EWEBINAR LABS INC.
ACUERDO DE PROCESAMIENTO DE DATOS
El presente Acuerdo de Procesamiento de Datos ("APD") forma parte de las Condiciones de Uso (el "Acuerdo") entre eWebinar Labs Inc. y el suscriptor del servicio ("Responsable del Tratamiento"), conjuntamente denominados en lo sucesivo las "Partes".
1. DEFINICIONES
"Responsable del Tratamiento": la entidad que determina los fines y medios del Tratamiento de Datos Personales.
"Encargado del tratamiento" se refiere a la entidad que trata Datos Personales por cuenta del Responsable del tratamiento.
"Leyes de Protección de Datos" significa todas las leyes y reglamentos, incluidas las leyes y reglamentos de la Unión Europea y otras jurisdicciones aplicables al Tratamiento de Datos Personales en virtud del Acuerdo.
"Sujeto de los datos" significa una persona física identificada o identificable. A los efectos del Acuerdo, pueden incluirse los participantes en un ensayo clínico patrocinado por el Responsable del Tratamiento y las personas que realicen un ensayo clínico patrocinado por el Responsable del Tratamiento.
"GDPR" significa Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Por" Datos Personales" se entiende cualquier información relativa a un interesado. Los tipos de Datos Personales Tratados en virtud del Acuerdo incluyen, entre otros, los siguientes: nombre, información de contacto profesional, incluidos, entre otros, dirección, número de teléfono, correo electrónico, cargo, empresa, ubicación e información sanitaria personal.
Por "Tratamiento" se entenderá cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su bloqueo, supresión o destrucción ("Tratamiento", "Procesos" y "Tratados" tendrán el mismo significado).
"Infracción de seguridad" significa cualquier destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a cualquier Dato Personal Procesado por el Procesador de Datos.
"Subencargado del tratamiento" se refiere a cualquier entidad contratada por el Encargado del tratamiento para tratar Datos personales en nombre del Responsable del tratamiento.
2. TRATAMIENTO DE DATOS PERSONALES
2.1 El encargado del tratamiento tratará los datos personales facilitados por el responsable del tratamiento de conformidad con los requisitos de la legislación en materia de protección de datos y las instrucciones documentadas del responsable del tratamiento con arreglo al contrato. Si el Procesador de Datos cree o tiene conocimiento de que alguna de las instrucciones del Controlador de Datos entra en conflicto con alguna de las Leyes de Protección de Datos, el Procesador de Datos informará al Controlador de Datos.
2.2 Durante la vigencia del contrato, el encargado del tratamiento sólo tratará los datos personales en nombre y de conformidad con el contrato y las instrucciones del responsable del tratamiento, salvo que sea necesario para cumplir una obligación legal a la que esté sujeto el encargado del tratamiento. En tal caso, el Procesador de Datos informará al Controlador de Datos de dicha obligación legal antes del procesamiento, a menos que la ley prohíba explícitamente el suministro de dicha información al Controlador de Datos. El responsable del tratamiento nunca tratará los datos personales de forma incompatible con las instrucciones documentadas del responsable del tratamiento o para fines propios o de terceros.
2.3 En la medida en que el Encargado del tratamiento trate Datos personales sujetos a la legislación sobre protección de datos por cuenta del Responsable del tratamiento en el curso de la ejecución del Acuerdo con el Responsable del tratamiento, se aplicarán los términos del presente Acuerdo de tratamiento de datos. En caso de conflicto entre cualquiera de las disposiciones del Acuerdo y las disposiciones del presente Acuerdo de Tratamiento de Datos, el presente Acuerdo de Tratamiento de Datos regirá y prevalecerá en materia de protección de datos y privacidad. En el Apéndice 1 figura una descripción general de las categorías de datos personales, las categorías de interesados y la naturaleza y los fines para los que se tratan los datos personales.
3. CONFIDENCIALIDAD
3.1 Sin perjuicio de cualesquiera acuerdos contractuales existentes entre las Partes, el Procesador de Datos tratará todos los Datos Personales como estrictamente confidenciales e informará a todos sus empleados, agentes y/o Subprocesadores aprobados que participen en el procesamiento de los Datos Personales de la naturaleza confidencial de los Datos Personales. El Procesador de Datos se asegurará de que todas estas personas o partes hayan firmado un acuerdo de confidencialidad apropiado, estén sujetas de otro modo a un deber de confidencialidad, o estén bajo una obligación legal apropiada de confidencialidad.
