Acuerdo de Procesamiento de Datos (DPA)
Última actualización: 9 de agosto de 2024
- Definiciones
- Alcance y relación entre las partes
- Tus instrucciones para Articulate
- Limitación del uso de datos
- subencargados
- Seguridad
- Notificación de violación de datos personales
- Asistencia para dar respuesta a los interesados
- Asistencia en materia de evaluación de impacto sobre la protección de datos y consultas con las autoridades supervisoras
- Transferencias de datos
- Auditorías
- Devolución o destrucción
- General
- ANEXO 1
- ADJUNTO 2
Este Acuerdo de procesamiento de datos ("DPA") se incorpora a cada Acuerdo entre Articulate Global, LLC (junto con sus Afiliados, "Articulate") y la clientela ("Cliente", "tú", "tu") para la capacidad de los Servicios de Articulate, como se define a continuación. El Cliente celebra este DPA en su propio nombre y en el de cualquiera de sus Afiliados, a quienes permite emplear los Servicios de conformidad con el Acuerdo ("Afiliado autorizado"). Articulate y el Cliente se denominan individualmente una "parte" y colectivamente las "partes".
1. Definiciones
Para los efectos de este DPA, los términos en mayúscula tienen los significados establecidos a continuación. Los demás términos en mayúscula tienen el significado establecido en el Acuerdo.
1.1 "Afiliado" significa cualquier entidad que directa o indirectamente controle, sea controlada por o esté bajo control común con una parte de este DPA.
1.2 "Acuerdo" significa el(los) acuerdo(s) subyacente(s) celebrado(s) por Articulate y el Cliente por escrito para la prestación de Servicios por parte de Articulate al Cliente.
1.3 "Ley aplicable" significa todas las leyes, regulaciones y otros requisitos legales aplicables a (i) Articulate en su rol de proveedor de los Servicios o (ii) a ti. Esto puede incluir, por ejemplo, el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) ("RGPD"); requisitos equivalentes en el Reino Unido, incluido el Reglamento General de Protección de Datos del Reino Unido y la Ley de Protección de Datos de 2018 ("Ley de Protección de Datos del Reino Unido"); la Ley de Privacidad del Consumidor de California y regulaciones asociadas ("CCPA"), y la Ley de Derechos de Privacidad de California y sus regulaciones relacionadas de implementación cuando entren en vigencia ("CPRA"); la Ley de Protección de Información Personal y Documentos Electrónicos, SC 2000, c.5 ("PIPEDA"); la Ley de Privacidad de Australia de 1988 y los Principios de Privacidad de Australia (la "Ley de Privacidad"); la Ley de Protección de Datos del Consumidor de Virginia cuando entre en vigor ("VCDPA"); la Ley de Privacidad del Consumidor de Utah cuando entre en vigor ("UCPA"), y la Ley de Privacidad de Colorado y regulaciones relacionadas cuando entre en vigor ("CPA"). Cada parte es responsable únicamente de la Ley Aplicable que le sea aplicable.
1.4 “Responsable del tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del procesamiento de datos personales.
1.5 "Contenido del Cliente" (o "Tu Contenido") se refiere a todo el contenido e información que el Cliente, un Afiliado Autorizado o un Usuario carga, importa o desarrolla en o para los Servicios, o que Articulate recibe de otra manera por o a través de los Servicios del Cliente, un Afiliado Autorizado o un Usuario.
1.6 “Sujeto de datos” significa una persona física identificada o identificable. Cuando se aplican la CCPA o la CPRA, el término también incluye un hogar identificado o identificable.
1.7 "Datos personales" significa (i) cualquier información relacionada con un individuo identificado o identificable, en el sentido del RGPD (independientemente de si se aplica el RGPD); (ii) "datos personales" en el sentido de la VCDPA y la CPA (independientemente de si se aplican); (iii) "información personal" en el sentido de la PIPEDA, la CCPA, la CPRA y la Ley de privacidad (independientemente de si se aplican); y (iv) cualquier término análogo según se define en la Ley aplicable.
1.8 "Violación de datos personales" significa la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales.
1.9 “Proceso” y “Procesamiento” significan cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como recolección, registro, organización, creación, estructuración, almacenamiento, adaptación o alteración, extracción, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, restricción, borrado o destrucción.
1.10 “Procesador” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.
