Acuerdo de procesamiento digital

OneTake AI utiliza un sistema de "contenedores" para permitir que la IA de OneTake Chat tenga contexto sobre su negocio y proporcione respuestas totalmente personalizadas, mientras que su Propiedad Intelectual está protegida y no es accesible desde otras cuentas de OneTake Chat.

Acuerdo de procesamiento digital

  1. Relaciones entre procesadores y subprocesadores
    1. El Proveedor como procesador. En situaciones en las que el Cliente sea el Controlador de los Datos Personales del Cliente, el Proveedor será considerado un Procesador que está Procesando Datos Personales en nombre del Cliente.
    2. El Proveedor como Subencargado del tratamiento. En situaciones en las que el Cliente sea un Procesador de los Datos Personales del Cliente, el Proveedor será considerado un Subprocesador de los Datos Personales del Cliente.
  2. Tratamiento
    1. Detalles del tratamiento. El Anexo I(B) de la Portada describe el objeto, la naturaleza, la finalidad y la duración de este Tratamiento, así como las Categorías de Datos Personales recogidos y las Categorías de Interesados.
    2. Instrucciones de tratamiento. El Cliente da instrucciones al Proveedor para que Procese los Datos Personales del Cliente: (a) para proporcionar y mantener el Servicio; (b) según se especifique posteriormente a través del uso del Servicio por parte del Cliente; (c) según se documente en el Contrato; y (d) según se documente en cualquier otra instrucción por escrito dada por el Cliente y reconocida por el Proveedor sobre el Procesamiento de los Datos Personales del Cliente en virtud del presente DPA. El Proveedor acatará estas instrucciones a menos que lo prohíba la Legislación Aplicable. El Proveedor informará inmediatamente al Cliente si no puede seguir las instrucciones de Tratamiento. El Cliente ha dado y sólo dará instrucciones que cumplan con las Leyes Aplicables.
    3. Tratamiento por parte del Proveedor. El Proveedor solo Procesará los Datos Personales del Cliente de conformidad con el presente APD, incluidos los detalles de la Portada. Si el Proveedor actualiza el Servicio para poner al día los productos, características o funcionalidades existentes o incluir otros nuevos, el Proveedor podrá cambiar las Categorías de Sujetos de Datos, las Categorías de Datos Personales, los Datos de Categorías Especiales, las Restricciones o Salvaguardas de Datos de Categorías Especiales, la Frecuencia de Transferencia, la Naturaleza y Finalidad del Tratamiento y la Duración del Tratamiento según sea necesario para reflejar las actualizaciones, notificando al Cliente las actualizaciones y los cambios.
    4. Tratamiento por parte del Cliente. Cuando el Cliente sea un Procesador y el Proveedor sea un Subprocesador, el Cliente cumplirá con todas las Leyes Aplicables que se apliquen al Procesamiento de Datos Personales del Cliente por parte del Cliente. El acuerdo del Cliente con su Responsable del tratamiento exigirá igualmente que el Cliente cumpla todas las Leyes aplicables que se apliquen al Cliente como Responsable del tratamiento. Además, el Cliente cumplirá con los requisitos del Subprocesador en el acuerdo del Cliente con su Controlador.
    5. Consentimiento para el tratamiento. El Cliente ha cumplido y seguirá cumpliendo todas las Leyes de Protección de Datos Aplicables en lo que respecta al suministro de Datos Personales del Cliente al Proveedor y/o al Servicio, incluida la realización de todas las divulgaciones, la obtención de todos los consentimientos, el suministro de opciones adecuadas y la aplicación de las salvaguardas pertinentes exigidas en virtud de las Leyes de Protección de Datos Aplicables.
    6. Subprocesadores.
      1. El Proveedor no proporcionará, transferirá ni entregará ningún Dato Personal del Cliente a un Subprocesador a menos que el Cliente haya aprobado al Subprocesador. La lista actual de Subprocesadores Aprobados incluye las identidades de los Subprocesadores, su país de ubicación y sus tareas de Procesamiento previstas. El Proveedor informará al Cliente con al menos 10 días hábiles de antelación y por escrito de cualquier cambio previsto en los Subprocesadores Aprobados, ya sea por adición o sustitución de un Subprocesador, lo que permite al Cliente disponer de tiempo suficiente para oponerse a los cambios antes de que el Proveedor comience a utilizar los nuevos Subprocesadores. El Proveedor proporcionará al Cliente la información necesaria para que pueda ejercer su derecho a oponerse al cambio de los Subprocesadores autorizados. El Cliente dispone de 30 días tras la notificación de un cambio en los Subprocesadores autorizados para oponerse; de lo contrario, se considerará que acepta los cambios. Si el Cliente se opone al cambio en un plazo de 30 días a partir de la notificación, el Cliente y el Proveedor cooperarán de buena fe para resolver la objeción o el problema del Cliente.
