Anexo de procesamiento de datos

CÓMO EJECUTAR ESTE DPA:

Para completar este DPA, envíe un correo electrónico legal@digital.ai. Al recibir un DPA válidamente completado por Digital.ai, dicho DPA será legalmente vinculante.

Se puede descargar una versión en documento pdf del DPA aquí para revisión del cliente.

 

Anexo de procesamiento de datos

Este Anexo de Protección de Datos (“DPA”) forma parte del Acuerdo (definido a continuación) entre Digital.ai y Cliente para Digital.ai para proporcionar Servicios al Cliente. A menos que se defina lo contrario en el presente, todos los términos en mayúscula tienen el significado que se les da en el Acuerdo correspondiente.

Digital.ai puede, en el curso de la prestación de Servicios al Cliente de conformidad con el Acuerdo, Procesar Datos Personales del Cliente que están sujetos al Reglamento General de Protección de Datos de la Unión Europea, Reglamento (UE) 2016/679 ("RGPD UE”) y el RGPD de la UE, ya que forma parte de la ley del Reino Unido en virtud de la sección 3 de la Ley de (Retirada) de la Unión Europea de 2018 (“Reino Unido GDPR”) (colectivamente, el “RGPD”) u otras Leyes de Protección de Datos. Este DPA establece las obligaciones de las partes con respecto al Procesamiento de Datos Personales de conformidad con el Acuerdo.

En consideración de las obligaciones mutuas establecidas en este documento, las partes acuerdan cumplir con las siguientes disposiciones, actuando cada una razonablemente y de buena fe.

 

1. DEFINICIONES

 

"Afiliados” significa cualquier persona o entidad que directa o indirectamente posee, controla o es controlada por, o está bajo el control común de una parte, donde el control se define como poseer o dirigir más del 50% de los valores de capital con derecho a voto o participación similar en la entidad controlada.

 

"Acuerdo” significa todos los acuerdos actuales y futuros entre Digital.ai y el Cliente en relación con el cual Digital.ai proporciona Servicios que involucran el Procesamiento de Datos Personales en nombre del Cliente, como un Acuerdo de Suscripción Maestro ("Contratos regionales”) y todas las Órdenes aplicables a los Servicios. Este DPA se incorpora a dicho(s) Acuerdo(s) mediante esta referencia.

 

"Control” significa la entidad que, sola o en conjunto con otras, determina los fines y medios del Tratamiento de Datos Personales.

 

"Leyes de protección de datos” se refiere a todas las leyes de protección de datos aplicables a la protección de los derechos y libertades fundamentales de las personas y su derecho a la privacidad con respecto al procesamiento de datos personales en virtud del Acuerdo, incluidas las leyes y reglamentos locales, estatales, nacionales y/o extranjeros, el RGPD y implementaciones del RGPD en la legislación nacional, en su forma modificada, reemplazada o sustituida de vez en cuando.

 

"Datos personales” se refiere a cualquier Dato del Cliente (como se define en el Acuerdo) que se relaciona con una persona física identificada o identificable (“Sujeto de datos”), que se encuentra protegido por la Ley de Protección de Datos.

 

"Violación de datos personales” se refiere a una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos personales transmitidos, almacenados o procesados ​​de otro modo, de manera accidental o ilegal, y por la cual un Controlador está obligado en virtud de la Ley de protección de datos a notificar a autoridades de protección de datos competentes o Interesados.

 

"Tratamiento de agua” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción.

 

"Procesador" significa la entidad que Procesa Datos Personales en nombre del Controlador.

 

"Servicios” significa la provisión de servicios de mantenimiento y soporte y/o la provisión de software como servicio (“SaaS”) y/o cualquier otro servicio, alojado, administrado o de otro modo, que se proporciona bajo el Acuerdo y para los fines de los cuales Digital.ai Procesa datos personales en nombre del cliente.

 

"Cláusulas contractuales estándar” significa (i) cuando se aplica el RGPD de la UE, las cláusulas anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea del 4 de junio de 2021 para la transferencia de Datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, publicado oficialmente en https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  ("2021 SCC”); y (ii) cuando se aplique el RGPD del Reino Unido, las cláusulas estándar de protección de datos adoptadas de conformidad con el artículo 46 del RGPD del Reino Unido o permitidas por este, según lo publicado oficialmente en https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 ("2010 SCC").