4. SEGURIDAD
4.1 El Encargado del Tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad del tratamiento de los Datos Personales adecuado al riesgo. Estas medidas incluirán, según proceda
-
-
medidas para garantizar que sólo pueda acceder a los Datos Personales el personal autorizado;
-
la capacidad de garantizar la confidencialidad, integridad, disponibilidad y flexibilidad permanentes de los sistemas y servicios de procesamiento;
-
la capacidad de restablecer oportunamente la disponibilidad y el acceso a los Datos Personales en caso de incidente físico o técnico al mismo estado, incluidos el contenido y los derechos de acceso, antes de cualquier interrupción;
-
un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los Datos Personales;
-
medidas para identificar vulnerabilidades y riesgos en relación con el tratamiento de Datos Personales en los sistemas utilizados para prestar servicios al Responsable del Tratamiento.
4.2 A petición del responsable del tratamiento, el encargado del tratamiento demostrará las medidas que ha adoptado de conformidad con el presente artículo 4 y permitirá que el responsable del tratamiento audite y compruebe dichas medidas. El responsable del tratamiento tendrá derecho a llevar a cabo, o a encargar a un tercero que haya suscrito un acuerdo de confidencialidad con el responsable del tratamiento, auditorías de las operaciones del responsable del tratamiento en la medida en que guarden relación con los datos personales, previo aviso al responsable del tratamiento con una antelación mínima de 30 días. El encargado del tratamiento cooperará con las auditorías realizadas por el responsable del tratamiento o en su nombre. El encargado del tratamiento facilitará al responsable del tratamiento y/o a los auditores del responsable del tratamiento el acceso a cualquier información relativa al tratamiento de los datos personales que el responsable del tratamiento pueda requerir razonablemente para comprobar el cumplimiento del presente acuerdo de tratamiento de datos por parte del encargado del tratamiento.
-
5. CONTRATACIÓN CON SUBENCARGADOS DEL TRATAMIENTO
5.1 El Responsable del Tratamiento acepta que el Encargado del Tratamiento pueda contratar a Subencargados del Tratamiento para que traten Datos Personales en nombre del Responsable del Tratamiento, y esto se hace de tres maneras. En primer lugar, el Procesador de Datos puede contratar Subprocesadores para ayudar con el alojamiento y la infraestructura. En segundo lugar, el Procesador de Datos puede contratar a Subprocesadores para apoyar las características e integraciones del producto. En tercer lugar, el Procesador de Datos puede contratar a Afiliados de eWebinar como Subprocesadores para el servicio y la asistencia. Algunos Subencargados del Tratamiento se aplicarán al Responsable del Tratamiento por defecto, y otros Subencargados del Tratamiento sólo se aplicarán si el Responsable del Tratamiento opta por ello.
5.2 Sin perjuicio de cualquier autorización por parte del Responsable del Tratamiento en el sentido del apartado anterior, el Responsable del Tratamiento será responsable de garantizar el cumplimiento de los términos del Acuerdo por parte de un Subencargado del Tratamiento.
5.3 El Encargado del Tratamiento se asegurará de que todo Subencargado del Tratamiento esté sujeto a las mismas obligaciones de protección de datos que el Encargado del Tratamiento en virtud del presente Acuerdo de Tratamiento de Datos, supervisará el cumplimiento de las mismas y, en particular, deberá imponer a sus Subencargados del Tratamiento la obligación de aplicar las medidas técnicas y organizativas apropiadas de tal forma que el Tratamiento cumpla los requisitos de las Leyes de Protección de Datos.
5.4 El Responsable del Tratamiento podrá solicitar por correo electrónico una lista de los Subencargados del Tratamiento más actualizados poniéndose en contacto con support@ewebinar.com.
5.5 El Procesador de Datos dará al Controlador de Datos la oportunidad de oponerse a la contratación de nuevos Sub-Procesadores por motivos razonables relacionados con la protección de Datos Personales dentro de los 30 días siguientes a la recepción de la lista de Sub-Procesadores. Si el Responsable del tratamiento notifica al Encargado del tratamiento dicha objeción, las Partes debatirán de buena fe cualquier preocupación con vistas a alcanzar una resolución razonable desde el punto de vista comercial. Si no se puede alcanzar dicha resolución, el procesador de datos, a su entera discreción, no designará al nuevo subencargado, o permitirá al responsable del tratamiento suspender o rescindir la suscripción de conformidad con las disposiciones de rescisión de las condiciones generales, sin responsabilidad para ninguna de las partes (pero sin perjuicio de los honorarios en que haya incurrido el responsable del tratamiento antes de la suspensión o rescisión).
6. ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO
6.1 El Procesador de Datos ayudará al Controlador de Datos mediante la adopción de medidas técnicas y organizativas adecuadas, en la medida de lo posible, de modo que el Controlador de Datos pueda cumplir con su obligación de responder a las solicitudes que impliquen el ejercicio de los derechos de los Titulares de Datos en virtud de las Leyes de Protección de Datos, incluido el GDPR.
6.2 El encargado del tratamiento asistirá al responsable del tratamiento en todas las consultas previas, correspondencia, investigaciones y/o reclamaciones de las autoridades de control en relación con el tratamiento objeto del acuerdo. En caso de que dicha correspondencia, consulta o reclamación se dirija directamente al responsable del tratamiento, este informará sin demora al responsable del tratamiento, facilitándole todos los detalles de la misma.
6.3 Si el Procesador de Datos cree o tiene conocimiento de que su Procesamiento de los Datos Personales puede dar lugar a un alto riesgo para los derechos y libertades de protección de datos de los Sujetos de Datos, informará inmediatamente al Controlador de Datos y le proporcionará toda la asistencia razonable y oportuna que el Controlador de Datos pueda requerir para llevar a cabo una evaluación de impacto de protección de datos y, si es necesario, consultar con su autoridad de supervisión pertinente.
6.4 El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones del encargado del tratamiento en virtud de las leyes de protección de datos.
7. OBLIGACIONES DE INFORMACIÓN Y GESTIÓN DE LAS VIOLACIONES DE LA SEGURIDAD
7.1 Cuando el responsable del tratamiento tenga conocimiento de una violación de la seguridad que afecte al tratamiento de los datos personales objeto del acuerdo, deberá notificarla al responsable del tratamiento sin dilación indebida y en un plazo no inferior a 72 horas. El encargado del tratamiento prestará toda la asistencia razonable y oportuna que el responsable del tratamiento pueda requerir para que el responsable del tratamiento cumpla sus obligaciones de notificación de violaciones de la seguridad en virtud de la legislación sobre protección de datos (y de conformidad con los plazos exigidos por la misma). Además, el responsable del tratamiento adoptará todas las medidas y acciones necesarias para remediar o mitigar los efectos de la violación de la seguridad y mantendrá informado al responsable del tratamiento de todos los acontecimientos relacionados con la violación de la seguridad.
7.2 El responsable del tratamiento de datos deberá disponer en todo momento de procedimientos escritos que le permitan responder con prontitud al responsable del tratamiento de datos acerca de una violación de la seguridad.
7.3 Toda notificación efectuada al Responsable del tratamiento a raíz de una violación de la seguridad se entregará al Responsable del tratamiento por correo electrónico y contendrá:
-
-
una descripción de la naturaleza de la violación de la seguridad, que incluya, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados;
-
el nombre y los datos de contacto del responsable de la protección de datos del responsable del tratamiento u otro punto de contacto donde pueda obtenerse más información;
-
una descripción de las consecuencias probables de la violación de la seguridad; y
-
una descripción de las medidas adoptadas o que se propone adoptar el responsable del tratamiento de datos para hacer frente a la violación de la seguridad, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.
-
8. DESTRUCCIÓN DE DATOS PERSONALES
8.1 A la terminación del presente Acuerdo de Tratamiento de Datos, a petición del Responsable del Tratamiento, o una vez cumplidos todos los fines acordados en el contexto del Acuerdo en virtud de los cuales no se requiera ningún otro Tratamiento, el Responsable del Tratamiento, siguiendo instrucciones del Responsable del Tratamiento, borrará o destruirá todos los Datos Personales (incluidas todas las copias) al Responsable del Tratamiento.
8.2 El Procesador de Datos notificará a todos los terceros que apoyen su propio Procesamiento de los Datos Personales, incluido cualquier Sub-Procesador, la finalización del Acuerdo de Procesamiento de Datos y se asegurará de que todos esos terceros destruyan los Datos Personales.
9. TRANSFERENCIAS INTERNACIONALES
9.1 El Procesador de Datos no transferirá los Datos Personales (ni permitirá que los Datos Personales sean transferidos) fuera del Espacio Económico Europeo ("EEE") a menos que tome las medidas necesarias para garantizar que la transferencia cumple con las Leyes de Protección de Datos.
