De acuerdo con los Términos de Servicio (los “ Términos ”), Smartsupp le proporciona el Servicio según lo estipulado en los Términos a usted como usuario del Servicio. La relación entre Smartsupp y el usuario se basa en un proceso de registro en línea del usuario o mediante un contrato escrito o electrónico al que se adjuntan los Términos que, en conjunto, forman un acuerdo entre usted y Smartsupp (el “ Acuerdo ”). Este anexo de procesamiento de datos (en adelante, el “ DPA ”) forma parte integral del Acuerdo.
Las palabras que comienzan con letras mayúsculas tendrán el mismo significado que el establecido en los Términos o cualquier otro anexo al que se haga referencia en los Términos, a menos que se indique lo contrario en este DPA.
Smartsupp concluye este DPA de conformidad con las leyes de protección de datos aplicables, como el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (“ RGPD ”) , la Ley de Protección de Datos de 2018 o CCPA/CPRA y también de conformidad con otras leyes de privacidad que sean aplicables durante la prestación del Servicio en virtud del Acuerdo (“ leyes de privacidad aplicables ”).
Cuando este DPA estipule que Smartsupp actúa como encargado del tratamiento de datos personales, tendrá el significado que se le atribuye a “encargado del tratamiento” en virtud del RGPD y otros términos equivalentes en virtud de otras leyes de privacidad aplicables (por ejemplo, “Proveedor de servicios” según se define en la CCPA). Cuando este DPA estipule que usted actúa como responsable del tratamiento de datos personales, tendrá el mismo significado que se le atribuye a “responsable del tratamiento” en virtud del RGPD y otros términos equivalentes en virtud de otras leyes de privacidad aplicables (por ejemplo, “Empresa” según se define en la CCPA).
1. DISPOSICIONES INTRODUCTORIAS
1.1 Tratamiento de datos personales en calidad de encargado del tratamiento de datos personales. Smartsupp podrá tratar datos personales en nombre del usuario cuando se le preste el Servicio y Smartsupp actuará entonces como encargado del tratamiento de datos personales (o subencargado del tratamiento de datos personales) en relación con el usuario.
Las actividades de procesamiento realizadas por Smartsupp surgen del registro, del Acuerdo o de solicitudes documentadas realizadas por el usuario durante la prestación del Servicio a través de la plataforma disponible en https://www.smartsupp.com (la “ Plataforma ”).
1.2 Autorización para el tratamiento de datos personales. El usuario autoriza a Smartsupp a tratar los datos personales de los interesados que el usuario haya facilitado de conformidad con el Servicio, tal y como se establece en el presente DPA. Smartsupp tratará los datos personales del usuario de acuerdo con las instrucciones documentadas del usuario y únicamente en la medida necesaria para el correcto cumplimiento de las obligaciones de Smartsupp en virtud del Contrato.
1.3 Responsabilidad del usuario . Como Smartsupp actúa como encargado del tratamiento de datos personales, el usuario actúa como responsable del tratamiento y, por tanto, es responsable de cumplir con todas las obligaciones relacionadas con el tratamiento de datos personales. Entre estas obligaciones se encuentran la de informar adecuadamente a los interesados sobre el tratamiento de los datos personales, obtener el consentimiento para el tratamiento de los datos personales, si es necesario, y gestionar las solicitudes de los interesados en relación con el ejercicio de sus derechos (como el derecho de información, acceso, corrección, supresión, limitación del tratamiento, oposición, etc.). Smartsupp ayudará al usuario a cumplir con estas obligaciones a través de la Plataforma o mediante solicitudes documentadas del usuario. Sin embargo, Smartsupp no es responsable en modo alguno de la exactitud y legalidad de las actividades del usuario, incluida cualquier actividad que pueda violar cualquier legislación en materia de privacidad u otra legislación estipulada en el país desde el que el usuario utiliza el Servicio.
2. OBJETO DEL TRATAMIENTO, CATEGORÍA DE LOS INTERESADOS Y TIPO DE DATOS PERSONALES
2.1 Objeto del tratamiento . El objeto del tratamiento de los datos personales, que se define a continuación, por parte de Smartsupp es la prestación del Servicio tal y como se establece en el Contrato, en particular el tratamiento de los datos personales cuando usted utiliza las funciones de nuestro Servicio tal y como se describen en el Sitio web.