 

"Subprocesador"Significa un Digital.ai Afiliado o tercero contratado por Digital.ai en relación con los Servicios y que Procesa Datos Personales de acuerdo con este DPA.

 

"Autoridad supervisora” se refiere a una autoridad pública independiente establecida en virtud de las leyes de protección de datos aplicables.

 

2 TRATAMIENTO DE DATOS PERSONALES

 

2.1. Rol de las Partes. Este DPA se aplica al procesamiento de datos personales por Digital.ai y sus Subprocesadores en relación con la prestación de los Servicios. A los efectos de este DPA, Digital.ai es el Procesador y el Cliente es el Controlador.

 

2.2. Alcance del procesamiento. El tema y la duración del Procesamiento de Datos Personales se establecen en el Acuerdo, que describe la prestación de los Servicios al Cliente. La naturaleza y los propósitos del Procesamiento para el cual se procesan los Datos personales en nombre del Cliente, los tipos de Datos personales y las categorías de Sujetos de datos se establecen en Anexo 1 a este DPA.

 

2.3. Instrucciones. Digital.ai solo Procesará Datos Personales en nombre y de acuerdo con las instrucciones documentadas del Cliente. El Acuerdo (incluido este DPA) constituye dichas instrucciones iniciales documentadas para Procesar los Datos personales del Cliente y cada uso de los Servicios constituye instrucciones adicionales. Digital.ai hará todos los esfuerzos razonables para cumplir con otras instrucciones razonables del Cliente, siempre que sean consistentes con los términos de los Acuerdos, requeridos por la Ley de Protección de Datos y técnicamente factibles. Digital.ai informará al Cliente si no puede cumplir con una instrucción o en Digital.aiEn opinión de, cualquier instrucción del Cliente infringe las leyes de protección de datos aplicables.

 

2.4. De acuerdo con las leyes. Las partes acuerdan cumplir con todas las leyes de protección de datos aplicables, como se detalla a continuación:

 

2.4.1. Digital.ai cumplirá con todas las leyes de protección de datos aplicables a Digital.ai en su función de Procesador con respecto a los Datos Personales. Al prestar los Servicios, Digital.ai Procesará los Datos personales de conformidad con las instrucciones documentadas del Cliente, incluso con respecto a las transferencias de Datos personales a un tercer país u organización internacional (como se describe en la Sección 7). Digital.ai también puede Procesar Datos Personales cuando así lo exijan las Leyes de Protección de Datos aplicables, en cuyo caso Digital.ai informará al Cliente de ese requisito legal antes del Procesamiento, a menos que la ley prohíba dicho aviso por motivos importantes de interés público.

 

2.4.2. El Cliente deberá cumplir con todas las Leyes de protección de datos aplicables al Cliente en su función de Controlador y deberá obtener todos los consentimientos necesarios y proporcionar todas las notificaciones necesarias a los Sujetos de datos para permitir Digital.ai para llevar a cabo de forma lícita el Tratamiento contemplado en el presente DPA. El Cliente es responsable de la exactitud y calidad de los Datos personales, y de los medios por los cuales el Cliente adquirió los Datos personales.

 

3. DERECHOS DEL TITULAR DE LOS DATOS

 

3.1. Solicitudes de interesados. Digital.ai lo hará, de manera consistente con la funcionalidad de los Servicios y Digital.aicomo Procesador, brindar apoyo razonable al Cliente para permitir que el Cliente responda a las solicitudes de los Interesados ​​para ejercer sus derechos en virtud de las Leyes de Protección de Datos aplicables ("Solicitudes de sujetos de datos").

 

3.2. Responder a las solicitudes de los interesados. El Cliente es responsable de responder a las Solicitudes de Interesados. Si Digital.ai recibe una Solicitud de Interesado u otra queja de un Interesado con respecto al Procesamiento de Datos Personales, Digital.ai notificará de inmediato al Cliente, en la medida legalmente permitida, siempre que el Sujeto de datos haya brindado información suficiente para identificar al Cliente. A menos que lo exija la ley aplicable, Digital.ai no responderá a ninguna solicitud de sujeto de datos sin la autorización o instrucción previa por escrito del Cliente, excepto para confirmar que dicha solicitud se relaciona con el Cliente.