1.11 "Servicios" significa la oferta de software como servicio de Articulate según lo establecido en una cotización de precio (es decir, Articulate 360, Rise o ambos) u otros servicios identificados en una cotización de precio.
1.12 "Cláusulas contractuales estándar" y "SCC de 2021" son las cláusulas emitidas de conformidad con la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021 , sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, disponible en https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj y se completan como se describe en la sección "Transferencias de datos" más abajo.
1.13 “Subencargado” significa cualquier subcontratista contratado por Articulate para el procesamiento de datos personales.
1.14 "Documentación de confianza y cumplimiento" es la documentación sobre privacidad, seguridad de datos e información del subencargado aplicable a los Servicios específicos adquiridos por el Cliente, que puede actualizar periódicamente y ser accesible a través del sitio web de Articulate en https://www.articulate.com/trust/ y https://www.articulate.com/trust/gdpr/
1.15 "Anexo SCC del Reino Unido" se refiere al Anexo de transferencia internacional de datos a las cláusulas contractuales estándar de la Comisión Europea (disponible a partir de la fecha de entrada en vigor en https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/), completado como se establece en la sección "Transferencias de datos" a continuación.
1.16 "Usuario" significa un individuo o individuos a quienes el Cliente permite acceder y emplear los Servicios.
2. Ámbito de aplicación y relación entre las partes
2.1 Este DPA se aplica únicamente a los Datos personales en el Contenido del cliente.
2.2 Para estos datos personales, eres (o declara que actúa con plena autoridad en nombre de) el Responsable del tratamiento y y Articulate es el Encargado.
2.3 Si actúas en nombre de un tercero Responsable del tratamiento (o en nombre de intermediarios como otros Encargados del tratamiento de este Responsable), en la medida legalmente permitida:
2.3.1 Serás el único punto de contacto de Articulate con respecto a estos terceros;
2.3.2 Articulate no necesita interactuar directamente con ningún tercero en asuntos relacionados con este DPA; y
2.3.3 Cuando de otra manera se requiera que Articulate proporcione información, asistencia, cooperación o cualquier otra cosa a este tercero, podrá proporcionártela únicamente a ti; pero
2.3.4 Articulate tiene derecho a seguir las instrucciones de este tercero con respecto a los Datos personales de este, en lugar de tus instrucciones, si Articulate cree razonablemente que esto se requiere legalmente según las circunstancias.
3. Tus instrucciones para Articulate
3.1 Articulate procesará los Datos personales únicamente como se describe en el Acuerdo, a menos que la Ley Aplicable lo obligue a hacer lo contrario. En tal caso, Articulate te informará sobre este requisito legal antes del Procesamiento, a menos que esté legalmente prohibido hacerlo.
3.2 Los detalles del Procesamiento se establecen en el Anexo 1 de este DPA.
3.3 El Acuerdo, incluido este DPA, junto con su configuración de cualquier ajuste u opción en los Servicios, constituyen las instrucciones completas y finales para Articulate con respecto al Procesamiento de datos personales, incluso para los fines de las Cláusulas contractuales estándar, si corresponden.
3.4 Cumplirás con la Ley aplicable relevante a tu uso de los Servicios, incluso obteniendo cualquier consentimiento y proporcionando cualquier aviso requerido por la Ley aplicable para que Articulate proporcione sus Servicios. Te cerciorarás de que tienes derecho a transferir los Datos personales a Articulate para que Articulate y sus subencargados puedan procesar legalmente los Datos personales de acuerdo con este DPA.
3.5 No deberás ordenar a Articulate que procese datos personales en violación de la legislación aplicable. Articulate te informará de inmediato si, en opinión de Articulate, una instrucción tuya infringe la Ley aplicable.
4. Limitación del uso de datos
4.1 Articulate no "venderá" Datos personales según la definición del término en la CCPA (independientemente de si esta se aplica), la VCDPA o la CPA, y no "compartirá" Datos personales dentro del significado de la CPRA (independientemente de si se aplica la CPRA). Articulate no retendrá, empleará ni divulgará datos personales fuera de la relación comercial directa entre el Cliente y Articulate.
4.2 En el caso de una obligación legal de proporcionar Datos personales a un tercero, en la medida legalmente permitida: (i) Articulate proporcionará rápidamente al Cliente una oportunidad razonable para impugnar la obligación legal o buscar protección para la divulgación y (ii) Articulate, luego de consultar con el Cliente, divulgará solo la cantidad mínima de Datos personales necesarios para cumplir con la obligación legal.
