1. Antecedentes e intención
La compañía, individuo u organización que acepta estos términos (la “Compañía”), y Quartix Holdings plc, Quartix Limited, Quartix Inc o cualquier otra entidad controlada directa o indirectamente por Quartix Holdings plc (según corresponda, “Quartix”), han celebrado un acuerdo (el “Acuerdo”) por el cual Quartix le proveerá Servicios a la Compañía o bien la Compañía le proveerá Servicios a Quartix.
Como parte de este Acuerdo, la Compañía compartirá Datos con Quartix. La intención de estos Términos de Procesamiento de Datos (los “Términos”) es la de establecer un marco legal en relación a los Datos que se transfieren de la Compañía a Quartix. Cualquier transferencia de Datos de Quartix a la Compañía será tratada por separado y no formará parte de estos Términos.
Los Términos entrarán en vigencia a partir del 25 de mayo de 2018 (la “Fecha de vigencia”) y reemplazarán a todos y cada uno de los términos de procesamiento de datos y de seguridad que fueran aplicables con anterioridad a dicha fecha. Los presentes Términos tendrán prioridad en caso de que exista algún conflicto entre estos Términos y los términos aplicables anteriormente, incluidos los estipulados en el Acuerdo.
2. Definiciones e interpretación
Dentro de estos Términos:
El concepto de “Legislación de protección de datos” se refiere a todos los estatutos, leyes, legislación secundaria, normas, regulaciones y guías aplicables de una Autoridad de Supervisión (o su equivalente en el Reino Unido) en relación con la privacidad, confidencialidad, seguridad, marketing directo o protección de datos de Datos personales o datos corporativos (incluyendo las leyes nacionales que implementen tales leyes (incluidas las Directivas 95/46/CE, 2002/58/CE y 97/66/CE), así como la Ley de protección de datos de 1998, el Reglamento de privacidad y comunicaciones electrónicas (Directiva de la CE) de 2003 (512003/2426), la Ley de Regulación de los Poderes de Investigación de 2000, la Ley de Poderes de Investigación de 2016, el Reglamento de Telecomunicaciones (Prácticas comerciales legales) (Intercepción de comunicaciones) de 2000 (SI 2000/2699) y el Reglamento General de Protección de Datos.
El concepto de “Datos” se refiere a cualquier dato contemplado por la legislación de protección de datos, que incluye, entre otros, datos personales y datos confidenciales, según lo define el GDPR.
“GDPR” significa Reglamento General de Protección de Datos.
“Servicios” significa los servicios provistos por el Proveedor como parte del Acuerdo.
“Controlador” tiene el significado provisto en la legislación de protección de datos.
“Asunto de datos” tiene el significado provisto en la legislación de protección de datos.
“Datos personales” tiene el significado provisto en la legislación de protección de datos.
“Procesador” tiene el significado provisto en la legislación de protección de datos.
“Subprocesador” tiene el significado provisto en la legislación de protección de datos.
“Autoridad supervisora” tiene el significado provisto en la legislación de protección de datos.
3. Procesamiento de datos
La Compañía garantiza, declara y se compromete a Quartix, que tiene motivos legales para procesar los datos, que ha informado y continuará informando a los interesados sobre el propósito de procesar los datos y en todo momento deberá cumplir con sus obligaciones en virtud de la legislación en materia de protección de datos.