 

4. CONSERVACIÓN Y ELIMINACIÓN DE DATOS PERSONALES

 

4.1. Retención de datos personales. Tras la terminación del Acuerdo de las partes y/o después del final de la prestación de los Servicios a los que se aplica este DPA, Digital.ai eliminará o devolverá los Datos personales del cliente de acuerdo con las Leyes de protección de datos y/o de conformidad con los términos del Acuerdo tan pronto como sea razonablemente posible, a menos que la ley aplicable requiera un almacenamiento adicional.

 

5. SEGURIDAD DEL TRATAMIENTO

 

5.1. Medidas de seguridad. Digital.ai implementará y mantendrá las medidas técnicas y organizativas apropiadas, como se especifica en Anexo II a este DPA, para proteger los Datos personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales de acuerdo con las Leyes de protección de datos aplicables. El Cliente es responsable de tomar una determinación independiente sobre si las medidas técnicas y organizativas para los Servicios cumplen con los requisitos del Cliente, incluidas cualquiera de sus obligaciones de seguridad en virtud de las Leyes de protección de datos aplicables.

 

5.2. Personal. Para procesar datos personales, Digital.ai y sus Subprocesadores solo otorgarán acceso a personal autorizado que se haya comprometido con requisitos de confidencialidad al menos tan protectores como los de este DPA o el Acuerdo. Dicho personal deberá procesar los Datos personales de acuerdo con las instrucciones del Cliente según lo establecido en el Acuerdo y solo en la medida necesaria para la prestación de los Servicios.

 

6. SUBPROCESADORES

 

6.1. Uso de Subprocesadores. El cliente autoriza Digital.ai contratar Subprocesadores de acuerdo con este DPA, siempre que Digital.ai deberá celebrar un acuerdo por escrito con dichos Subprocesadores que sea consistente con los términos del presente. Digital.ai será responsable de los actos y omisiones de cualquier Subprocesador en la misma medida que si fueran realizados por Digital.ai.

 

6.2. Lista de subprocesadores. La lista de subprocesadores utilizados por Digital.ai para proporcionar los Servicios, a partir de la fecha de vigencia de este DPA se adjunta al presente como Anexo III y se publica en: https://info.digital.ai/rs/981-LQX-968/images/Digital.ai-Data-Protection-FAQ-2021.pdf  ("Lista de subprocesadores"). Digital.ai notificará al Cliente sobre cualquier adición o reemplazo previsto a la Lista de subprocesadores mediante la actualización de la Lista de subprocesadores publicada al menos treinta (30) días antes de autorizar a cualquier nuevo Subprocesador a Procesar datos personales.

 

6.3. Derechos de oposición. Esta Sección 6.3 se aplicará en la medida en que el Cliente esté establecido dentro del Espacio Económico Europeo ("EEA"), el Reino Unido ("UK”) y/o Suiza o donde lo requieran las Leyes de Protección de Datos aplicables al Cliente. En tal caso, si el Cliente se opone por motivos razonables relacionados con la protección de datos a Digital.aiel uso por parte de un nuevo Subprocesador, el Cliente deberá hacerlo de inmediato, y dentro de los quince (15) días siguientes Digital.ainotificación de conformidad con la Sección 6.2 anterior, proporcionar Digital.ai con notificación por escrito de tal objeción. En caso de tal objeción, Digital.ai tomará medidas comercialmente razonables para abordar las objeciones planteadas por el Cliente y brindará al Cliente una explicación razonable por escrito de las medidas tomadas para abordar dicha objeción.

 

7. TRANSFERENCIAS DE DATOS

 

7.1. Transferencias. El cliente autoriza Digital.ai y sus Subprocesadores para Procesar Datos Personales con el fin de proporcionar los Servicios, cuyo Procesamiento puede incluir la realización de las transferencias necesarias de Datos Personales, de conformidad con los términos de este DPA.