4.3 Articulate cumplirá con todas las restricciones aplicables bajo la CPRA sobre la combinación de Datos personales en el Contenido del cliente con Datos personales que Articulate recibe de, o en nombre de, otra persona o personas, o que Articulate recopila de cualquier interacción entre ellos y una persona interesada.
5. subencargados
5.1 Articulate podrá contratar subencargados para procesar datos personales en relación con la prestación de Servicios, de conformidad con la legislación aplicable. Antes de que un Subprocesador procese datos personales, Articulate impondrá obligaciones contractuales al Subprocesador que sean sustancialmente las mismas que las impuestas a Articulate bajo este DPA. Articulate es responsable del desempeño de sus subencargados en la misma medida en que lo es de su propio desempeño, según el Acuerdo.
5.2 Una lista actualizada de subencargados está disponible en https://www.articulate.com/trust/gdpr/subprocessors para los servicios de Articulate 360 y en https://rise.com/gdpr/subprocessors para los servicios de Rise. Articulate notificará a los Clientes de inmediato (y en cualquier caso, treinta (30) días antes de que un nuevo subencargado esté programado para comenzar a procesar datos personales) actualizando la(s) lista(s) de subencargados antes mencionada(s) con respecto a este nuevo subencargado antes de su procesamiento de datos personales, a menos que circunstancias exigentes (como la falla de un subencargado existente) requieran su procesamiento previo de datos personales.
5.3 Puedes oponerte al uso de un nuevo subencargado por parte de Articulate notificándolo a Articulate dentro de los diez (10) días hábiles posteriores a que Articulate te notifique sobre el nuevo subencargado, de conformidad con la Sección 5.2. Si te opones razonablemente a un nuevo subencargado, Articulate realizará esfuerzos razonables para poner a tu disposición un cambio en los Servicios o recomendar un cambio comercialmente razonable en tu configuración o uso de los Servicios para evitar el procesamiento de datos personales por parte del nuevo subencargado objetado, sin cargarte excesivamente. Si Articulate no puede realizar este cambio dentro de un periodo de tiempo razonable, que en ningún caso excederá los treinta (30) días, puedes rescindir el Acuerdo y/o los pedidos correspondientes mediante notificación por escrito a Articulate y dejando de usar los Servicios en la fecha efectiva de la rescisión. Articulate te reembolsará un monto prorrateado que cubra el resto del plazo de esta suscripción o pedido(s) luego de la fecha efectiva de terminación con respecto a los Servicios terminados. Si no te opones al uso del nuevo subencargado ni finalizas el contrato según lo establecido anteriormente, se considerará que aceptas el subencargado.
5.4 Tu aceptación de esta Sección 5 constituye tu consentimiento bajo las Cláusulas contractuales estándar (SCC), si corresponden, y al procesamiento de datos personales por parte de los subencargados que se enumeran en la Documentación de confianza y cumplimiento aplicable a partir de la fecha de vigencia del Acuerdo.
5.5 A pedido escrito, Articulate proporcionará al Cliente copias de los acuerdos con el subencargado; sin embargo, en la medida en que estos acuerdos contengan información comercial o disposiciones no relacionadas con la información requerida por las Leyes y Regulaciones de protección de datos aplicables, tal información no relacionada podrá ser eliminada o redactada por Articulate a su discreción.
6. Seguridad
6.1 Articulate te ayudará a cumplir con las obligaciones de seguridad del RGPD y otras leyes aplicables, según sea relevante para el rol de Articulate en el procesamiento de datos personales, teniendo en cuenta la naturaleza del procesamiento y la información disponible para Articulate, mediante la implementación de medidas técnicas y organizacionales descritas en el Anexo 2 de este DPA, sin perjuicio del derecho de Articulate de realizar reemplazos o modificaciones futuras a las medidas que no reduzcan materialmente el nivel de seguridad de los datos personales.
6.2 Eres la única persona responsable de revisar toda la documentación y las características de seguridad disponibles (si lo están) y de evaluar por ti mismo/a si los Servicios y la seguridad relacionada satisfacen tus necesidades, incluidas tus obligaciones de seguridad según la Ley aplicable. Puedes usar los Servicios únicamente si los compromisos de seguridad en este DPA proporcionarían un nivel de seguridad apropiado al riesgo con respecto a los Datos personales. Al emplear los Servicios, el Cliente acepta y declara que los compromisos de seguridad en este DPA ofrecen un nivel de seguridad apropiado al riesgo con respecto a los Datos Personales.