9.2 En la medida en que el responsable del tratamiento o el encargado del tratamiento se basen en un mecanismo legal específico para normalizar las transferencias internacionales de datos, según lo establecido en el apéndice 2, y dicho mecanismo sea posteriormente modificado, revocado o declarado inválido por un tribunal de jurisdicción competente, el responsable del tratamiento y el encargado del tratamiento acuerdan cooperar de buena fe para suspender sin demora la transferencia o buscar un mecanismo alternativo adecuado que pueda respaldar legalmente la transferencia.
10. DURACIÓN Y TERMINACIÓN
10.1 La rescisión o expiración del presente Acuerdo de Procesamiento de Datos no eximirá al Procesador de Datos de sus obligaciones de confidencialidad de conformidad con el Artículo 3.
10.2 El Encargado del Tratamiento tratará los Datos Personales hasta la fecha de terminación del Contrato, salvo que el Responsable del Tratamiento le indique lo contrario, o hasta que dichos datos sean devueltos o destruidos por instrucción del Responsable del Tratamiento.
ANEXO 1
-
Categorías de interesados:
Cliente
Participante en el seminario
Perspectiva
Usuarios del sitio web
-
Tipos de datos personales que se tratarán en el marco del acuerdo:
Nombre y apellidos
Dirección de correo electrónico
Contraseña de la cuenta
Dirección de facturación
Debates en directo por chat
Cookies
Tarjeta de pago
Vídeo e imágenes del seminario web
Respuestas al formulario de inscripción al seminario web y a la tarjeta de interacción
-
Naturaleza y finalidad del tratamiento de datos:
Los datos personales son necesarios para distintos fines:
-
Para crear una cuenta en la aplicación eWebinar
-
Mantener comunicación por correo electrónico con clientes potenciales y clientes interesados
-
Gestionar los ciclos de marketing y ventas a través de campañas de marketing y el fomento de clientes potenciales.
-
Para inscribirse en el boletín de eWebinar
-
Para impartir los seminarios web que ofrece eWebinar
-
Recibir pagos por los servicios del seminario web
-
Optimizar la experiencia del sitio web y de la aplicación eWebinar
-
Para integrarse con otras aplicaciones
-
-
Garantías de seguridad aplicadas por el procesador de datos:
4.1 Garantizar que sólo el personal autorizado pueda acceder a los Datos Personales.
4.2 Tomar todas las medidas razonables para evitar el acceso no autorizado a los Datos Personales mediante el uso de contraseñas adecuadas, asegurando las áreas para el Procesamiento de Datos Personales y aplicando procedimientos para supervisar el uso de las instalaciones de Procesamiento de Datos Personales.
4.3 Utilice contraseñas seguras, tecnología de cifrado y autenticación cuando proceda, procedimientos de inicio de sesión seguros y protección antivirus.
4.4 Garantizar la seudonimización y/o el cifrado de los Datos Personales, cuando proceda.
4.5 Mantener la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento.
4.6 Desarrollar el sistema y las pistas de auditoría.
4.7 Tener en cuenta todos los riesgos que presenta el tratamiento, por ejemplo de destrucción, pérdida o alteración accidental o ilícita, almacenamiento, tratamiento, acceso o divulgación no autorizados o ilícitos de Datos Personales.
4.8 Mantener la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de incidente físico o técnico.
4.9 Aplicar un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los Datos Personales.
4.10 Supervisar el cumplimiento de forma continua.
4.11 Aplicar medidas para identificar vulnerabilidades en relación con el tratamiento de Datos Personales en los sistemas utilizados para prestar servicios al Responsable del Tratamiento.
4.12 Impartir formación a empleados y contratistas para garantizar la capacidad permanente de llevar a cabo las medidas de seguridad establecidas en la política.
ANEXO 2
Transferencias de datos
El Responsable del Tratamiento también autoriza las transferencias de datos a países fuera del Espacio Económico Europeo sin un nivel adecuado de protección, incluidos los EE.UU., ya que el Responsable del Tratamiento y el Encargado del Tratamiento confirman tener implantada al menos una de las dos (2) garantías que se enumeran a continuación.
-
El receptor de los datos, con sede en EE.UU., dispone de normas corporativas vinculantes aprobadas por las autoridades de protección de datos de la UE (normas internas utilizadas por las empresas multinacionales para ofrecer garantías adecuadas de protección de la intimidad y los derechos y libertades fundamentales de las personas físicas en el sentido del apartado 2 del artículo 26 de la Directiva 95/46/CE para todas las transferencias de datos personales protegidos por una ley europea).
-
Las cláusulas contractuales tipo, si procede, se incorporan al acuerdo entre el receptor de datos basado en un tercer país y el remitente de datos basado en la UE o en un tercer país antes de que el receptor de datos trate por primera vez los datos personales.