 

7.2. Transferencias restringidas. Todas las transferencias de Datos Personales en virtud de este DPA fuera del EEE, el Reino Unido y/o Suiza a países que no garantizan un nivel adecuado de protección de datos en el sentido de las Leyes de Protección de Datos de los territorios mencionados ("Países restringidos”) se regirá por las Cláusulas contractuales estándar pertinentes, que se incorporan a este DPA. La transferencia safeLas protecciones, tal como se establece en esta Sección 7, se aplicarán a: (i) cuando se aplique el RGPD de la UE, una transferencia de Datos personales desde el EEE o Suiza a un País restringido; y (ii) cuando se aplique el RGPD del Reino Unido, una transferencia de Datos personales desde el Reino Unido a un País restringido; (“Transferencias restringidas").

 

7.3. SCC del controlador al procesador: las cláusulas contractuales estándar se aplicarán a cualquier transferencia restringida de datos personales del cliente (como "exportador de datos") a Digital.ai (como "importador de datos"), de la siguiente manera:

 

7.3.1. Datos personales de la UE. Con respecto a los Datos personales que están protegidos por el RGPD de la UE, se aplicarán las SCC de 2021 completadas de la siguiente manera: (i) se aplicará el Módulo dos (Controlador a Procesador) y los Módulos uno, tres y cuatro se eliminarán en su totalidad; (ii) La Cláusula 7 se eliminará en su totalidad y las partes pueden agregar entidades adicionales a este DPA mediante la celebración de un DPA adicional (según esté disponible aquí; (iii) en la Cláusula 9, se aplicará la Opción 2, según se detalla en la Sección 6 de este DPA; (v) en la Cláusula 17, se aplicará la Opción 1 y los SCC de 2021 se regirán por la ley holandesa; (vi) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de los Países Bajos; y (vii) el Anexo I y el Anexo II de los SCC de 2021 se completarán con la información establecida en los Anexos I y II adjuntos a este DPA.

 

7.3.2. Datos personales suizos. A los efectos de las CEC de 2021, el término "estado miembro" no se interpretará de manera que excluya a los interesados ​​en Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la Cláusula 18(c). Hasta el 31 de diciembre de 2022, y por cualquier período más largo requerido por la ley suiza aplicable, los SCC de 2021 también protegerán los datos de las personas jurídicas en el ámbito de la Ley federal suiza sobre protección de datos del 19 de junio de 1992 (SR 235.1; "FADP" ).

 

7.3.3. Datos personales del Reino Unido. Con respecto a los Datos personales que están protegidos por el RGPD del Reino Unido, se aplicarán las SCC de 2010 en lo que respecta a las transferencias de Datos personales desde el Reino Unido. Todos los cambios, actualizaciones o versiones modificadas futuras de las SCC de 2010 introducidas por la Autoridad de Protección de Datos del Reino Unido con el fin de cumplir con las disposiciones de transferencia internacional de datos de la Ley de Protección de Datos del Reino Unido de 2018 se incorporarán y formarán parte del acuerdo. entre el Cliente y Digital.ai. El Apéndice 1 y el Apéndice 2 de las SCC de 2010 se completarán con la información establecida en los Anexos I y II adjuntos a este DPA.

 

7.4. aclaraciones. No es la intención de ninguna de las partes, ni el efecto de este DPA, contradecir o restringir cualquiera de las disposiciones establecidas en las Cláusulas contractuales tipo. En ningún caso, este DPA restringe o limita los derechos de cualquier sujeto de datos o Autoridad de Supervisión competente. Nada en este DPA se interpretará para prevalecer sobre cualquier cláusula en conflicto de las CEC de 2010 o las CEC de 2021. Cuando este DPA especifique más las reglas de auditoría y subprocesador, dichas especificaciones también se aplican en relación con las SCC de 2010 y las SCC de 2021.

 

7.5. Mecanismo alternativo de transferencia de datos. Para evitar dudas, si el mecanismo de transferencia identificado en esta Sección 7 fuera considerado inválido por una Autoridad de Supervisión o un tribunal con la autoridad aplicable, las Partes se esforzarán de buena fe para negociar un mecanismo alternativo (si está disponible y es necesario) para permitir la continuación de la transferencia. transferencia de Datos Personales.