      2. Cuando contrate a un Subencargado del tratamiento, el Proveedor tendrá un acuerdo por escrito con el Subencargado del tratamiento que garantice que éste sólo accede a los Datos personales del cliente y los utiliza (i) en la medida necesaria para cumplir las obligaciones que le han sido subcontratadas, y (ii) de conformidad con los términos del Acuerdo.
      3. Si el GDPR se aplica al Procesamiento de los Datos Personales del Cliente, (i) las obligaciones de protección de datos descritas en este DPA (según lo mencionado en el Artículo 28(3) del GDPR, si corresponde) también se imponen al Subprocesador, y (ii) el acuerdo del Proveedor con el Subprocesador incorporará estas obligaciones, incluidos los detalles sobre cómo el Proveedor y su Subprocesador se coordinarán para responder a las consultas o solicitudes sobre el Procesamiento de los Datos Personales del Cliente. Además, el Proveedor compartirá, a petición del Cliente, una copia de sus acuerdos (incluidas las modificaciones) con sus Subencargados del tratamiento. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el Proveedor podrá redactar el texto de su acuerdo con su Subprocesador antes de compartir una copia.
      4. El Proveedor sigue siendo plenamente responsable de todas las obligaciones subcontratadas a sus Subprocesadores, incluidos los actos y omisiones de sus Subprocesadores en el Tratamiento de los Datos Personales del Cliente. El Proveedor notificará al Cliente cualquier incumplimiento por parte de sus Subprocesadores de una obligación material sobre los Datos Personales del Cliente en virtud del acuerdo entre el Proveedor y el Subprocesador.
  3. Transferencias restringidas
    1. Autorización. El Cliente acepta que el Proveedor pueda transferir Datos Personales del Cliente fuera del EEE, el Reino Unido u otro territorio geográfico pertinente según sea necesario para prestar el Servicio. Si el Proveedor transfiere Datos Personales del Cliente a un territorio para el que la Comisión Europea u otra autoridad supervisora pertinente no haya emitido una decisión de adecuación, el Proveedor aplicará las salvaguardas adecuadas para la transferencia de Datos Personales del Cliente a dicho territorio de conformidad con las Leyes de Protección de Datos Aplicables.
    2. Transferencias fuera del EEE. El Cliente y el Proveedor acuerdan que si el GDPR protege la transferencia de Datos Personales del Cliente, la transferencia es del Cliente desde dentro del EEE al Proveedor fuera del EEE, y la transferencia no se rige por una decisión de adecuación tomada por la Comisión Europea, entonces al celebrar este DPA, se considera que el Cliente y el Proveedor han firmado los CCE del EEE y sus Anexos, que se incorporan por referencia. Dicha transferencia se realiza de conformidad con los CCE del EEE, que se completan del siguiente modo:
      1. El Módulo Dos (Responsable del tratamiento a Encargado del tratamiento) de los CEC del EEE se aplica cuando el Cliente es un Responsable del tratamiento y el Proveedor está tratando Datos personales del Cliente para el Cliente como Encargado del tratamiento.
      2. El Módulo Tres (Encargado del Tratamiento a Subencargado del Tratamiento) de los CCE del EEE se aplica cuando el Cliente es un Encargado del Tratamiento y el Proveedor está tratando Datos Personales del Cliente en nombre del Cliente como Subencargado del Tratamiento.
      3. Para cada módulo, se aplica lo siguiente (cuando proceda):
        1. No se aplica la cláusula de acoplamiento opcional de la cláusula 7;
        2. En la Cláusula 9, se aplica la Opción 2 (autorización general por escrito), y el plazo mínimo para la notificación previa de cambios de Subprocesador es de 10 días hábiles;
