Connect & Engage - Data Processing Addendum (DPA)

Versión: 1 de Febrero de 2023

El presente Anexo de Tratamiento de Datos (“ATD”) forma parte integrante del Acuerdo entre el Cliente y CM.com que cubre el uso de los Servicios por parte del Cliente.

1. Definiciones e interpretación

1.1. Los términos contenidos en estos Términos y Condiciones escritos con mayúscula inicial se definen y tienen el significado establecido en esta Cláusula.

Encargado del Tratamiento: una persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del Tratamiento.

Interesado: persona física identificada o identificable en relación con Datos Personales.

Medidas Técnicas y Organizativas: medidas para proteger los Datos Personales contra la destrucción accidental o ilícita, o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, y contra cualquier otra forma ilícita de Tratamiento.

Responsable del Tratamiento: la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de Datos Personales.

Subencargado del Tratamiento: una parte contratada por CM.com para las actividades de tratamiento para las que CM.com es un Encargado del Tratamiento en virtud del presente ATD, como se indica en: www.cm.com/trust-center/privacy/.

Tratamiento/Tratar: cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Violación de la Seguridad de los Datos Personales: una violación de la seguridad que accidental o ilícitamente conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos Personales transmitidos, almacenados o Tratados de cualquier otro modo. 1.2. Las referencias a las Leyes de Protección de Datos Aplicables se sustituirán o incorporarán referencias a cualquier ley que sustituya o modifique dichas Leyes de Protección de Datos Aplicables, así como los términos equivalentes definidos en dichas leyes, una vez que estén en vigor y sean aplicables.

La expresión “Evaluación de impacto relativa a la protección de datos” tendrá el significado que se les atribuye en la Ley de Protección de Datos Aplicable.

1.3. Los presentes Términos y Condiciones del Tratamiento de Datos se aplicarán exclusivamente al tratamiento de Datos Personales por parte de CM.com como Encargado del Tratamiento en nombre del Cliente. En caso de conflicto, las disposiciones los presentes Términos y Condiciones del Tratamiento de Datos relativos al Tratamiento de Datos Personales prevalecerán sobre las disposiciones del Acuerdo de Términos y Condiciones Generales. En caso de que alguna de las disposiciones individuales de estos Términos y Condiciones del Tratamiento de Datos sea inválida o inaplicable, ello no afectará a la validez y aplicabilidad de las demás disposiciones. Centro de confianza: www.cm.com/trust-center/.

2. Alcance y aplicabilidad

2.1 Los presentes ATD se aplicarán a las actividades de tratamiento de Datos Personales de las que CM.com sea Encargado del Tratamiento con sujeción a las Leyes de Protección de Datos Aplicables.

2.2 CM.com es Encargado del Tratamiento para las actividades de tratamiento descritas en la cláusula 6 de los presentes ATD.

3. Obligaciones del Cliente

3.1 El Cliente, en su uso del Servicio, deberá Tratar los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos Aplicables. Las instrucciones del Cliente aplicables al Tratamiento de Datos Personales deberán ajustarse a las Leyes de Protección de Datos Aplicables. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que el Cliente adquirió los Datos Personales. El Cliente se asegurará de que cumple todos los requisitos para el tratamiento y la transferencia de los Datos Personales en virtud de la Legislación Aplicable, lo que incluye, entre otros, garantizar una base legal para el tratamiento y/o las transferencias transfronterizas. El Cliente informará a CM.com sin demora indebida en caso de que ya no pueda cumplir sus obligaciones en relación con el tratamiento de Datos Personales en virtud de la Legislación Aplicable y/o el Acuerdo.

3.2 Sin limitar la generalidad de cualquier otra disposición del Acuerdo, antes de utilizar el Servicio, el Cliente deberá obtener el consentimiento informado verificable de los Usuarios Finales o ser capaz de proporcionar confirmación de cualquier otra base jurídica aplicable para el Tratamiento, y deberá mantener un registro de cada uno de dichos consentimientos o bases jurídicas. Previa notificación razonable por escrito, el Cliente deberá facilitar la información solicitada o requerida por CM.com, cualquier Operador, regulador u otra autoridad competente.

4. Obligaciones del Encargado del Tratamiento

4.1 Instrucciones

4.1.1 CM.com deberá Tratar los Datos Personales de conformidad con el presente ATD y el Acuerdo, y para los fines y en la forma especificada por el Cliente de forma oportuna en el Acuerdo e instrucciones adicionales dentro del alcance del Acuerdo.