 

8. NOTIFICACIÓN DE VIOLACIÓN DE DATOS PERSONALES

 

8.1. Notificación de Violación de Datos Personales. Digital.ai notificará al Cliente de inmediato y sin demoras indebidas después de tomar conocimiento de cualquier Violación de datos personales que involucre Datos personales del Cliente procesados ​​por Digital.ai y proporcionar información razonable en su poder para ayudar al Cliente a cumplir con sus obligaciones de informar una Violación de datos personales según lo exigen las Leyes de protección de datos. Digital.ai hará todos los esfuerzos razonables para identificar la causa de dicha Violación de datos personales y tomará las medidas apropiadas para mitigar los efectos y minimizar cualquier daño resultante de la Violación de datos personales en la medida en que dicha remediación esté dentro de Digital.ai's control razonable. La notificación se entregará al Cliente de acuerdo con la Sección 8.2. Dicha notificación no se interpretará ni interpretará como una admisión de culpa o responsabilidad por parte de Digital.ai.

 

8.2. Entrega de avisos. Las notificaciones de violaciones de datos personales, si las hubiera, se entregarán a uno o más de los contactos comerciales, técnicos o administrativos del Cliente por medio de Digital.ai selecciona, incluso por correo electrónico. El cliente es responsable de garantizar que proporcione y mantenga información de contacto precisa en todo momento.

 

9. AUDITORÍA

 

9.1. Solicitudes de información. Digital.ai pondrá a disposición del Cliente, previa solicitud razonable por escrito, información relacionada con el Procesamiento de Datos Personales del Cliente según sea necesario para demostrar Digital.aiel cumplimiento de las obligaciones bajo este DPA.

 

9.2. Auditoría de clientes. Digital.ai permitirá las solicitudes de inspección por parte del Cliente (o su auditor independiente) en relación con los Datos personales procesados ​​por Digital.ai para verificar Digital.aiel cumplimiento de este DPA, si: (a) Digital.ai no ha proporcionado suficientes pruebas por escrito de su cumplimiento de las medidas técnicas y organizativas, por ejemplo, una certificación de cumplimiento de la norma ISO 27001 u otras normas; (b) ha ocurrido una Violación de Datos Personales; (c) la Autoridad de Supervisión del Cliente solicita formalmente una auditoría; o (d) la Ley de Protección de Datos proporciona al Cliente un derecho obligatorio de inspección in situ; y siempre que el Cliente no ejerza este derecho más de una vez al año a menos que la Ley de Protección de Datos obligatoria requiera inspecciones más frecuentes. Cualquier información proporcionada por Digital.ai de conformidad con esta Sección 9 está sujeta a las obligaciones de confidencialidad del Acuerdo. Dichas inspecciones se llevarán a cabo de manera que no afecten la seguridad, confidencialidad, integridad, disponibilidad y continuidad de las instalaciones, redes y sistemas inspeccionados, ni comprometan ningún dato confidencial procesado en ellos.

 

9.3. Costo de Auditoría. El cliente es responsable de los costos de cualquier auditoría, a menos que dicha auditoría revele un incumplimiento sustancial por parte de Digital.ai de este DPA, entonces Digital.ai correrá con sus propios gastos de auditoría. Si una auditoría determina que Digital.ai ha incumplido sus obligaciones en virtud de este DPA, Digital.ai reparará rápidamente el incumplimiento a su propio costo.

 

 

10. EVALUACIONES DEL IMPACTO DE LA PROTECCIÓN DE DATOS

 

10.1. Si la Ley de Protección de Datos aplicable requiere que el Cliente realice una evaluación de impacto de la protección de datos o una consulta previa con una Autoridad de Supervisión relacionada con el uso de los Servicios por parte del Cliente, Digital.ai proporcionará, previa solicitud razonable del Cliente, los documentos que estén generalmente disponibles para los Servicios; por ejemplo, cualquier informe SOC 2 de Control Organizativo de Servicios (SOC) vigente en ese momento, certificaciones ISO/IEC 27001:2013 y/o informes sucesores de estándares de la industria comparables, según corresponda a los Servicios.

