Políticas y acuerdos

1. Efectos del Anexo.

Sin perjuicio de las modificaciones antes señaladas, los Términos permanecerán en pleno vigor y en efecto.

2. Definiciones

2.1. “Legislación Aplicable” significa la ley federal o estatal aplicable a los productos o servicios proporcionados en virtud de los Términos que se relacionan con la confidencialidad, seguridad, uso y disponibilidad de la Información Personal.

2.2. “Información personal” se refiere a cualquier información definida como información personal o datos personales, relacionada con una persona física identificada o identificable (“Persona Registrada”) en virtud de la Legislación Aplicable. Una persona física identificable es aquella que razonablemente pueda ser identificada, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos sobre la identidad física, fisiológica, genética, mental, económica, biométrica, cultural o sociológica de dicha persona física.

2.3. “Venta” o “Vender” tendrán el significado atribuido a dichos términos por la Legislación Aplicable.

2.4. “Incidente de seguridad” significa una falla en la seguridad de un sistema bajo la gestión o el control del Proveedor de Servicios que conduce a la destrucción, pérdida, alteración, divulgación o acceso no autorizados a la Información Personal, según lo definido por la Legislación Aplicable.

2.5. “Parte Social” tendrán el significado previsto en la Legislación Aplicable.

3. Declaraciones del Proveedor de Servicios.

3.1. El Proveedor de Servicios declara y garantiza que, según la Legislación Aplicable, es un “proveedor de servicios”, para efecto de los servicios que proporciona a la Empresa de conformidad con los Términos, de acuerdo con el significado dado a ese término en cualquier Legislación Aplicable, a partir de la fecha de suscripción de este Anexo.

4. Restricciones.

4.1. El Proveedor de Servicios, y cualquier subcontratista del Proveedor de Servicios, no deberá Vender ni Compartir la Información Personal que reciba de, o en nombre de, la Empresa.

4.2. El Proveedor de Servicios utilizará la Información Personal exclusivamente con el/los fin(es) de prestar los Servicios según se establece en los Términos a los que se adjunta este Anexo, o según lo permita la Legislación Aplicable. El Proveedor de Servicios solo puede divulgar Información Personal a terceros para los fines comerciales limitados y específicos establecidos en los Términos, o según lo permita la Legislación Aplicable.

4.3. El Proveedor de Servicios, y cualquier subcontratista, no pueden retener, usar o divulgar la Información Personal recibida de, o en nombre de, la Empresa para propósito alguno que no sea la prestación de los Servicios detallados en un Informe de Trabajo, o según lo permita la Legislación Aplicable.

4.4. El Proveedor de Servicios, y cualquier subcontratista, no pueden retener, usar o divulgar la Información Personal recibida de, o en nombre de, la Empresa, para propósito comercial alguno que no sean los fines comerciales especificados en los Términos, incluyendo en la prestación de servicios a  un negocio diferente, a menos que lo permita expresamente la Legislación Aplicable.

4.5. Ni el Proveedor de Servicios, ni cualquier subcontratista, pueden retener, usar o divulgar la Información Personal recibida de, o en nombre de, la Empresa fuera de la relación comercial directa entre el Proveedor de Servicios y la Empresa, a menos que lo permita la Legislación Aplicable.

4.6. El Proveedor de Servicios cumplirá con todas las secciones aplicables de la Legislación Aplicable, incluido el proporcionar  el mismo nivel de protección de la privacidad que exige la Empresa; incluida la cooperación con la Empresa para responder y cumplir con las solicitudes del Interesado realizadas de conformidad con la Legislación Aplicable, y la implementación de procedimientos y prácticas de seguridad razonables apropiados para la naturaleza de la Información Personal recibida de, o en nombre de, la Empresa a fin de proteger dicha Información Personal del acceso, destrucción, uso, modificación o divulgación no autorizados o ilegales.

4.7. El Proveedor de Servicios otorga a la Empresa el derecho a tomar medidas razonables y apropiadas para garantizar que el Proveedor de Servicios utilice la Información Personal que recibió de la Empresa, o a  nombre de la misma, de manera consistente con las obligaciones de la Empresa en virtud de la Legislación aplicable.

4.8. El Proveedor de Servicios notificará a la Empresa, a más tardar cinco (5) días hábiles después de que tome dicha determinación, en caso de que ya no  pueda cumplir  con sus obligaciones en virtud de la Legislación aplicable.