4.2 Medidas Técnicas y Organizativas

4.2.1 Teniendo en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como la probabilidad y gravedad de los diversos riesgos para los derechos y libertades de las personas físicas, CM.com implementará Medidas Técnicas y Organizativas adecuadas (incluidas medidas contra el Tratamiento no autorizado o ilícito, y contra la destrucción, pérdida o alteración accidental o ilícita, o el daño, la difusión o el acceso no autorizados a los Datos Personales) para garantizar un nivel de seguridad adecuado al riesgo. Puede encontrarse información actualizada sobre las Medidas Técnicas y Organizativas en www.cm.com/trust-center/security/.

4.2.2 CM.com deberá probar, valorar y evaluar de forma continua la eficacia de las Medidas Técnicas y Organizativas para garantizar la seguridad del Tratamiento. CM.com deberá perfeccionar y mejorar continuamente las Medidas Técnicas y Organizativas cuando proceda.

4.3 Requisitos del personal

CM.com garantiza que las personas autorizadas para Tratar los Datos Personales se han comprometido a mantener la confidencialidad o están sujetas a una obligación legal apropiada de confidencialidad. El acceso a los Datos Personales está restringido al personal que requiera acceso para prestar los Servicios en virtud del Acuerdo.

4.4. Confidencialidad

CM.com acuerda que mantendrá la confidencialidad de los Datos Personales. En concreto, CM.com acuerda que no divulgará ningún Dato Personal suministrado a CM.com por, para o en nombre del Cliente a ningún tercero sin el consentimiento previo del Cliente, excepto según lo previsto y requerido para la prestación del Servicio en virtud del Acuerdo o la legislación imperativa.

4.5 Derechos del Interesado

4.5.1 Cuando el Cliente así lo indique a CM.com, CM.com deberá transferir, corregir, eliminar o bloquear los Datos Personales si el Cliente recibe una solicitud de un Interesado para ejercer el derecho de acceso, el derecho de rectificación, de restricción del Tratamiento, supresión (“derecho al olvido”), a la portabilidad de los datos, oposición al Tratamiento o su derecho a no ser objeto de una toma de decisiones individual automatizada (“Solicitud del Interesado”).

4.5.2 CM.com notificará al Cliente si CM.com recibe una Solicitud del Interesado. Teniendo en cuenta la naturaleza del Tratamiento, CM.com ayudará al Cliente a responder a una Solicitud del Interesado en virtud de las Leyes de Protección de Datos Aplicables. CM.com ayudará al Cliente en la medida en que CM.com esté legalmente autorizada a hacerlo y la respuesta a dicha Solicitud del Interesado se requiera en virtud de las Leyes de Protección de Datos.

4.6 Asistencia al cumplimiento del Cliente

CM.com prestará al Cliente la asistencia adicional que se requiera de forma razonable para garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos, incluido con respecto a:

(a) la evaluación de impacto relativa a la protección de datos, proporcionando la información y cooperación que el Cliente pueda requerir con el fin de ayudar al Cliente a realizar una evaluación de impacto relativa a la protección de datos y revisiones periódicas para evaluar si el Tratamiento de Datos Personales se realiza en cumplimiento de la evaluación de impacto relativa a la protección de datos;

(b) la consulta previa con una autoridad de control de protección de datos en relación con el Tratamiento de alto riesgo.

4.7 Cumplimiento, información y auditoría

4.7.1 CM.com ha obtenido certificaciones de terceros expuestas en el Centro de confianza en la página web de CM.com, disponible en www.cm.com/trust-center/, que proporciona información sobre Medidas Técnicas y Organizativas, privacidad, cumplimiento, gestión de riesgos y seguridad de los datos. Previa solicitud por escrito del Cliente, y con sujeción a las obligaciones de confidencialidad establecidas en el Acuerdo, CM.com deberá poner a disposición del Cliente, que no sea un competidor de CM.com (o el auditor externo independiente del Cliente que no sea un competidor de CM.com), una copia de las certificaciones de terceros que CM.com haya obtenido más recientemente y de la información sobre la arquitectura y seguridad de TI, según proceda y se solicite razonablemente. El Cliente es responsable de evaluar la información que CM.com pone a su disposición y de determinar si cumple con los requisitos y obligaciones del Cliente en virtud de las Leyes de Protección de Datos Aplicables. El Cliente acepta que la información proporcionada en virtud del presente documento servirá para cumplir con los derechos de auditoría del Cliente en virtud de las Leyes de Protección de Datos Aplicables.