 

10.2. Cualquier asistencia adicional en la cooperación o consulta previa con una Autoridad de Supervisión en el desempeño de sus tareas relacionadas con esta Sección 10, en la medida requerida por la Ley de Protección de Datos, se acordará mutuamente entre las Partes teniendo en cuenta la naturaleza del Procesamiento y información disponible para Digital.ai. En la medida legalmente permitida, el Cliente será responsable de cualquier costo que surja de Digital.aila prestación de tal asistencia

 

11. GENERAL

 

11.1. Clientes afiliados. El cliente es responsable de coordinar todas las comunicaciones con Digital.ai en nombre de sus Afiliados con respecto a este DPA. El Cliente declara que está autorizado a celebrar este DPA y cualquier Cláusula contractual estándar incorporada en el presente o celebrada en virtud de este DPA, emitir instrucciones y realizar y recibir cualquier comunicación o notificación en relación con este DPA en nombre de sus Afiliados.

 

11.2. Conflicto. La ley aplicable y los tribunales competentes para este DPA son los del Acuerdo principal al que se adjunta este DPA. Si hay algún conflicto o inconsistencia entre este DPA y el Acuerdo, este DPA prevalecerá en la medida en que el conflicto o la inconsistencia se relacionen con los Datos personales.

 

11.3. Terminación. El Plazo de este DPA terminará de acuerdo con los términos del Acuerdo.

 

11.4. Misceláneas. Cada referencia al DPA en este documento significa este DPA, incluidos sus Anexos y/o Apéndices. Los títulos de sección contenidos en este DPA son solo para fines de referencia y no afectarán de ninguna manera el significado o la interpretación de este DPA.

 

EN FE DE LO CUAL, este DPA se celebra y se convierte en una parte vinculante de los Acuerdos entre el Cliente y Digital.ai, a partir de la fecha de la firma del cliente a continuación. Si este documento ha sido firmado electrónicamente por cualquiera de las partes, dicha firma tendrá el mismo efecto legal que una firma manuscrita.

 

 

ANEXO I

Descripción del procesamiento

Este Anexo 1 se aplica para describir el Procesamiento de los Datos personales del Cliente a los efectos de las Cláusulas contractuales estándar de 2010, las Cláusulas contractuales estándar de 2021 y la Ley de protección de datos aplicable.

A. LISTA DE PARTES

Exportador(es) de datos:

 

1. Nombre: Nombre del cliente como se indica en el Acuerdo vigente

 

Dirección: Dirección del cliente como se indica en el Acuerdo vigente

 

Nombre de la persona de contacto, cargo y datos de contacto: signatario autorizado para regir el Acuerdo

 

Actividades relevantes: El uso del sitio web de Digital.aiproductos y servicios de de conformidad con el Acuerdo.

 

Firma y fecha: Al celebrar el DPA, se considera que el exportador de datos ha firmado las Cláusulas contractuales estándar incorporadas en el presente a partir de la fecha de vigencia del DPA.

 

Rol (controlador/procesador):   Control

 

Importador(es) de datos:

 

Nombre: Digital.ai software, inc.

 

Dirección: 555 Fayetteville Street, Suite #210, Raleigh, Carolina del Norte 27601

 

Nombre de la persona de contacto, cargo y datos de contacto: legal@digital.ai

 

Actividades relevantes: Provisión de Digital.aiproductos y servicios de de conformidad con el Acuerdo.

 

Firma y fecha: Al celebrar el DPA, se considera que el importador de datos ha firmado las Cláusulas contractuales estándar incorporadas en el presente a partir de la fecha de vigencia del DPA.

 

Rol (controlador/procesador): Procesador

 

B. DESCRIPCIÓN DE LA TRANSFERENCIA

 

Categorías de interesados ​​cuyos datos personales se transfieren:

 

Las categorías de sujetos de datos incluyen Usuarios del Cliente (como se define en el Acuerdo) de Digital.ai productos y servicios.

 

Categorías de datos personales transferidos:

 

Información de identificación (nombre, cargo, dirección de correo electrónico); información de inicio de sesión (nombre de usuario y contraseña); datos de inicio de sesión (hora y fecha de los registros); datos relacionados con las solicitudes de soporte de los usuarios.

 

Datos confidenciales transferidos (si corresponde) y restricciones aplicadas o safeprotecciones que toman plenamente en consideración la naturaleza de los datos y los riesgos involucrados, tales como, por ejemplo, la limitación estricta del propósito, las restricciones de acceso (incluido el acceso solo para el personal que haya recibido capacitación especializada), el mantenimiento de un registro de acceso a los datos, las restricciones para el futuro traslados o medidas de seguridad adicionales:

 

Ninguna Información Sensible es procesada por Digital.ai.