2.2 Tipos de datos personales . En el marco del cumplimiento de las obligaciones derivadas del Contrato y de la prestación del Servicio, podrán tratarse los siguientes tipos de datos personales de conformidad con el presente DPA:
a) información de contacto, como nombre, apellido, dirección de correo electrónico, número de teléfono o contacto de cuenta de red social,
b) detalles sobre la visita del usuario al sitio web, como la URL del sitio web visitado, la fecha y hora de la visita al sitio web, información técnica (resolución de pantalla, tipo de dispositivo, tipo de navegador, sistema operativo, etc.), dirección IP, datos de geolocalización (país y ciudad desde la que el usuario visitó su sitio web),
c) información contenida en las conversaciones entre usuarios y clientes u otros usuarios al utilizar las funcionalidades del Servicio,
d) registros técnicos y otra información sobre los usuarios que utilizan el Servicio (Smartsupp utiliza herramientas de terceros para capturar dicha información),
e) otros datos personales cargados o utilizados de cualquier otra forma por el usuario, o
f) los datos personales cuyo tipo, extensión y detalles son determinados y controlados por el usuario a su entera discreción durante la prestación del Servicio.
El alcance de los datos personales depende del tipo de funciones del Servicio que utilice el usuario. El Servicio no está destinado a almacenar categorías especiales de datos personales. El usuario no utilizará el Servicio para almacenar o procesar categorías especiales de datos personales. Si el usuario procesa dichos datos a través del Servicio, Smartsupp no asume ninguna responsabilidad por dicho procesamiento.
2.3 Categorías de interesados . Smartsupp tratará datos personales de estas categorías de interesados:
a) los empleados (y otros trabajadores y personas que actúen en nombre del usuario) del usuario;
b) personas para las cuales el usuario creó una cuenta dentro del Servicio;
c) los clientes y demás usuarios del usuario a quienes se presta el Servicio;
d) visitantes del sitio web del usuario;
e) otras personas cuyos datos personales fueron proporcionados a Smartsupp por el usuario durante la prestación del Servicio y cuyos datos personales han sido registrados o han sido procesados de otra manera de acuerdo con la prestación del Servicio al usuario.
3. NATURALEZA Y FINALIDAD DEL TRATAMIENTO
3.1 Naturaleza del tratamiento de los datos personales . Smartsupp tratará los datos personales de forma automatizada y electrónica y el tratamiento consistirá en el acceso a los datos personales como parte de la prestación del Servicio, la visualización de los datos personales, el almacenamiento de los datos personales y otras actividades que puedan corresponder a la prestación del Servicio al usuario. La naturaleza del tratamiento de los datos personales resulta de:
a) el Acuerdo que las Partes han celebrado;
b) las solicitudes del usuario o de otros usuarios autorizados que utilicen la Plataforma en nombre del usuario;
c) la naturaleza del Servicio y de la Plataforma;
d) cualquier otra instrucción documentada proporcionada por el usuario.
3.2 Finalidad del tratamiento . La finalidad del tratamiento es la prestación del Servicio al usuario, tal y como se define en las Condiciones, y para otras finalidades que puedan derivarse de la prestación del Servicio.
4. DURACIÓN DEL TRATAMIENTO
4.1 Duración del tratamiento de los datos personales . El tratamiento de los datos personales se llevará a cabo durante la vigencia del Contrato o mientras el usuario dé instrucciones a Smartsupp en relación con la ejecución del Contrato. Smartsupp se compromete a cumplir las obligaciones establecidas en la legislación en materia de protección de datos durante toda la vigencia del Contrato, a menos que se desprenda claramente del Contrato que dichas obligaciones continuarán después de su terminación.
4.2 Devolución y eliminación de datos personales . Si se rescinde el Acuerdo, en la medida en que lo permitan las leyes de privacidad aplicables, Smartsupp eliminará todos los datos personales almacenados para la prestación del Servicio dentro de los 3 meses posteriores a la rescisión. Si el Usuario solicita a Smartsupp dentro del período mencionado anteriormente que prefiere devolver los datos, Smartsupp tiene derecho a cobrar una tarifa razonable por un monto que se notificará con anticipación.
