Acuerdo de procesamiento de datos del cliente
Acuerdo de procesamiento de datos del cliente de TestGorilla
Este Acuerdo de Procesamiento de Datos, incluidos sus Anexos y Apéndices, (“DPA”) se incorpora y forma parte del Acuerdo entre el Cliente y TestGorilla B.V. (“TestGorilla”).
1. Alcance
Este DPA entre el Cliente y, si corresponde, los Afiliados del Cliente, y TestGorilla contiene los términos y condiciones legales que se aplican al tratamiento de los Datos del Usuario Final, que pueden incluir datos personales, por cualquiera de los Servicios.
2. Definiciones
En la medida en que no esté ya definido en el Acuerdo, se aplicarán las siguientes definiciones a lo largo de este DPA:
“Acuerdo” es el Acuerdo de Usuario Final de TestGorilla, a menos que exista un acuerdo separado que rija el uso de los Servicios entre las partes.
“Leyes de Protección de Datos” se refieren a las leyes de protección de datos aplicables a TestGorilla en su procesamiento de datos personales bajo este DPA, incluyendo, cuando corresponda, el RGPD y la CCPA.
“DPA” se refiere a este Acuerdo de Procesamiento de Datos del Cliente.
“Datos del Usuario Final” son los datos a los que los Servicios pueden acceder o recopilar durante la relación regida por el Acuerdo, en forma de registros, datos de sesión, telemetría, datos de usuario, datos de uso, datos de inteligencia de amenazas y copias de archivos potencialmente maliciosos detectados por el Producto. Los datos de usuario final pueden incluir datos confidenciales y datos personales, como direcciones IP de origen y destino, información de directorio activo, aplicaciones de archivos, URL, nombres de archivos y contenido de archivos.
“RGPD” se refiere al Reglamento General de Protección de Datos 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos.
“Medidas de Seguridad de la Información” son las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, como se describe en las MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN DE TESTGORILLA.
“Incidente de Seguridad” se refiere a cualquier acceso no autorizado a cualquier Información del Usuario Final almacenada en los equipos de TestGorilla o en las instalaciones de TestGorilla, o acceso no autorizado a dichos equipos o instalaciones que resulten en la pérdida, divulgación o alteración de los Datos del Usuario Final que comprometa la privacidad, seguridad o confidencialidad de dichos Datos del Usuario Final.
Los términos utilizados en este DPA que se definen específicamente en el RGPD tendrán el mismo significado que se establece en el RGPD. Los términos utilizados en este DPA que no se definen específicamente en el RGPD tendrán el mismo significado que se establece en el Acuerdo.
3. Responsabilidades del tratamiento de datos personales como procesador
En la medida en que TestGorilla trate datos personales en nombre del Cliente como procesador (según lo definido por las Leyes de Protección de Datos aplicables), TestGorilla lo hará solo siguiendo instrucciones documentadas del Cliente de conformidad con este DPA y el Acuerdo, para operar los Servicios, y según lo permitido o requerido por la ley aplicable. Dichas instrucciones pueden incluir la configuración del Producto por parte del Cliente. TestGorilla informará inmediatamente al Cliente si, en su opinión, una instrucción infringe las Leyes de Protección de Datos aplicables.
En la medida en que TestGorilla procese datos personales como procesador según lo definido por las Leyes de Protección de Datos aplicables, se aplicará lo siguiente:
Tratamiento requerido por la ley
En caso de que la ley aplicable requiera que TestGorilla trate los datos personales del Cliente, TestGorilla llevará a cabo dicho tratamiento y notificará al Cliente sobre ese requisito legal, a menos que la notificación esté prohibida por la ley aplicable, dando al Cliente la capacidad de emitir instrucciones revisadas o dejar de usar los Servicios.
Cumplimiento de las Leyes de Protección de Datos aplicables
TestGorilla tratará los datos personales del Cliente de acuerdo con las Leyes de Protección de Datos aplicables y pondrá a disposición del Cliente, previa solicitud, la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del RGPD y otras Leyes de Protección de Datos aplicables.