La Compañía retiene el control de los Datos en los casos en que Quartix ya no tenga el control de los Datos. Quartix mantendrá la confidencialidad de los Datos y aceptará procesar los Datos solo de conformidad con la Legislación de Protección de Datos y las siguientes estipulaciones (en la medida en que sean requeridas por la Legislación de Protección de Datos):
Quartix procesará los Datos:
(i) solo en la medida y de la manera que sea necesaria para la provisión de los Servicios;
(ii) solo en el Espacio Económico Europeo o el Reino Unido, a menos que la transferencia haya sido autorizada por la Compañía o sea a un país que la Comisión Europea o, con respecto a una transferencia desde el Reino Unido, la Comisión Europea o la Autoridad de Supervisión que corresponda, haya decidido, oportunamente, garantizar un nivel adecuado de protección de acuerdo con la legislación de protección de datos, o que la transferencia tenga las salvaguardas apropiadas establecidas de acuerdo al GDPR;
(iii) cuando corresponda según las Cláusulas contractuales estándares (Procesadores) aprobadas por la Comisión Europea en la Decisión C (2010) 593 de la Comisión;
(iv) cuando corresponda según los requisitos del Escudo de privacidad entre la UE y los EE. UU. (o cualquier acuerdo sucesivo oportunamente aprobado por la Comisión Europea) y, en tal caso, deberá tener un registro válido ante el Departamento de Comercio de los EE.UU. para tales efectos.
Quartix se asegurará de que todos los empleados y otros representantes del Proveedor que acceden a los Datos:
(i) conozcan y acepten los presentes Términos;
(ii) hayan recibido capacitación sobre la legislación de protección de datos y las buenas prácticas relacionadas; y
(iii) estén obligados por los acuerdos de confidencialidad correspondientes;
Quartix y la Compañía acuerdan implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado de acuerdo al riesgo.
La Compañía otorga a Quartix el derecho de involucrar a terceros (incluyendo a agentes y subcontratistas) en el procesamiento de los Datos.
Teniendo en cuenta la naturaleza del procesamiento, Quartix adoptará las medidas técnicas y organizativas que sean necesarias para permitirle, en la medida de lo posible, a la Compañía a cumplir con su obligación de responder a las solicitudes de Datos en ejercicio de sus derechos establecidos en el Capítulo III del GDPR: derechos de cancelación, rectificación, acceso, restricción, portabilidad, objeto y derecho a no estar sujeto a la toma automática de decisiones, etc.;
Quartix proporcionará a la Compañía la asistencia necesaria para permitirle cumplir con sus obligaciones en virtud de los artículos 32 a 36 del GDPR: seguridad, notificación de violaciones de datos, comunicación de violaciones de datos a los sujetos referenciados en los datos, evaluaciones de impacto de protección de datos y, según sea necesario, consultas con la OIC (o la Autoridad de Supervisión pertinente);
Quartix mantendrá un registro escrito de todas las categorías de actividades de procesamiento realizadas en nombre de la Compañía, el cual contendrá toda la información requerida por la legislación de protección de datos, y pondrá este registro a disposición de cualquier autoridad de supervisión relevante de la Unión Europea o del Estado miembro (y/o su equivalente en el Reino Unido) cuando el organismo de supervisión correspondiente lo solicite;
En la medida en que lo exija la legislación de protección de datos, Quartix eliminará los datos tan pronto como los datos ya no sean necesarios, o de lo contrario, cuando la Compañía lo solicite razonablemente en cualquier momento. Cuando la Compañía sea un cliente de rastreo de vehículos de flota, tendrá la opción de establecer el período de retención de Datos al iniciar sesión en la aplicación de rastreo de flotas. Cuando Quartix elimine los Datos, la eliminación incluirá la destrucción de todas las copias existentes (en la medida en que lo exija la legislación de protección de datos).
En la medida en que lo exija la legislación de protección de datos, Quartix deberá, si en algún momento así lo solicitara razonablemente la Compañía, poner a disposición de la Compañía la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en los presentes Términos, al igual que dar lugar a las solicitudes razonables de auditoría de la Compañía, siempre que la Compañía compense a Quartix por la totalidad de los costos incurridos para respaldar los requisitos de auditoría (incluidos los costos de horas laborales de empleados), Quartix podrá restringir el acceso a ciertos registros cuando dichos registros sean considerados por Quartix, a la absoluta discreción de Quartix, como comercialmente sensibles, no se realizarán pruebas de penetración, exploración de vulnerabilidades u otras pruebas de seguridad, no se podrán eliminar registros ni copias de los registros de los sitios de Quartix, Quartix deberá ser notificado con una anticipación de 30 días previos a la auditoría y los acuerdos de no divulgación deberán estar firmados por todas las partes que deseen realizar la auditoría (incluyendo a todas las partes que actúen en nombre de la Compañía);
Quartix deberá procurar los arreglos adecuados relacionados con la transferencia segura de los Datos de la Compañía a Quartix y la conservación de los Datos por parte de Quartix;
Quartix mantendrá la integridad de los Datos, sin alteraciones, asegurando que los mismos puedan distinguirse de cualquier otra información generada o recopilada;
En la medida en que lo exija la legislación de protección de datos, Quartix deberá, si la Compañía se lo solicitara razonablemente, devolver, modificar, transferir, copiar o eliminar los Datos en forma inmediata.