        3. En la cláusula 11 no se aplica el lenguaje opcional;
        4. Se suprimen todos los corchetes de la cláusula 13;
        5. En la Cláusula 17 (Opción 1), las CEC del EEE se regirán por las leyes del Estado miembro rector;
        6. En la cláusula 18(b), los litigios se resolverán en los tribunales del Estado miembro rector; y
        7. La portada de la presente DPA contiene la información exigida en los anexos I, II y III de las CEC del EEE.
    3. Transferencias Ex-UK. El Cliente y el Proveedor acuerdan que si el GDPR del Reino Unido protege la transferencia de Datos Personales del Cliente, la transferencia es del Cliente desde dentro del Reino Unido al Proveedor fuera del Reino Unido, y la transferencia no se rige por una decisión de adecuación tomada por el Secretario de Estado del Reino Unido, entonces al celebrar este DPA, se considera que el Cliente y el Proveedor han firmado el Anexo del Reino Unido y sus Anexos, que se incorporan por referencia. Cualquier transferencia de este tipo se realiza de conformidad con el Anexo del Reino Unido, que se completa de la siguiente manera:
      1. La sección 3.2 de esta DPA contiene la información requerida en la Tabla 2 del Addendum del Reino Unido.
      2. La tabla 4 de la Adenda británica se modifica como sigue: Ninguna de las partes podrá poner fin al Addendum del Reino Unido según lo establecido en la Sección 19 del Addendum del Reino Unido; en la medida en que el ICO emita un Addendum Aprobado revisado en virtud de la Sección 18 del Addendum del Reino Unido, las partes trabajarán de buena fe para revisar el presente APD en consecuencia.
      3. La portada contiene la información exigida en los anexos 1A, 1B, II y III del apéndice del Reino Unido.
    4. Otras transferencias internacionales. Para las transferencias de datos personales en las que la legislación suiza (y no la legislación de cualquier Estado miembro del EEE o del Reino Unido) se aplica a la naturaleza internacional de la transferencia, las referencias al RGPD en la cláusula 4 de los CCE del EEE se modifican, en la medida en que sea legalmente necesario, para hacer referencia a la Ley Federal Suiza de Protección de Datos o a su sucesora, y el concepto de autoridad supervisora incluirá al Comisario Federal Suizo de Protección de Datos e Información.
  4. Respuesta a incidentes de seguridad
    1. Al tener conocimiento de cualquier Incidente de Seguridad, el Proveedor deberá: (a) notificar al Cliente sin demora indebida cuando sea factible, pero a más tardar 72 horas después de tener conocimiento del Incidente de Seguridad; (b) proporcionar información oportuna sobre el Incidente de Seguridad a medida que se conozca o cuando el Cliente lo solicite razonablemente; y (c) tomar rápidamente medidas razonables para contener e investigar el Incidente de Seguridad. La notificación o respuesta del Proveedor a una incidencia de seguridad según lo dispuesto en el presente Acuerdo de colaboración en materia de seguridad no se interpretará como un reconocimiento por parte del Proveedor de culpa o responsabilidad alguna por la incidencia de seguridad.
  5. Auditoría e informes
    1. Derechos de auditoría. El Proveedor proporcionará al Cliente toda la información razonablemente necesaria para demostrar su cumplimiento del presente APD y permitirá y contribuirá a las auditorías, incluidas las inspecciones por parte del Cliente, para evaluar el cumplimiento del presente APD por parte del Proveedor. No obstante, el Proveedor podrá restringir el acceso a datos o información si el acceso del Cliente a la información pudiera afectar negativamente a los derechos de propiedad intelectual del Proveedor, sus obligaciones de confidencialidad u otras obligaciones en virtud de la Legislación Aplicable. El Cliente reconoce y acepta que sólo ejercerá sus derechos de auditoría en virtud del presente DPA y cualquier derecho de auditoría concedido por las Leyes de Protección de Datos Aplicables dando instrucciones al Proveedor para que cumpla con los requisitos de información y diligencia debida que se indican a continuación. El Proveedor mantendrá registros de su cumplimiento del presente APD durante 3 años tras la finalización del APD.
    2. Informes de seguridad. El Cliente reconoce que el Proveedor es auditado periódicamente por auditores externos independientes en relación con las normas definidas en la Política de seguridad. Previa solicitud por escrito, el Proveedor entregará al Cliente, de forma confidencial, una copia resumida de su Informe vigente en ese momento para que el Cliente pueda verificar el cumplimiento por parte del Proveedor de las normas definidas en la Política de seguridad.
    3. Diligencia debida en materia de seguridad. Además del Informe, el Proveedor responderá a las solicitudes razonables de información realizadas por el Cliente para confirmar el cumplimiento del presente DPA por parte del Proveedor, incluidas las respuestas a cuestionarios de seguridad de la información, diligencia debida y auditoría, o proporcionando información adicional sobre su programa de seguridad de la información. Todas estas solicitudes deberán realizarse por escrito y dirigirse al Contacto de seguridad del Proveedor, y sólo podrán realizarse una vez al año.
