afines se interpretarán en consecuencia.

• 2. Responsabilidades del tratamiento de los datos personales de la empresa
• 2.1 Las partes deberán:
• 2.1.1 Cumplir con todas las Leyes de Protección de Datos aplicables en el Procesamiento de Datos Personales.
• 2.1.2 La Compañía instruye al Procesador para que procese los Datos Personales dentro del ámbito de la finalidad del software.
• 2.2. Considerando que todos los Datos Personales almacenados por el Procesador son proporcionados por el Cliente:
• 2.2.1 Dentro del ámbito del Acuerdo y en su uso de los servicios, el Cliente será responsable de cumplir con todos los requisitos que se le aplican en virtud de las Leyes de Protección de Datos aplicables con respecto a su Tratamiento de Datos Personales y las Instrucciones que emite a la Empresa.
• 2.2.2 En particular, pero sin perjuicio de la generalidad de lo anterior, el Cliente reconoce y acepta ser el único responsable de (i) la exactitud, la calidad y la legalidad de los Datos del Cliente y los medios por los que se adquieren los Datos Personales; (ii) cumplir con todos los requisitos de transparencia y legalidad necesarios en virtud de las Leyes de Protección de Datos aplicables para la recopilación y el uso de los Datos Personales, incluida la obtención de los consentimientos y las autorizaciones necesarios (en particular para el uso por parte del Cliente con fines de marketing); (iii) garantizar tener el derecho de transferir, o proporcionar acceso, a los Datos Personales a la Empresa para su Procesamiento de conformidad con los términos del Acuerdo (incluido este DPA); (iv) garantizar que las instrucciones proporcionadas a la Empresa en relación con el Tratamiento de los Datos Personales cumplen con las leyes aplicables, incluidas las Leyes de Protección de Datos; y (v) cumplir con todas las leyes (incluidas las Leyes de Protección de Datos) aplicables a cualquier correo electrónico u otro contenido creado, enviado o gestionado a través de los Servicios de Suscripción, incluidas las relativas a la obtención de consentimientos (cuando sea necesario) para enviar correos electrónicos, el contenido de los mismos y sus prácticas de despliegue de correo electrónico. El Cliente informará a la Empresa sin demora indebida si no puede cumplir con sus responsabilidades.

• 3. Personal del procesador
• 3.1 El procesador tomará medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier procesador contratado que pueda tener acceso a los datos personales de la empresa, asegurando en cada caso que el acceso se limita estrictamente a aquellas personas que necesitan conocer / acceder a los datos personales de la empresa pertinentes, según sea estrictamente necesario para los fines del acuerdo principal, y para cumplir con las leyes aplicables en el contexto de las funciones de esa persona para el procesador contratado, asegurando que todas esas personas están sujetas a compromisos de confidencialidad o a obligaciones profesionales o estatutarias de confidencialidad.

• 4. Seguridad
• 4.1 Teniendo en cuenta las mejores prácticas, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Procesador deberá, en relación con los Datos Personales de la Compañía, implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluidas, según corresponda, las medidas mencionadas en el artículo 32 (1) del GDPR.
• 4.2 Al evaluar el nivel de seguridad adecuado, el Procesador tendrá en cuenta, en particular, los riesgos que presenta el Procesamiento, en particular de una Violación de Datos Personales.

• 5. Subprocesamiento
• 5.1 Consentimiento para la contratación de subprocesadores. Si bien la Empresa limita al máximo el uso de Subprocesadores, el Cliente autoriza específicamente la contratación de Subprocesadores para el Tratamiento de Datos Personales en su nombre. Los subprocesadores suelen limitarse al procesamiento de pagos, al envío de correos electrónicos o a otras funciones directamente relacionadas con el propio CiviCRM. Actualmente, la Empresa ha designado, como Subprocesadores, a los terceros que figuran en el Anexo 1 de esta DPA. La Empresa notificará al Cliente si se añade o sustituye un Subprocesador, al menos 30 días antes de dichos cambios, si el Cliente opta por recibir dichos correos electrónicos antes de dichos cambios. Haga clic aquí para optar por ello.
• 5.2 Cuando la Empresa contrate a Subprocesadores, los términos de protección de datos de los Subprocesadores proporcionarán al menos el mismo nivel de protección de los Datos Personales que los de esta DPA (incluyendo, en su caso, las Cláusulas Contractuales Estándar), en la medida aplicable a la naturaleza de los servicios prestados por dichos Subprocesadores. La Empresa sigue siendo responsable del cumplimiento de los Subprocesadores.
• 5.3 El Cliente es responsable de cualquier otro Subprocesador que contrate.