5. OTROS DERECHOS Y OBLIGACIONES
5.1 Obligaciones de Smartsupp . En el tratamiento de datos personales, Smartsupp se compromete a:
a) procesar datos personales únicamente sobre la base de instrucciones documentadas del usuario; para evitar dudas, el procesamiento de datos personales en cumplimiento de las obligaciones derivadas del Acuerdo se considerará realizado de acuerdo con las instrucciones del usuario;
b) seguir las instrucciones del usuario en cuanto a la transferencia de datos personales a un tercer país o una organización internacional, a menos que dicho procesamiento ya sea requerido por la legislación de la Unión Europea o de un Estado miembro al que esté sujeto Smartsupp;
c) garantizar que las personas autorizadas a tratar datos personales estén vinculadas por una obligación de confidencialidad o estén sujetas a una obligación legal de confidencialidad;
d) teniendo en cuenta la naturaleza del tratamiento, ayudar al usuario, a través de medidas técnicas y organizativas apropiadas, cuando sea posible, para cumplir con la obligación del usuario de responder a las solicitudes de ejercicio de los derechos de los interesados; las reglas sobre el tratamiento de las solicitudes de los interesados se especifican en el artículo 5.2 de esta DPA;
e) ayudar al usuario a cumplir con sus obligaciones de (i) garantizar el nivel de seguridad del tratamiento, (ii) informar sobre violaciones de datos personales a la Autoridad de Protección de Datos y, cuando corresponda, a los interesados, (iii) evaluar el impacto en la protección de datos personales y (iv) realizar una consulta previa con la Autoridad de Protección de Datos, todo ello teniendo en cuenta la naturaleza del tratamiento y la naturaleza de los datos personales tratados;
f) permitir al usuario o a una persona autorizada por el usuario verificar (incluyendo auditoría o inspección) el cumplimiento de este DPA, en particular el cumplimiento de las obligaciones de procesamiento de datos personales que surgen del mismo, y contribuir a dichas verificaciones de acuerdo con las instrucciones razonables del usuario o de la persona autorizada; las reglas específicas para las auditorías se establecen en los artículos 5.3 y 5.4 de este DPA;
g) proporcionar al usuario toda la información que pueda esperarse razonablemente de Smartsupp para dar fe de que se han cumplido las obligaciones establecidas en la legislación de protección de datos pertinente.
5.2 Solicitudes del interesado . Si un interesado se pone en contacto directamente con Smartsupp, Smartsupp deberá notificar al interesado que dirija la solicitud directamente al usuario. Smartsupp solo realizará esfuerzos comercialmente razonables para ayudar al usuario a responder a dicha solicitud del interesado, en la medida en que Smartsupp esté legalmente autorizado a hacerlo. El usuario será responsable de los costes que surjan de la prestación de dicha asistencia por parte de Smartsupp y será responsable de la correcta tramitación de dicha solicitud.
5.3 Normas de auditoría . El usuario deberá enviar cualquier solicitud de auditoría (verificación) exclusivamente a la dirección de correo electrónico de Smartsupp dpo@smartsupp.com, a intervalos razonables. Al recibir una solicitud de auditoría, las partes acordarán de antemano (i) la posible fecha de la auditoría, (ii) las medidas de seguridad y cómo garantizar el cumplimiento de las obligaciones de confidencialidad durante la auditoría, y (iii) el inicio, la extensión y la duración previstos de la auditoría. Si no se llega a un acuerdo dentro de los 30 días siguientes a la fecha de la solicitud, Smartsupp determinará los términos de la auditoría.
5.4 Auditor >.Smartsupp podrá presentar una objeción por escrito a cualquier auditor (persona autorizada) designado por el usuario si, en opinión de Smartsupp, el auditor no está suficientemente calificado, no es independiente, se encuentra en una posición competitiva con Smartsupp o es manifiestamente inadecuado de otro modo. Tras la objeción, el usuario estará obligado a designar a otro auditor o a realizar la auditoría por sí mismo. El usuario deberá notificar de inmediato a Smartsupp la información sobre cualquier incumplimiento, ya sea de las leyes de privacidad aplicables o de este DPA, descubierto durante la auditoría.