4.9. La Empresa puede exigir al Proveedor de Servicios que proporcione documentación que 1) verifique que el Proveedor de Servicios ya no conserva ni utiliza Información Personal de las Personas Interesadas que hayan realizado una solicitud válida para eliminar Información Personal que no esté sujeta a una excepción a dicha obligación de eliminación en virtud de la Legislación aplicable; 2) verifique que el Proveedor de Servicios haya limitado el uso de la Información Personal de los Interesados que hayan realizado una solicitud válida para limitar el uso de la Información Personal Confidencial que no esté sujeta a una excepción a dicha obligación en virtud de la Legislación Aplicable; o 3) verifique que el Proveedor de Servicios no venda ni comparta Información Personal de los Interesados según lo definido por la Legislación Aplicable.

4.10. El Proveedor de Servicios deberá informar a la Empresa de cualquier solicitud de Persona Interesada realizada de conformidad con la Legislación Aplicable que deban cumplir ya sea el  Proveedor de Servicios o la Empresa, y proporcionará la información necesaria para que la Empresa cumpla con la solicitud.

5. Notificación de Incumplimiento.

5.1. El Proveedor de Servicios deberá a) notificar a la Empresa sobre cualquier Incidente de Seguridad sin demora injustificada después de tener conocimiento del Incidente de Seguridad, y b) tomar medidas razonables para mitigar los efectos y minimizar cualquier daño que resulte del Incidente de Seguridad. Dicha notificación se efectuará a tiempo para que la Empresa pueda cumplir con cualquier obligación que le corresponda en virtud de la Legislación Aplicable.

5.2. El Proveedor de Servicios ayudará a la Empresa respecto a cualquier notificación de incumplimiento de datos personales que la Empresa deba realizar en virtud de la Legislación Aplicable. El Proveedor de Servicios incluirá en la notificación relativa a esta sección la información sobre el Incidente de Seguridad que el Proveedor de Servicios pueda revelar razonablemente a la Empresa, teniendo en cuenta la naturaleza de los Servicios, la información disponible al Proveedor de Servicios y cualquier restricción en la divulgación de la información, como por ejemplo la confidencialidad.

5.3. La Empresa acepta que un Incidente de Seguridad fallido no estará sujeto a esta Sección. Un incidente de seguridad fallido es aquel que no genera un un acceso no autorizado a la información personal y puede incluir, entre otros, pings y otros ataques de transmisión en firewalls o servidores perimetrales, escaneos de puertos, intentos de inicio de sesión fallidos, ataques de denegación de servicio, rastreo de programas espía (u otro acceso no autorizado a datos de tráfico que no resulten en accesos más allá de los mencionados) o incidentes similares.

6. Auditoría.

El Proveedor de Servicios proporcionará a la Empresa la información razonablemente solicitada necesaria para demostrar el cumplimiento de la Legislación Aplicable. El Proveedor de Servicios puede proporcionar a la Empresa una evaluación independiente por parte de una firma de auditoría externa reconocida, como un  Instituto Americano de Contadores Públicos Certificados (“AICPA“) conforme a una auditoría de Tipo 2 de Controles de Sistema de la Organización 2 (“SOC 2″) que cubra el alcance relevante de los sistemas, aplicaciones y servicios utilizados en la prestación de Servicios a la Empresa a fin de demostrar el cumplimiento de las obligaciones del Proveedor de Servicios en virtud de los Términos. En caso de que el Proveedor de Servicios no proporcione a la Empresa dicha evaluación independiente de terceros, la Empresa podrá realizar, en un plazo y alcance mutuamente acordados, una auditoría de los sistemas del Proveedor de Servicios que sea razonablemente necesaria para confirmar el cumplimiento de las obligaciones del Proveedor de Servicios en virtud de los Términos.

7. Obligaciones de Rescisión.

Siguiendo las instrucciones de la Empresa después del vencimiento o rescisión de estos Términos, el Proveedor de Servicios devolverá, en un formato mutuamente acordado, o destruirá de manera segura toda la Información Personal que el Proveedor de Servicios haya obtenido derivado  de la prestación de los Servicios exclusivamente para la Empresa, dentro de los treinta (30) días posteriores a dicho vencimiento o rescisión. El Proveedor de Servicios notificará de inmediato a la Empresa por escrito una vez que toda dicha información haya sido devuelta o destruida (según corresponda de acuerdo con las instrucciones de la Empresa), en el entendido de que el Proveedor de Servicios podrá conservar copias de la Información Personal cuando el almacenamiento continuo sea requerido o permitido por la Legislación Aplicable. Para evitar dudas, las disposiciones de este Anexo continuarán aplicándose a la Información Personal en cuestión, y el Proveedor de servicios solo procesará estos Datos Personales conforme a  los fines permitidos por la Legislación Aplicable.