• 6. Solicitudes de los interesados
• 6.1 El Servicio de Suscripción le proporciona una serie de controles que puede utilizar para recuperar, corregir, eliminar o restringir los Datos Personales, que el Cliente puede utilizar para ayudarle en relación con sus obligaciones en virtud de las Leyes de Protección de Datos, incluidas las obligaciones relacionadas con la respuesta a las solicitudes de los Sujetos de Datos para ejercer sus derechos en virtud de las Leyes de Protección de Datos aplicables (“Solicitudes del Sujeto de Datos”).
• 6.2 En la medida en que el Cliente no pueda atender de forma independiente una Solicitud del Sujeto de Datos a través del Servicio de Suscripción, entonces, previa solicitud por escrito, la Empresa proporcionará asistencia razonable para ayudar al Cliente a responder a cualquier Solicitud del Sujeto de Datos o a las solicitudes de las autoridades de protección de datos relacionadas con el Tratamiento de Datos Personales en virtud del Acuerdo. El Cliente reembolsará a la Empresa los costes comercialmente razonables derivados de esta asistencia.
• 6.3 Si una Solicitud del Sujeto de Datos u otra comunicación relativa al Tratamiento de Datos Personales en virtud del Acuerdo se realiza directamente a la Empresa, ésta informará inmediatamente al Cliente y le aconsejará al Sujeto de Datos que presente su solicitud al Cliente. El Cliente será el único responsable de responder sustancialmente a cualquier solicitud o comunicación del Sujeto de Datos que implique Datos Personales.

• 7. Violación de datos personales
• 7.1 Todas las partes notificarán a la otra parte sin demora indebida cuando el procesador tenga conocimiento de una violación de datos personales que afecte a los datos personales, proporcionando a la otra parte la información suficiente para permitir a todas las partes cumplir con cualquier obligación de informar o informar a los sujetos de datos de la violación de datos personales en virtud de las leyes de protección de datos.
• 7.2 Todas las partes cooperarán y tomarán medidas comerciales razonables para ayudar en la investigación, mitigación y reparación de cada una de dichas violaciones de datos personales.

• 8. Evaluación del impacto de la protección de datos y consulta previa a las autoridades de control.
• 8.1. La Compañía proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto de protección de datos, y consultas previas con las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos, que el Cliente considere razonablemente que se requiere por el artículo 35 o 36 del GDPR o las disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Tratamiento de Datos Personales por, y teniendo en cuenta la naturaleza del Tratamiento y la información disponible para, los Procesadores Contratados.

• 9. Supresión o devolución de los Datos Personales

• 9.1 La Empresa borrará o devolverá todos los Datos del Cliente, incluidos los Datos Personales (incluidas las copias de los mismos) Tratados en virtud de este APD, al finalizar o expirar su Servicio de Suscripción de acuerdo con nuestras Condiciones Específicas de Producto. Este término se aplicará excepto cuando estemos obligados por la ley aplicable a retener algunos o todos los Datos del Cliente, o cuando hayamos archivado los Datos del Cliente en sistemas de copia de seguridad, cuyos datos aislaremos y protegeremos de forma segura de cualquier tratamiento posterior y los eliminaremos de acuerdo con nuestras prácticas de eliminación. Usted puede solicitar la eliminación de su alojamiento de CiviCRM Spark después de la expiración o terminación de su suscripción enviando una solicitud a spark@civicrm.org. Puede recuperar sus Datos de Cliente de su servicio CiviCRM Spark descargando una copia de seguridad desde la interfaz administrativa de CiviCRM.

• 10. Demostración del cumplimiento, derechos de auditoría

• 10.1 La Empresa pondrá a disposición del Cliente, previa solicitud, toda la información necesaria para demostrar el cumplimiento del presente Acuerdo, y permitirá y contribuirá a las auditorías realizadas por un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales por los Encargados del Tratamiento contratados.
• 10.2 A petición por escrito del Cliente, la Empresa proporcionará respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información realizadas por usted que sean necesarias para confirmar el cumplimiento de este APD, siempre que el Cliente no ejerza este derecho más de una vez por año natural, a menos que tenga motivos razonables para sospechar el incumplimiento del APD.

• 11. Transferencia de datos
• 11.1 La Empresa no podrá transferir ni autorizar la transferencia de Datos a países fuera de la UE y/o del Espacio Económico Europeo (EEE) sin el previo consentimiento por escrito del Cliente. Si los datos personales tratados en virtud del presente Acuerdo se transfieren de un país del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes se asegurarán de que los datos personales estén adecuadamente protegidos. Para ello, las Partes, salvo acuerdo en contrario, se basarán en las cláusulas contractuales estándar aprobadas por la UE para la transferencia de datos personales.

• 12. Condiciones generales
• 12.1 Confidencialidad. Cada una de las Partes deberá mantener la confidencialidad de este Acuerdo y de la información que reciba sobre la otra Parte y su negocio en relación con este Acuerdo (“Información Confidencial”) y no deberá utilizar o revelar dicha Información Confidencial sin el previo consentimiento por escrito de la otra Parte, excepto en la medida en que (a) la divulgación sea requerida por la ley; (b) la información relevante sea ya de dominio público.
• 12.2 Notificaciones. Todas las notificaciones y comunicaciones que se realicen en virtud del presente Acuerdo deberán hacerse por escrito y se entregarán personalmente, se enviarán por correo electrónico a la dirección de correo electrónico indicada en el encabezamiento del presente Acuerdo a cualquier otra dirección que las Partes notifiquen ocasionalmente cambiando de dirección.

• 13. Ley aplicable y jurisdicción
• 13.1 Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que estas Cláusulas se regirán de acuerdo con la sección “Entidad contratante; ley aplicable; notificación” de las Condiciones específicas de jurisdicción o, si dicha sección no especifica un Estado miembro de la UE, por la ley de la República de Irlanda (sin referencia a los principios de conflicto de leyes).
• 13.2 Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de un Estado miembro de la UE.

Anexo 1 – Lista de subprocesadores