Solicitudes de datos de personas interesadas
TestGorilla proporcionará asistencia razonable al Cliente para cumplir con sus obligaciones con respecto a los derechos de las personas interesadas en virtud de las Leyes de Protección de Datos aplicables, teniendo en cuenta la naturaleza del procesamiento de datos y la información disponible para TestGorilla. Si TestGorilla o cualquier subprocesador recibe una solicitud o una queja de una persona interesada o su representante, incluidas las solicitudes relacionadas con los derechos de personas interesadas en virtud de las Leyes de Protección de Datos aplicables, TestGorilla reenviará la solicitud sin demora indebida al Cliente para su manejo a menos que TestGorilla esté obligado por ley a abordar esa solicitud. El Cliente autoriza a TestGorilla a compartir los datos de las pruebas proporcionados por una persona interesada con esta persona interesada en caso de que esta última solicite dichos datos a TestGorilla directamente.
Evaluación de Impacto de la Protección de Datos
A solicitud por escrito del Cliente, TestGorilla proporcionará al Cliente la cooperación y asistencia razonables necesarias para cumplir con la obligación del Cliente bajo las Leyes de Protección de Datos aplicables de llevar a cabo una evaluación de impacto de protección de datos relacionada con el uso de los Servicios por parte del Cliente. TestGorilla también proporcionará asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Supervisión, en la medida requerida por las Leyes de Protección de Datos aplicables.
Personal Autorizado
TestGorilla se asegurará de que el personal autorizado que procesa los datos personales del Cliente se haya comprometido a mantener la confidencialidad o esté sujeto a la obligación legal de confidencialidad correspondiente. Además, excepto cuando lo exija la ley aplicable, TestGorilla no compartirá los datos personales del Cliente con terceros que no sean subprocesadores autorizados.
Subprocesadores El Cliente autoriza a TestGorilla a contratar a los subprocesadores (identificados en el Apéndice 1 de este acuerdo) para procesar datos personales. En el caso de que TestGorilla contrate a un nuevo subprocesador, hará lo siguiente:
notificar al Cliente a través del portal de soporte dentro de los quince (15) días posteriores a dicho cambio para darle al Cliente la oportunidad de oponerse a dicho subprocesamiento. Si el Cliente se opone a un nuevo subprocesador, TestGorilla se esforzará por ofrecer opciones alternativas para la entrega del Producto relevante que no implique al nuevo subprocesador, sin perjuicio de ninguno de los derechos de rescisión del Cliente;
imponer al subprocesador obligaciones contractuales apropiadas que no son menos protectoras que este DPA; y
seguirá siendo responsable del cumplimiento de este DPA por parte del subprocesador y de cualquier acto u omisión del subprocesador que haga que TestGorilla incumpla cualquiera de sus obligaciones en virtud de este DPA.
Transferencias transfronterizas
Si los datos personales del Cliente se transfieren fuera del Espacio Económico Europeo o Suiza, TestGorilla cumplirá con la ley de protección de datos del Espacio Económico Europeo y Suiza con respecto a la recopilación, uso, transferencia, retención y otro procesamiento de datos personales del Espacio Económico Europeo y Suiza. Las transferencias de datos estarán sujetas a las garantías apropiadas, como se describe en el artículo 46 del RGPD. Las Cláusulas Contractuales Estándar adoptadas por la Comisión Europea el 4 de junio de 2021, junto con sus anexos, se incorporan al presente documento por referencia y forman parte del mismo. Como resultado de la decisión de Schrems II, TestGorilla ha implementado medidas de seguridad técnicas y organizativas complementarias adecuadas. Estas medidas se describen en las Medidas de Seguridad de la Información. La ejecución de este DPA constituirá la ejecución de las Cláusulas Contractuales Estándar. En caso de cualquier conflicto o inconsistencia entre este DPA y las Cláusulas contractuales estándar, prevalecerán las Cláusulas contractuales estándar.