5.5 Alcance de la auditoría . El alcance de la auditoría realizada por el usuario solo incluye la documentación y los procesos directamente asociados al uso del Servicio por parte del usuario específico.
5.6 Subprocesadores . El usuario acepta la participación de otros subprocesadores en el procesamiento de datos personales. Dependiendo del tipo de Servicio proporcionado o solicitado por el usuario, Smartsupp puede utilizar otros subprocesadores o compartir datos personales con otros destinatarios de datos personales. El usuario acepta que Smartsupp involucrará a los subprocesadores enumerados en: http://help.smartsupp.com/es_ES/list-of-sub-processors (la “ Lista de subprocesadores ”).
5.7 Objeciones a otros subprocesadores . Smartsupp informará al usuario por escrito o mediante la actualización de la lista de subprocesadores sobre la participación de un subprocesador adicional antes de la participación del subprocesador adicional, y el usuario puede oponerse a la participación del subprocesador adicional dentro de los 10 días hábiles posteriores a la notificación. Si el usuario no se opone dentro del plazo establecido, Smartsupp involucrará al subprocesador adicional. En caso de que el usuario presente una objeción, Smartsupp evaluará la objeción y, si la considera justificada, no contratará al subprocesador adicional ni realizará cambios comercialmente razonables en la configuración o el uso del Servicio del usuario para evitar el procesamiento por parte de dicho subprocesador. Si el cambio no es posible, Smartsupp puede rescindir el Acuerdo con el usuario (o en parte) o no proporcionar la parte del Servicio a la que está vinculado el subprocesador adicional, sin estar en mora o incumplimiento de ninguna obligación. Smartsupp reembolsará al usuario cualquier tarifa prepaga que cubra el resto del plazo de dicho Acuerdo después de la fecha efectiva de terminación con respecto a dicho Servicio terminado, sin imponer una penalidad por dicha terminación al usuario.
5.8 Obligaciones con otros subencargados del tratamiento . Si Smartsupp contrata a otro subencargado del tratamiento, este último deberá comprometerse contractualmente a cumplir las mismas obligaciones de protección de datos personales que las acordadas entre el usuario y Smartsupp, así como a implementar las medidas técnicas y organizativas adecuadas.
5.9 Responsabilidad del subencargado del tratamiento . Smartsupp será responsable de los actos y omisiones de sus subencargados del tratamiento en la misma medida en que Smartsupp sería responsable en caso de que la prestación del Servicio de cada subencargado del tratamiento se realice directamente en virtud de los términos de este DPA, salvo que se establezca lo contrario en el Acuerdo.
5.10 Costos relacionados con la ejecución del DPA . A menos que se acuerde lo contrario por escrito, el usuario deberá hacerse cargo de sus propios costos asociados con la ejecución del DPA. Smartsupp tendrá derecho a cobrar al usuario los costos razonables en los que incurra para tramitar cualquier solicitud y cumplir con cualquier obligación en virtud del presente DPA.
6. SEGURIDAD DE LOS DATOS PERSONALES Y VIOLACIONES DE DATOS PERSONALES
6.1 Obligación de proteger los datos personales . Smartsupp ha adoptado y mantiene medidas técnicas y organizativas para evitar el acceso no autorizado o accidental, la modificación, la destrucción o la pérdida de datos personales, las transmisiones no autorizadas, otros tratamientos no autorizados o cualquier otro uso indebido no autorizado de los datos personales. Smartsupp supervisa periódicamente el cumplimiento de estas medidas.