 

Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua):

 

Las transferencias se realizarán de forma continua para los productos y servicios en la nube, y de forma puntual para las solicitudes de soporte.

 

Naturaleza del tratamiento:

 

Digital.ai actúa como Procesador de los Datos Personales enviados por el Cliente en el curso del uso Digital.ailos productos y servicios de; la naturaleza del procesamiento incluye la transferencia, el almacenamiento y otras actividades de procesamiento que se especifican de conformidad con los términos del Acuerdo.

 

Propósito (s) de la transferencia de datos y procesamiento posterior:

 

Para proporcionar y apoyar Digital.aiproductos y servicios de al Cliente según lo acordado en el Acuerdo (incluido este DPA).

 

El plazo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo:

Durante la vigencia del Acuerdo vigente con Digital.ai, excepto cuando se especifique lo contrario en el Acuerdo, o lo permita o exija la ley.

 

Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento:

 

Digital.ai (Importador de datos) utiliza los subprocesadores identificados en el Lista de subprocesadores establecido en Anexo III, para apoyar Digital.ai en la prestación de sus productos y servicios al Cliente (Exportador de Datos). El objeto y la duración del procesamiento se describen anteriormente en este Anexo. La naturaleza de los servicios de subprocesamiento específicos se detalla aún más en la Lista de subprocesadores identificados en el Anexo III.

 

 

C. AUTORIDAD SUPERVISORA competente

 

Identifique la(s) autoridad(es) de control competente(s) de conformidad con la Cláusula 13:

 

La autoridad de control competente determinada de conformidad con la Cláusula 13 de las Cláusulas Contractuales Tipo.

• Cláusulas contractuales estándar de 2021: la ley aplicable a las SCC de 2021 será la ley de los Países Bajos.

• Cláusulas contractuales estándar de 2010: las CEC de 2010 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos, a saber, el Reino Unido.

 

ANEXO II

Medidas Técnicas y Organizativas de Seguridad

Este Anexo II se aplica para describir las medidas técnicas y organizativas aplicables a los efectos de las Cláusulas contractuales tipo de 2010, las Cláusulas contractuales tipo de 2021 y la Ley de protección de datos aplicable.

Las medidas técnicas y organizativas establecidas en el Anexo II han sido implementadas por el importador de datos para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del procesamiento, y el riesgo de probabilidad y gravedad variable para los derechos y libertades de las personas naturales.

Descripción de las medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos:

Política, procedimientos y estándares de seguridad de la información. Digital.ai mantendrá un programa de seguridad de la información (incluida la adopción y aplicación de políticas y procedimientos internos) diseñado para ayudar a proteger los datos personales contra pérdidas, acceso o divulgación accidentales o ilegales. Una revisión de todos Digital.ai políticas, procedimientos y normas técnicas de seguridad de la información se lleva a cabo al menos una vez al año. Cuando corresponda, las copias de respaldo de los datos personales pueden estar disponibles y probarse periódicamente para confirmar la integridad y demostrar la capacidad de recuperación. Periódicamente se realiza una evaluación de vulnerabilidad en los sistemas críticos y se realizan pruebas de penetración al menos una vez al año.

Cifrado. Digital.ai utiliza métodos de encriptación que se consideran seguros de acuerdo con las mejores prácticas de la industria para proteger los datos tanto en reposo como en tránsito. Los métodos de cifrado utilizados cumplen o superan la Seguridad de la capa de transporte (TLS) 1.2 o el Estándar de cifrado avanzado (AES) 256.

Auditorías. Donde corresponda, Digital.ai utilizará auditores externos y/o realizará auditorías internas para verificar la adecuación de sus medidas de seguridad de acuerdo con las normas ISO 27001, SOC 2 o ISO 13485.

Controles de acceso. Identificación y autorización del usuario. Digital.ai mantendrá controles y políticas de acceso para administrar qué acceso está permitido a la Digital.ai red de cada conexión de red y usuario, incluido el uso de firewalls o tecnología funcionalmente equivalente y controles de autenticación.