4.7.2 En caso de que la información proporcionada por CM.com sea insuficiente para demostrar el cumplimiento de este ATD, el Cliente tiene derecho a designar a un experto externo acreditado como máximo una vez al año para que audite los procedimientos relativos al Tratamiento de datos para el Cliente. CM.com cooperará con dicha auditoría previa notificación por escrito con una antelación razonable de como mínimo diez Días Laborables. El Cliente reembolsará a CM.com el tiempo empleado por CM.com en dicha auditoría según las tarifas de servicios profesionales vigentes en ese momento, que se pondrán a disposición del Cliente previa solicitud. Antes del inicio de dicha auditoría, las Partes acordarán mutuamente el alcance, el momento y la duración de la auditoría, además de la tarifa de reembolso de la que será responsable el Cliente.

4.7.3 CM.com tiene derecho a solicitar que el experto externo firme una declaración de confidencialidad en favor de CM.com. La declaración de confidencialidad deberá contener los términos y condiciones que son habituales en este tipo de declaraciones. Cualquier informe o declaración que proporcione el experto externo deberá ponerse a disposición de CM.com. El Cliente se asegurará de que la auditoría entorpezca las operaciones de CM.com lo menos posible.

4.8 Registros

CM.com mantendrá unos registros completos, exactos y actualizados de las actividades de Tratamiento llevadas a cabo en nombre de sus Clientes.

4.9 Filiales y Subencargados del Tratamiento

4.9.1 Algunas de las obligaciones de CM.com en virtud del Acuerdo pueden ser ejecutadas por filiales de CM.com. CM.com es responsable del cumplimiento de este Acuerdo por parte de sus filiales.

4.9.2 El Cliente reconoce y acepta que (a) las filiales de CM.com pueden ser contratadas como Subencargados del Tratamiento de datos; y (b) CM.com y las filiales de CM.com respectivamente pueden contratar a Subencargados del Tratamiento de datos externos en relación con la prestación de los Servicios. Siempre que CM.com o una filial de CM.com haya celebrado un acuerdo por escrito con cada Subencargado del Tratamiento que contenga obligaciones de protección de datos como mínimo igual de protectoras que las contenidas en el Acuerdo con respecto a la protección de Datos Personales en la medida aplicable a la naturaleza del Servicio prestado por dicho Subencargado del Tratamiento y CM.com mantenga una lista actualizada de Subencargados del Tratamiento. La lista actual de Subencargados del Tratamiento de CM.com está disponible en: www.cm.com/trust-center/privacy/. CM.com informará al Cliente treinta (30) días antes de cualquier cambio con respecto a la lista de Subencargados. Dentro de ese plazo, el Cliente podrá oponerse al cambio de la lista de Subencargados del Tratamiento, siempre que dicha oposición se presente por escrito y se base en motivos razonables con respecto a las Leyes de Protección de Datos Aplicables. Las Partes harán un esfuerzo de buena fe para resolver la objeción del Cliente. Si la objeción no se resuelve en un plazo de treinta (30) días, cualquiera de las Partes podrá rescindir el Acuerdo.

4.9.3 CM.com será responsable de cada uno de sus Subencargados del Tratamiento en la misma medida en que CM.com sería responsable si prestase directamente los servicios de cada Subencargado del Tratamiento en virtud de los términos del Acuerdo.

4.10 Notificación de incumplimiento

Respecto a una Violación de la Seguridad de los Datos Personales, CM.com deberá:

(a) notificar al Cliente una Violación de la Seguridad de los Datos Personales que implique a CM.com o a un subcontratista sin demora indebida (pero en ningún caso más tarde de cuarenta y ocho horas después de tener conocimiento de la Violación de la Seguridad de los Datos Personales).

(b) prestar la cooperación y asistencia razonables al Cliente con respecto a cualquier acción que deba emprenderse en respuesta a una Violación de la Seguridad de los Datos Personales conforme a las Leyes de Protección de Datos Aplicables, como los artículos 33(3) y 34(3) del RGPD, incluida cualquier comunicación de la Violación de la Seguridad de los Datos Personales al Interesado y a las autoridades de protección de datos.