6.3 Articulate se cerciorará de que las personas que autorice para procesar los Datos personales (i) estén sujetas a un acuerdo de confidencialidad escrito que cubra estos datos o estén bajo una obligación legal apropiada de confidencialidad y (ii) reciban capacitación adecuada a su función en el Procesamiento de los Datos personales.
7. Notificación de violación de datos personales
7.1 Articulate y el Cliente cumplirán con las obligaciones relacionadas con violaciones de datos personales que les sean directamente aplicables según el RGPD y otras leyes aplicables, incluidas las obligaciones de notificar a los titulares de los datos, las autoridades gubernamentales o terceros.
7.2 Teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Articulate, Articulate te ayudará razonablemente a cumplir con las obligaciones relacionadas con violaciones de datos personales que te sean aplicables según la Ley aplicable, informándote sin demoras indebidas luego de tener conocimiento de una violación de datos personales confirmada. Tal notificación no constituye un reconocimiento de culpa o responsabilidad. En la medida en que esté disponible, esta notificación incluirá la evaluación vigente de Articulate de lo siguiente, que puede basarse en información incompleta:
7.2.1 La naturaleza de la violación de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
7.2.2 Las posibles consecuencias de la violación de datos personales; y
7.2.3 Medidas adoptadas o propuestas por Articulate para abordar la violación de datos personales, incluidas, cuando corresponda, medidas para mitigar sus posibles efectos adversos.
7.3 Articulate realizará esfuerzos razonables para identificar la causa de una violación de datos personales confirmada y tomará las medidas de reparación que considere necesarias y razonables.
7.4 En todo momento, el Cliente tiene el derecho de tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de la Información personal.
8. Asistencia para dar respuesta a los interesados
8.1 Si Articulate recibe una solicitud o queja del titular de los datos dirigida al Cliente o a un afiliado autorizado, Articulate enviará la solicitud o queja del titular de los datos al Cliente de inmediato.
8.2 Teniendo en cuenta la naturaleza del Procesamiento, Articulate te ayudará razonablemente con el cumplimiento de tu obligación de honrar las solicitudes de las personas para ejercer sus derechos bajo el RGPD u otra Ley aplicable (como los derechos de acceso a sus Datos personales) ("Solicitud de la persona interesada") mediante medidas organizacionales y técnicas apropiadas, en la medida de lo posible. En la medida en que, en tu uso de los Servicios, no puedas abordar una Solicitud de la persona interesada, Articulate, a tu solicitud, realizará esfuerzos comercialmente razonables para ayudarte a responder a esta Solicitud, en la medida en que Articulate esté obligado a hacerlo según la Ley aplicable y esté legalmente autorizado para hacerlo.
9. Asistencia en materia de evaluación de impacto sobre la protección de datos y consultas con las autoridades supervisoras
9.1 Teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Articulate, Articulate, a tu solicitud por escrito, te ofrecerá asistencia y cooperación razonables para la realización de cualquier evaluación de impacto de protección de datos requerida legalmente del Procesamiento o Procesamiento propuesto de los datos personales en relación con los Servicios, y con la consulta relacionada con las autoridades supervisoras. El apoyo adicional para las evaluaciones de impacto de la protección de datos o las relaciones con los reguladores requerirá un acuerdo mutuo sobre las tarifas, el alcance de la participación de Articulate y cualquier otro término que las partes consideren apropiado.
10. Transferencias de datos
10.1 Autorizas a Articulate y sus subencargados a realizar transferencias internacionales de los Datos personales de conformidad con este DPA y la Ley aplicable.
10.2 En la medida en que lo exija la ley, las cláusulas contractuales estándar (SCC) de 2021 forman parte de este DPA y prevalecen sobre el resto de este DPA en caso de conflicto y (excepto como se describe en la Sección 10.4) se considerarán completadas de la siguiente manera:
10.2.1 En la medida en que actúes como controlador y Articulate actúe como tu procesador con respecto a los Datos personales sujetos a las SCC de 2021, se aplicará su Módulo 2. En la medida en que actúes como procesador y Articulate actúe como tu subprocesador con respecto a los Datos personales sujetos a las SCC de 2021, se aplicará su Módulo 3.