4. Aviso de obligaciones, etc
En la medida en que lo exija la legislación sobre protección de datos, Quartix notificará a la Compañía:
inmediatamente después de tener conocimiento de cualquier pérdida, fuga o tratamiento o divulgación no autorizados de cualquier Dato;
inmediatamente después de recibir una notificación de cualquier Autoridad de Supervisión, que se relacione directa o indirectamente con el procesamiento de los Datos Personales de la Compañía y cooperará con dicha Autoridad de Supervisión;
inmediatamente si alguno de los Datos Personales de la Compañía en posesión y/o control de Quartix se perdiera, corrompiera o se vuelva inutilizable por cualquier razón.
5. Terminación
Al vencimiento o terminación de los presentes Términos, Quartix dejará de usar inmediatamente y procurará que sus agentes y subcontratistas dejen de usar los Datos y se encargará de su devolución o destrucción segura (a opción de la Compañía) a su término relevante (a menos que las leyes de la Unión Europea, los Estados miembros y/o el Reino Unido requieran el almacenamiento de los Datos personales).
6. Derechos sobre datos personales
Quartix almacena los datos recopilados como parte de los Servicios en forma agregada y anónima (los “Datos agregados”) y la Compañía otorga permiso para que Quartix lo haga. Quartix adquiere todos los derechos y la propiedad de los Datos agregados en el momento en que los mismos se recopilan y no tendrá la obligación de mantener la confidencialidad, eliminar, devolver o realizar modificaciones a los Datos agregados o cualquier parte de los mismos.
La Compañía otorga permiso a Quartix para ponerse en contacto con sus empleados, directores, funcionarios y otros representantes de forma continua con el fin de proveer los Servicios y con fines de marketing, siempre que la Compañía pueda retirar dicho permiso en cualquier momento con 30 días de antelación.
7. General
Sujeto a la Cláusula 7b, los presentes Términos permanecerán en vigencia incluso después de la finalización del Acuerdo, pero Quartix podrá rescindirlos en cualquier momento antes de la finalización del Acuerdo.
Quartix podrá oportunamente modificar los presentes Términos (actuando de manera razonable), siempre que se le notifique a la Compañía y que la Compañía tenga el derecho y la oportunidad de objetar dichas modificaciones. En el caso de que la Compañía se oponga a las modificaciones propuestas, Quartix tendrá la opción de rescindir los Términos mediante notificación de al menos 30 de anticipación.
Cada Parte acuerda irrevocablemente que los tribunales de Inglaterra y Gales tendrán jurisdicción exclusiva para resolver cualquier disputa o reclamación (incluidas las disputas o reclamaciones no contractuales) que surjan de o estén relacionadas con los presentes Términos o con el objeto o formación de los mismos.
Los encabezados y subtítulos contemplados dentro de los presentes Términos son para meramenre referenciales y no deben formar parte o afectar a la interpretación de dichos Términos.
Si alguna disposición dentro de los Términos fuera considerada inaplicable o irrazonable, en la medida de dicha ilegalidad, invalidez, nulidad, anulación, imposibilidad o falta de razonabilidad, se considerará por separado de los mismos. Las disposiciones restantes de los Términos y el resto de dicha disposición, por lo tanto, continuarán en plena vigencia.