Salvaguardar la Confidencialidad y Seguridad de los Datos Personales TestGorilla ha implementado prácticas y políticas para mantener medidas organizativas, físicas y técnicas adecuadas para salvaguardar la confidencialidad y seguridad de los datos personales del Cliente, teniendo en cuenta la tecnología de vanguardia, los costos de implementación, la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como los derechos y libertades de las personas físicas, incluyendo según corresponda:
la seudonimización, desidentificación o cifrado de datos;
la capacidad de restaurar la disponibilidad y el acceso a los datos personales del Cliente de manera oportuna en caso de un incidente físico o técnico; y
un proceso para probar, valorar y valorar regularmente la efectividad de las Medidas de Seguridad de la Información de TestGorilla.
Plan de Respuesta a Incidentes
TestGorilla implementará y mantendrá un plan de respuesta a incidentes que especifique las acciones, incluida la contención, investigación, notificación y saneamiento, que se tomarán en caso de un Incidente de Seguridad.
Incidente de Seguridad
En caso de un Incidente de Seguridad que afecte los datos personales del Cliente, TestGorilla, sin demora indebida: (a) informará al Cliente del Incidente de Seguridad; (b) investigará y proporcionará al Cliente la información detallada disponible sobre el Incidente de Seguridad; y (c) tomará las medidas razonables para mitigar los efectos y minimizar cualquier daño resultante del Incidente de Seguridad como lo requieren las Leyes de Protección de Datos aplicables.
Auditoría
TestGorilla pondrá a disposición del Cliente, previa solicitud por escrito, sujeto a las obligaciones de confidencialidad apropiadas, una copia resumida de los informes de auditoría de terceros o certificaciones aplicables que mantenga para sus Servicios (por ejemplo, la norma ISO 27001 o SOC2 Tipo II), para que el Cliente pueda verificar el cumplimiento de TestGorilla con este DPA, las normas de auditoría contra las cuales se ha evaluado y las normas especificadas en las Medidas de Seguridad.
Retención y eliminación
TestGorilla procesará y retendrá los datos personales del Cliente no más tiempo del necesario para los fines para los que se procesan. A la terminación de este DPA o el Acuerdo, TestGorilla deberá: (i) eliminar los datos personales del Cliente que ya no sean necesarios para llevar a cabo ninguno de los propósitos bajo este DPA o el Acuerdo; o (ii) a solicitud del Cliente, proporcionar opciones para devolver o borrar, destruir y hacer irrecuperables los datos personales del Cliente, cuando sea razonablemente posible. Este apartado no se refiere a los datos personales de los sujetos de datos fuera del Cliente, como los resultados de las pruebas.
4. Detalles de los datos personales que se procesan
Asunto: el tema del Tratamiento de este DPA es la Información Personal del Cliente.
Duración: TestGorilla puede tratar la Información Personal del Cliente bajo este DPA hasta la terminación o vencimiento del Acuerdo.
Propósito: el propósito del Tratamiento de la Información Personal del Cliente de este DPA es permitir que TestGorilla entregue los Servicios y cumpla con sus obligaciones según lo establecido en el Acuerdo (incluido este DPA) o según lo acordado por las Partes en forma escrita mutuamente ejecutada.
Naturaleza del Tratamiento: para proporcionar Servicios como se describe en el Acuerdo, TestGorilla tratará la Información Personal del Cliente según las instrucciones del Cliente y de acuerdo con los términos de este DPA, incluidos todos los Apéndices aplicables y el Acuerdo.
Categorías de Sujetos de Datos: el Cliente determina las categorías y el alcance de cualquier Información Personal del Cliente que divulgue a TestGorilla, que puede incluir, entre otras, Información Personal del Cliente relacionada con las siguientes categorías de Sujetos de Datos:
Empleados, contratistas, consultores e individuos relacionados con el Cliente, o a la fuerza laboral de clientes y socios del Cliente;
Candidatos que solicitan un puesto vacante de Cliente;
Otras personas cuya información personal se procesa como parte de la prestación de los Servicios.