6.2 Medidas de seguridad específicas . Smartsupp ha adoptado y mantiene las siguientes medidas para garantizar un nivel adecuado de seguridad:
Medidas técnicas:
a) Seudonimización y cifrado de datos personales:
La Plataforma en la que se procesan los datos personales solo permite canales o protocolos seguros para conexiones de red entrantes; Smartsupp encripta los datos utilizando SSL/TLS para todas las transmisiones de datos
los sistemas informáticos que tratan datos personales sólo permiten canales o protocolos seguros;
Las claves criptográficas se gestionan de forma segura.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento:
El acceso físico por parte del personal de Smartsupp está restringido a personas autorizadas;
Smartsupp adoptó mecanismos para restringir el acceso físico o en línea a los servidores que albergan datos personales;
impedir que personas no autorizadas accedan a los datos personales y evitar que los datos personales se utilicen sin autorización;
las personas autorizadas para procesar datos personales tienen acceso únicamente a aquellos datos personales que necesitan y están autorizadas a acceder, y que los datos personales no pueden leerse, copiarse, alterarse o eliminarse sin autorización durante el procesamiento;
el acceso está fuertemente autenticado (por ejemplo, mediante el uso de contraseñas seguras);
Los derechos de acceso se comprueban periódicamente;
Los intentos de acceso (tanto exitosos como fallidos) se registran y monitorean;
El personal de Smartsupp tiene prohibido descargar y procesar datos personales localmente en sus estaciones de trabajo o en cualquier otra ubicación de la red;
Se registran todos los posibles fallos de la Plataforma y anomalías.
c) La capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidentes físicos o técnicos:
Smartsupp ha adoptado el proceso, mecanismo y herramientas de backup;
El procedimiento de restauración, la legibilidad de los datos y la integridad de las copias de seguridad se prueban periódicamente.
d) Smartsupp ha adoptado procesos para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas implementadas para garantizar la seguridad del procesamiento.
e) Los datos personales no pueden ser modificados o suprimidos sin autorización durante la transmisión electrónica, transporte o almacenamiento, y que las entidades destinatarias de cualquier transferencia puedan ser establecidas y verificadas.
Medidas organizativas:
f) Todo el personal que intervenga en el tratamiento de datos personales ha sido informado del carácter confidencial de los mismos, ha recibido formación adecuada respecto de sus responsabilidades y ha celebrado acuerdos escritos de confidencialidad.
g) Smartsupp ha implementado directivas y procesos internos para asegurar el procesamiento de datos personales de acuerdo con las leyes de privacidad aplicables.
h) Para preguntas sobre este DPA, cumplimiento de las leyes de protección de datos, privacidad de datos o cualquier otro tema de privacidad, el Cliente puede enviar un correo electrónico a privacy@smartsupp.com.
6.3 Incidentes de seguridad . Si Smartsupp descubre una violación de datos personales, deberá informarlo al usuario sin demora indebida, a más tardar 48 horas después de tener conocimiento del incidente de seguridad, y realizará esfuerzos razonables para proporcionar al usuario toda la información conocida sobre el incidente, limitada a:
- descripción de la naturaleza de la violación de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
- descripción de las posibles consecuencias de la violación de datos personales;
- propuesta de medidas que puede adoptar el usuario para abordar la violación de la seguridad de sus datos personales, incluidas, cuando corresponda, medidas para mitigar sus posibles efectos adversos.
Smartsupp responderá a cualquier solicitud de asistencia del usuario en caso de una violación de seguridad con demora indebida.
6.4 Instrucciones ilegales . Si el usuario instruye a Smartsupp de tal manera que se produce un incumplimiento de las obligaciones bajo las leyes de protección de datos, y Smartsupp es sancionado por una autoridad supervisora u otro organismo regulador sobre la base de dicha instrucción, o está obligado a indemnizar a los interesados, el usuario acepta indemnizar a Smartsupp y pagar los daños incurridos, previa notificación por escrito de Smartsupp.
6.5 Limitación de responsabilidad . La misma limitación de responsabilidad estipulada en los Términos se aplicará a este DPA.
6.6 Cambios . Se aplicarán las mismas reglas de cambios estipuladas en los Términos.
6.7 Vigencia . El presente DPA será jurídicamente vinculante entre el usuario y Smartsupp junto con el Acuerdo.
Versiones en varios idiomas . El DPA puede redactarse en varios idiomas. En caso de discrepancia o inconsistencia entre las versiones en varios idiomas, prevalecerá la versión en inglés.