CM.com investigará de inmediato cualquier Violación de la Seguridad de los Datos Personales y tomará las medidas razonables para identificar las causas principales y evitar que se repita. A medida que la información se recoja o se ponga a disposición de otro modo, a menos que se prohíba por la ley, CM.com proporcionará al Cliente una descripción de la Violación de la Seguridad de los Datos Personales, el tipo de datos que fue objeto de la Violación de la Seguridad de los Datos Personales y la demás información que el Cliente pueda solicitar de manera razonable. Las Partes acuerdan de buena fe coordinar el desarrollo del contenido de cualquier declaración pública relacionada o notificación requerida para los Interesados afectados o las autoridades de protección de datos pertinentes.

5. Transferencia transfronteriza de datos

5.1 En la medida en que la contratación de un Subencargado del Tratamiento en virtud del art. 4.9 requiera un mecanismo de transferencia transfronteriza conforme a las Leyes de Protección de Datos Aplicables para transferir legalmente datos personales desde una jurisdicción (es decir, el Espacio Económico Europeo, el Reino Unido o cualquier otra jurisdicción pertinente) a un tercero situado fuera de esa jurisdicción, se aplicarán los siguientes términos. 5.2. El Cliente autoriza a CM.com a transferir Datos Personales fuera de la jurisdicción en la que se encuentra CM.com y en la que los Datos Personales se recibieron por primera vez, siempre que CM.com se asegure de que dichas transferencias se ejecuten de acuerdo con este ATD y con un mecanismo legal de transferencia de datos que proporcione un nivel adecuado de protección en virtud de las Leyes de Protección de Datos Aplicables.

6. Almacenamiento, conservación y supresión de Datos Personales

6.1 CM.com deberá Tratar y conservar datos, incluidos Datos Personales, de conformidad con la Legislación Aplicable y los reglamentos, incluidas, entre otras, la legislación nacional en materia de telecomunicaciones y las Leyes de Protección de Datos Aplicables. Los datos, incluidos los Datos Personales, que se envíen a la plataforma de CM.com se Tratarán y almacenarán de acuerdo con la política de conservación de datos de CM.com. Los Datos Personales no se conservarán durante más tiempo del necesario para la prestación de los Servicios conforme al Acuerdo, para los fines establecidos en el Acuerdo y en la medida en que lo exija o lo permita la Legislación Aplicable. CM.com deberá desidentificar o despersonalizar los datos en datos anonimizados después del período de conservación correspondiente. Esto da lugar a datos que no contienen Datos Personales ni identificadores únicos que podrían utilizarse posteriormente para referirse a los Datos Personales a los que estaban vinculados.

7. Descripción del Tratamiento

7.1 Naturaleza y finalidad del Tratamiento

CM.com Tratará los Datos Personales en la medida en que sea necesario para prestar los Servicios de conformidad con el Acuerdo, según se especifique con más detalle en el Acuerdo, y según lo indique el Cliente en el ámbito del Acuerdo.

7.2 Duración del Tratamiento

CM.com tratará los Datos Personales durante la vigencia del Acuerdo y de conformidad con la cláusula 6 del presente ATD.

7.3 Categorías de Interesados

El Cliente puede enviar datos a CM.com al utilizar el Servicio, cuyo contenido es determinado y controlado por el Cliente a su sola discreción, y que puede incluir, entre otros, Datos Personales relacionados con las categorías de Interesados que se enumeran en el Anexo 1.

7.3 Tipos de Datos Personales

El Cliente puede enviar Datos Personales a los Servicios, cuyo alcance determina y controla el Cliente a su sola discreción, y que pueden incluir, entre otras, las categorías de Datos Personales que se enumeran en el Anexo 1.

Anexo 1: Descripción de los interesados y categorías de datos personales

Interesados:

Nube de IA conversacional

Canales conversacionales

Customer Data Platform

Mobile Marketing Cloud

Mobile Service Cloud

Plataforma de pagos

Sign

SMS

• (posibles) clientes (que sean personas físicas) del Cliente o sus clientes; • empleados, contratistas, asesores, autónomos o personas contratadas por (clientes del) Cliente; • personas de contacto de los clientes potenciales, clientes actuales y socios comerciales del Cliente; • usuarios del Cliente autorizados por el Cliente para utilizar los Servicios.

Emisión de entradas

Voice

Categorías de datos personales:

Nube de IA conversacional

Canales conversacionales

Customer Data Platform

Mobile Marketing Cloud

Mobile Service Cloud

Plataforma de pagos

Sign

SMS

Emisión de entradas

Voice