  6. Coordinación y cooperación
    1. Respuesta a consultas. Si el Proveedor recibe cualquier consulta o solicitud de cualquier otra persona sobre el Tratamiento de los Datos Personales del Cliente, el Proveedor notificará al Cliente sobre la solicitud y el Proveedor no responderá a la solicitud sin el consentimiento previo del Cliente. Ejemplos de este tipo de consultas y solicitudes incluyen una orden judicial o administrativa o de un organismo regulador sobre los Datos Personales del Cliente cuando la Ley Aplicable no prohíba notificar al Cliente, o una solicitud de un interesado. Si lo permite la Ley aplicable, el Proveedor seguirá las instrucciones razonables del Cliente sobre estas solicitudes, incluido el suministro de actualizaciones de estado y otra información razonablemente solicitada por el Cliente. Si un sujeto de datos realiza una solicitud válida en virtud de la legislación aplicable en materia de protección de datos para eliminar o excluir la entrega de datos personales del Cliente al Proveedor, el Proveedor ayudará al Cliente a satisfacer la solicitud de conformidad con la legislación aplicable en materia de protección de datos. El Proveedor cooperará con el Cliente y le prestará asistencia razonable, a expensas del Cliente, en cualquier respuesta legal u otra acción procesal emprendida por el Cliente en respuesta a una solicitud de terceros sobre el Tratamiento por parte del Proveedor de los Datos personales del Cliente en virtud del presente APD.
    2. DPIA y DTIA. Si así lo exigen las Leyes de protección de datos aplicables, el Proveedor ayudará razonablemente al Cliente a realizar las evaluaciones de impacto sobre la protección de datos o las evaluaciones de impacto sobre la transferencia de datos y las consultas con las autoridades de protección de datos pertinentes, teniendo en cuenta la naturaleza del Tratamiento y los Datos personales del Cliente.
  7. Supresión de datos personales de clientes
    1. Eliminación por parte del Cliente. El Proveedor permitirá al Cliente eliminar los Datos Personales del Cliente de forma coherente con la funcionalidad de los Servicios. El Proveedor cumplirá esta instrucción tan pronto como sea razonablemente posible, excepto cuando la legislación aplicable exija que se sigan almacenando los Datos Personales del Cliente.
    2. Supresión a la expiración del APD.
      1. Tras la expiración del APD, el Proveedor devolverá o eliminará los Datos Personales del Cliente siguiendo las instrucciones del Cliente, a menos que la Legislación Aplicable exija o autorice el almacenamiento adicional de los Datos Personales del Cliente. Si la devolución o destrucción es impracticable o está prohibida por las Leyes Aplicables, el Proveedor hará esfuerzos razonables para evitar el Procesamiento adicional de los Datos Personales del Cliente y continuará protegiendo los Datos Personales del Cliente que permanezcan en su posesión, custodia o control. Por ejemplo, las Leyes aplicables pueden exigir que el Proveedor continúe alojando o procesando los Datos personales del cliente.
      2. Si el Cliente y el Proveedor han suscrito los CCE del EEE o el Addendum del Reino Unido como parte del presente APD, el Proveedor sólo entregará al Cliente la certificación de eliminación de Datos Personales descrita en la Cláusula 8.1(d) y la Cláusula 8.5 de los CCE del EEE si el Cliente la solicita.
  8. Limitación de responsabilidad
    1. Límites de responsabilidad y exención de daños. En la medida máxima permitida por la legislación aplicable en materia de protección de datos, la responsabilidad total acumulada de cada una de las partes frente a la otra parte que se derive o esté relacionada con el presente APD estará sujeta a las exenciones, exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.
    2. Reclamaciones de partes relacionadas. Cualquier reclamación contra el Proveedor o sus Afiliadas derivada o relacionada con el presente APD solo podrá ser presentada por la entidad del Cliente que sea parte del Acuerdo.
    3. Excepciones. El presente APD no limita ninguna responsabilidad frente a una persona sobre los derechos de protección de datos de la persona en virtud de la legislación aplicable en materia de protección de datos. Además, el presente APD no limita ninguna responsabilidad entre las partes por infracciones de los CCE del EEE o del Addendum del Reino Unido.
  9. Conflictos entre documentos
    1. El presente APD forma parte del Acuerdo y lo complementa. Si existe alguna incoherencia entre el presente APD, el Acuerdo o cualquiera de sus partes, la parte enumerada anteriormente prevalecerá sobre la parte enumerada posteriormente para dicha incoherencia: (1) los CCE del EEE o el Apéndice del Reino Unido, (2) el presente APD y, a continuación, (3) el Acuerdo.