Seguridad física. Los controles de barrera física se utilizan para evitar la entrada no autorizada a las instalaciones donde los datos personales son procesados ​​por o en nombre de Digital.ai. Los controles existen tanto en el perímetro como en los puntos de acceso al edificio. La entrada generalmente requiere una validación de control de acceso electrónico (p. ej., sistemas de acceso con tarjeta, etc.) o validación por parte del personal de seguridad humano (p. ej., servicio de guardia de seguridad contratado o interno, recepcionista, etc.). A los empleados y contratistas se les asignan tarjetas de identificación con fotografía que deben usar mientras los empleados y contratistas se encuentran en cualquiera de las instalaciones. Los visitantes deben registrarse con el personal designado, deben mostrar una identificación adecuada, se les asigna un gafete de identificación de visitante que debe usarse mientras el visitante está en cualquiera de las instalaciones y son escoltados continuamente por empleados o contratistas autorizados mientras visitan las instalaciones.

El registro de eventos. Digital.aiLa red y los sistemas de están configurados para que los errores del sistema y los eventos de seguridad se registren, y los archivos de registro estén protegidos de la alternancia por parte de los usuarios.

Configuración del sistema. Digital.ai desarrollará, documentará y mantendrá una configuración básica actual para todos los sistemas incluidos en el alcance. La línea de base debe revisarse y actualizarse anualmente y según sea necesario debido a actualizaciones del sistema, parches u otros cambios significativos. Se deben conservar las configuraciones anteriores para admitir la reversión. Se debe establecer una configuración básica mínima para sistemas de información o computadoras con controles de seguridad elevados.

 

Información adicional sobre Digital.aiLas certificaciones y prácticas de seguridad de se encuentran aquí .ANEXO III

Lista de subprocesadores

  • Servicios web de Amazon ("AWS")
    • Descripción: proveedor de servicios en la nube
  • Tecnología Rackspace
    • Descripción: proveedor de servicios en la nube

Otros subprocesadores

  • Service Rocket, Inc.
    • Descripción: Servicios de implementación y atención al cliente basados ​​en la nube
  • Pendo.io, Inc.
    • Descripción: análisis y soporte de software basado en la nube
  • Copo de nieve, Inc.
    • Descripción: Base de datos como proveedor de servicios
  • Zendesk
    • Descripción: Software de atención al cliente
  • lógica de sumo, inc.
    • Descripción: seguridad de software basada en la nube y análisis de registros

 

 

 

Apéndice de la CCPA para proveedores de servicios

Este Anexo Suplementario de la CCPA (“Apéndice”) forma parte del DPA entre Digital.ai (a los efectos de este Anexo, denominado "Proveedor de servicios") Y Cliente como se indica en el Acuerdo que rige.

 

En el curso de la prestación de Servicios al Cliente de conformidad con el Acuerdo, Digital.ai puede procesar información personal de la empresa que está sujeta a la Ley de Privacidad del Consumidor de California, Cal. civ. Código § 1798.100 y siguientes. ("CCPA”). Los siguientes términos se incorporan al Acuerdo con el fin de garantizar el cumplimiento de la CCPA.

A los efectos de este Anexo, se aplicarán las siguientes definiciones además de las definiciones contenidas en el DPA y el Acuerdo, incluidos todos los anexos que puedan complementarlo.

 

1. Definiciones.

1.1 En este Addendum, los siguientes términos tendrán los significados que se establecen a continuación:

1.1.1 "Información personal de la empresa” significa cualquier información personal, tal como se define en la CCPA, Procesada por el Proveedor de servicios en nombre de la Compañía o sus afiliados de conformidad con el Acuerdo o en relación con este;

1.1.2 "Procesado"O"Tratamiento de agua” significa cualquier operación o conjunto de operaciones realizadas en la Información personal de la empresa;

2. Procesamiento de Información Personal de la Compañía. En la medida en que el cumplimiento de las obligaciones del Proveedor de servicios en virtud del Acuerdo implique el Procesamiento de información personal de la empresa, el Proveedor de servicios acepta que no retener, usar o divulgar la Información personal de la empresa para cualquier propósito, incluido cualquier fin comercial, que no sea el propósito específico de prestar los servicios especificados en el Acuerdo para la empresa, o según lo permita la CCPA o las reglamentaciones promulgadas por la Fiscal General de California de conformidad con Cal. civ. Código § 1798.185.