10.2.2 Se incluye la cláusula 7 (cláusula de atraque opcional).
10.2.3 En la cláusula 9 (Uso de subencargados), las partes seleccionan la opción 2 (Autorización general por escrito). La lista inicial de subencargados está disponible en https://www.articulate.com/trust/gdpr/subprocessors/ para los servicios de Articulate 360 y en https://rise.com/gdpr/subprocessors para los servicios de Rise. Si Articulate tiene la intención de agregar o reemplazar un subencargado en esa lista, notificará a la Clientela actualizando las listas mencionadas anteriormente al menos treinta (30) días antes de la fecha en que este subencargado está programado para comenzar a procesar datos personales.
10.2.4 De conformidad con la cláusula 11 (Reparación), no se aplica el requisito opcional de que se permita a los interesados presentar una queja ante un organismo independiente de resolución de disputas.
10.2.5 En virtud de la cláusula 17 (Ley aplicable), las partes eligen la opción 1 (la ley de un Estado afiliado a la UE que permita los derechos de los beneficiarios de terceros). Las partes eligen la ley de Irlanda.
10.2.6 En virtud de la cláusula 18 (Elección de foro y jurisdicción), las partes seleccionan los tribunales de Irlanda.
10.2.7 De conformidad con el Anexo I(A) de las SCC de 2021 (Lista de partes):
10.2.7.1 El exportador eres tú. La información de contacto del exportador para que Articulate la emplee es la establecida en el Acuerdo. La información de contacto del exportador para que los interesados la empleen se establece en el aviso de privacidad, al igual que la identidad y los datos de contacto del responsable de protección de datos del exportador (si lo hubiera) y del representante en la Unión Europea (si lo hubiera).
10.2.7.2 La actividad del exportador relevante para los datos transferidos bajo estas Cláusulas es su uso de los Servicios pertinentes.
10.2.7.3 El importador es Articulate. La dirección postal del importador se establece en el Acuerdo, y su dirección de correo electrónico es [email protected], sujeta a una actualización por parte de Articulate de estas direcciones de conformidad con el Acuerdo.
10.2.7.4 La actividad del importador relevante para los datos transferidos bajo estas Cláusulas es la capacidad de los Servicios pertinentes.
10.2.7.5 Cuando el Cliente adquiere los Servicios, se considera que las partes firman el Anexo I(A) de las Cláusulas contractuales estándar (SCC) de 2021.
10.2.8 Para cualquier Servicio en particular, los detalles del Anexo I(B) de las SCC de 2021 (Descripción de la transferencia) se establecen en el Adjunto 1 del DPA.
10.2.9 De conformidad con el Anexo I(C) de las SCC de 2021 (Autoridad de supervisión competente), las partes deberán seguir las reglas para identificar tal autoridad, según la Cláusula 13 y, en la medida en que lo permita la ley, seleccionar la Comisión Irlandesa de Protección de Datos.
10.2.10 El Anexo II de las SCC de 2021 (Medidas técnicas y organizacionales) se establece en el Adjunto 2 de este DPA.
10.2.11 El Anexo III de las SCC de 2021 (Lista de subencargados del tratamiento) no es aplicable.
10.3 En la medida en que lo requiera la ley de protección de datos del Reino Unido, el Anexo SCC del Reino Unido forma parte de este DPA y tiene prioridad sobre el resto de este DPA según lo establecido en el Anexo SCC del Reino Unido. Los términos en mayúscula no definidos empleados en esta Sección 10.3 tendrán las definiciones establecidas en el Anexo SCC del Reino Unido. A los efectos del Anexo SCC del Reino Unido:
10.3.1 Tabla 1 del Anexo SCC del Reino Unido: las Partes son tú y Articulate, con detalles de contacto, según lo establecido en la Sección 10.2.7 de este DPA.
10.3.2 Tabla 2 del Anexo SCC del Reino Unido: las Cláusulas contractuales estándar aprobadas son las Cláusulas contractuales estándar establecidas en la Sección 10.2 de este DPA.
10.3.3 Tabla 3 del Anexo del SCC del Reino Unido:
10.3.3.1 Anexo 1A: según lo establecido en la Sección 10.2.7 de este DPA.
10.3.3.2 Anexo 1B: según lo establecido en el Adjunto 1 de este DPA.
10.3.3.3 Anexo II: según lo establecido en el Anexo 2 del presente DPA.
10.3.3.4 Anexo III: no aplicable.
10.3.4 Tabla 4 del Anexo SCC del Reino Unido: ninguna de las partes tiene el derecho de terminación establecido en la Sección 19 del Anexo SCC del Reino Unido.