  10. Duración del acuerdo
    1. El presente APD se iniciará cuando el Proveedor y el Cliente acuerden una Portada para el APD y firmen o acepten electrónicamente el Acuerdo, y continuará hasta que el Acuerdo expire o se rescinda. No obstante, tanto el Proveedor como el Cliente seguirán sujetos a las obligaciones del presente APD y a las Leyes de Protección de Datos Aplicables hasta que el Cliente deje de transferir Datos Personales del Cliente al Proveedor y el Proveedor deje de Procesar Datos Personales del Cliente.
  11. Definiciones
    1. "Leyes aplicables" significa las leyes, normas, reglamentos, órdenes judiciales y otros requisitos vinculantes de una autoridad gubernamental pertinente que se aplican o rigen a una parte.
    2. "Leyes aplicables de protección de datos" se refiere a las Leyes aplicables que rigen la forma en que el Servicio puede procesar o utilizar la información personal de un individuo, datos personales, información de identificación personal u otro término similar.
    3. "Responsable del Tratamiento" tendrá el significado o significados que la Legislación Aplicable en materia de Protección de Datos otorga a la empresa que determina la finalidad y el alcance del Tratamiento de los Datos Personales.
    4. "Portada" se refiere a un documento firmado o aceptado electrónicamente por las partes que incorpora las presentes Condiciones tipo de la APD e identifica al Proveedor, al Cliente y el objeto y los detalles del tratamiento de datos.
    5. "Datos Person ales del Cliente" se refiere a los Datos Personales que el Cliente carga o proporciona al Proveedor como parte del Servicio y que se rigen por la presente DPA.
    6. "DPA" se refiere a las presentes Condiciones Generales DPA, la Portada entre el Proveedor y el Cliente, y las políticas y documentos a los que se hace referencia o que se adjuntan a la Portada.
    7. "Cláusulas contractuales tipo del EEE ": las cláusulas contractuales tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo Europeo.
    8. Por "Espacio Económico Europeo" o "EEE " se entienden los Estados miembros de la Unión Europea, Noruega, Islandia y Liechtenstein.
    9. "GDPR" significa el Reglamento de la Unión Europea 2016/679 según lo implementado por la legislación local en la nación miembro del EEE correspondiente.
    10. "Datos Personales" tendrá el significado o significados que las Leyes de Protección de Datos Aplicables otorgan a la información personal, datos personales u otro término similar.
    11. "Tratamiento" o "Proceso" tendrá el(los) significado(s) dado(s) en las Leyes de Protección de Datos Aplicables para cualquier uso de, o realización de una operación informática sobre, Datos Personales, incluyendo por métodos automáticos.
    12. "Encargado del Tratamiento" tendrá el significado o significados que la Legislación Aplicable en materia de Protección de Datos otorga a la empresa que trata Datos Personales por cuenta del Responsable del Tratamiento.
    13. "Informe" se refiere a los informes de auditoría elaborados por otra empresa de acuerdo con las normas definidas en la Política de Seguridad en nombre del Proveedor.
    14. "Transferencia restringida" significa (a) cuando se aplica el GDPR, una transferencia de datos personales desde el EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea; y (b) cuando se aplica el GDPR del Reino Unido, una transferencia de datos personales desde el Reino Unido a cualquier otro país que no esté sujeto a las regulaciones de adecuación adoptadas de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018.
    15. "Incidente de Seguridad" significa una Violación de Datos Personales tal como se define en el artículo 4 del GDPR.
    16. "Servicio" significa el producto y/o los servicios descritos en el Contrato.
    17. "Datos de categoría especial" tendrán el significado que se les da en el artículo 9 del GDPR.
    18. "Subencargado del tratamiento" tendrá el/los significado(s) dado(s) en las Leyes de Protección de Datos Aplicables para una empresa que, con la aprobación y aceptación del Responsable del Tratamiento, asiste al Encargado del Tratamiento en el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
    19. "GDPR del Reino Unido" significa el Reglamento 2016/679 de la Unión Europea según lo implementado por la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 del Reino Unido en el Reino Unido.
    20. "Adenda del Reino Unido" significa la adenda de transferencia internacional de datos a los CCE del EEE emitida por el Comisionado de Información para las Partes que realizan Transferencias Restringidas en virtud de S119A(1) Data Protection Act 2018.