Categorías de Información Personal: el Cliente determina las categorías de cualquier Información Personal que divulgue a TestGorilla, que puede incluir, entre otras, Información Personal del Cliente relacionada con las siguientes categorías:
Datos de identificación y contacto (p. ej., nombre, dirección, número de teléfono, título, correo electrónico, otros datos de contacto);
Detalles del empleo (p. ej., puesto de trabajo, cargo, gerente);
Respuestas a preguntas de prueba y resultados de pruebas;
Información de TI (p. ej., derechos, direcciones IP, datos de uso, datos de cookies, identificadores en línea);
Información de dominio y dispositivo (p. ej., nombres de host y nombres de host calificados);
Información contenida en registros relacionados con eventos de seguridad identificados y capturados por los Servicios; y/o
Datos no estructurados proporcionados a TestGorilla con el propósito de proporcionar servicios de soporte (p. ej., captura de paquetes (PCAP) para pruebas de archivos).
Datos confidenciales transferidos (si corresponde): al tratar la Información Personal, principalmente con investigaciones forenses Producto cuyo propósito es identificar los datos subyacentes, TestGorilla puede tratar la Información Personal sensible. La naturaleza y el alcance de los datos confidenciales que se transfieren pueden no conocerse hasta después de que se haya realizado el Tratamiento y pueden incluir: Información Personal que revele el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o membresía sindical, datos genéticos, datos biométricos, datos relacionados con la salud o datos sobre la vida sexual u orientación sexual de una persona física.
Frecuencia: La transferencia de información entre las Partes para facilitar el Tratamiento de TestGorilla en nombre del Cliente se producirá según sea necesario hasta la terminación del Acuerdo.
5. Procesamiento de datos de usuario final
El Cliente puede configurar los Servicios para compartir y transferir los Datos del Usuario Final (como se describe en la documentación del Producto aplicable). El Cliente reconoce, acepta y otorga a TestGorilla el derecho, en la medida en que lo permita la ley aplicable, a tratar y retener datos, incluidos los datos personales, relacionados con un evento de seguridad, que el Cliente comparta o transfiera, para el interés legítimo de operar, proporcionar, mantener, desarrollar y mejorar las tecnologías y servicios de seguridad, incluso para fines compatibles con la prestación de dichos servicios.
6. Cumplimiento de las leyes
Las partes tratarán los datos personales de acuerdo con las Leyes de Protección de Datos aplicables. El Cliente declara y garantiza que el uso de los Servicios por su parte, su autorización para el acceso de TestGorilla y cualquier envío de datos relacionado, incluidos los datos personales del Cliente, a TestGorilla, cumple con todas las leyes aplicables, incluidas las relacionadas con la privacidad de los datos, la seguridad de los datos, la comunicación electrónica y la exportación de datos técnicos, personales o confidenciales.
7. Cumplimiento de la PCI
TestGorilla no es un procesador de pagos y, como tal, no está sujeto al cumplimiento de las normas PCI. Sin embargo, TestGorilla reconoce que el Cliente puede proporcionar información de la tarjeta de crédito durante la prestación o el uso de los Servicios y, por lo tanto, TestGorilla utilizará controles de seguridad de datos de información que cumplan con los estándares PCI.
8. Limitación de responsabilidad
Este DPA no modifica la responsabilidad de TestGorilla, ya sea por contrato, agravio o bajo cualquier otra teoría de responsabilidad, hacia el Cliente en función de otros términos vigentes entre el Cliente y TestGorilla.
9. Conflicto de términos
En caso de conflicto entre los términos de este DPA y otros términos vigentes entre el Cliente y TestGorilla, prevalecerán los términos de este DPA con respecto a las actividades de procesamiento de datos.
Apéndice 1 de DPA: Lista de subprocesadores
Subprocesador | Descripción de datos |
|---|---|
AWS | Datos de clientes y candidatos |
Hubspot | Datos de Clientes para la aplicación de Gestión de Relaciones con los Clientes (CRM) |
Chargebee | Datos de suscripción y financieros |
Datos de rendimiento de anuncios y sitios web | |
Zendesk | Datos del cliente y del Candidato para ofrecer soporte |
Mixpanel | Uso de los datos de clientes y candidatos |
Stripe | Datos de pago |
Vimeo | Datos de candidatos y clientes para servicios de video |
Paypal | Datos de pago |
IPQuality | Datos de validez del correo electrónico |
Webinar geek | Datos de clientes para la formación y el registro de eventos |
SendinBlue | Datos del correo electrónico y del cliente |