10.3.5 Al celebrar este DPA, se considera que las partes firman el Anexo SCC del Reino Unido.
10.4 Para las transferencias de Datos personales que están sujetas a la Ley Federal Suiza de Protección de Datos ("FADP"), las SCC de 2021 forman parte de este DPA como se establece en la Sección 10.2 de este DPA, pero con las siguientes diferencias en la medida requerida por la FADP:
10.4.1 Las referencias al RGPD en las SSC de 2021 deben entenderse como referencias a la FADP en la medida en que las transferencias de datos estén sujetas exclusivamente a la FADP y no al RGPD.
10.4.2 El término "Estado miembro" en las SCC de 2021 no se interpretará de forma que excluya a las personas interesadas en Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18 (c) de las SCC de 2021.
10.4.3 Las referencias a datos personales en las SSC de 2021 también se refieren a datos sobre personas jurídicas identificables hasta la entrada en vigor de las revisiones de la FADP que eliminen este alcance más amplio.
10.4.4 De conformidad con el Anexo I(C) de las SCC de 2021 (Autoridad de supervisión competente):
10.4.4.1 Cuando la transferencia esté sujeta exclusivamente a la FADP y no al RGPD, la autoridad de control será el Comisionado Federal de Protección de Datos e Información de Suiza.
10.4.4.2 Cuando la transferencia esté sujeta tanto a la FADP como al RGPD, la autoridad supervisora será el Comisionado Federal de Protección de Datos e Información de Suiza en la medida en que la transferencia se rija por la FADP, y la autoridad supervisora será la establecida en la Sección 10.2.9 de este DPA en la medida en que la transferencia se rija por el RGPD.
11. Auditorías
11.1 Si lo solicitas por escrito, Articulate pondrá a tu disposición toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por ti u otro contralor designado por ti, de la siguiente manera:
11.1.1 Si el alcance de auditoría solicitada se aborda en un reporte de auditoría emitido por un auditor externo dentro de los doce (12) meses anteriores y Articulate te proporciona este reporte y confirma que no hay cambios materiales conocidos en los controles auditados, aceptas los hallazgos presentados en el reporte en lugar de solicitar una auditoría de los mismos controles cubiertos por el reporte. El reporte es información confidencial de Articulate.
11.1.2 Si este informe no lo cubre, Articulate proporcionará una descripción escrita de sus medidas de cumplimiento para este DPA. Esta es información confidencial de Articulate.
11.1.3 Aceptas ejercer cualquier derecho que puedas tener para realizar una auditoría o inspección, incluso bajo las Cláusulas contractuales estándar, si corresponden, al instruir a Articulate para que proporcione el reporte y/o la información descrita anteriormente. Si deseas cambiar esta instrucción con respecto a la auditoría, puedes aplicar un cambio a esta instrucción enviando a Articulate una notificación por escrito según lo dispuesto en el Acuerdo. Es posible que exista disponibilidad de este apoyo adicional, que requeriría un acuerdo mutuo sobre los honorarios que se te cobrarían, el alcance de la auditoría, el alcance de la participación de Articulate y cualquier otro término que las partes consideren apropiado.
11.1.4 El cliente debe proporcionar a Articulate un aviso por escrito con sesenta (60) días de antelación antes de realizar una auditoría, y estas auditorías no pueden tener lugar más de una vez durante doce (12) meses. El cliente solo puede realizar auditorías durante el horario comercial normal de Articulate y debe minimizar las interrupciones del negocio de Articulate.
11.1.5s En la medida legalmente permisible y, en la medida en que las auditorías interrumpan el curso normal de los negocios de Articulate, reembolsarás a Articulate por cualquier tiempo invertido en asistencia relacionada con la auditoría a las tarifas acordadas mutuamente por las partes.
11.1.6 Nada de lo dispuesto en este DPA requerirá que Articulate divulgue o ponga a disposición:
11.1.6.1 cualquier dato de cualquier otro cliente de Articulate;
11.1.6.2 acceso a los sistemas;
11.1.6.3 información contable o financiera de Articulate;
11.1.6.4 cualquier secreto comercial de Articulate;
11.1.6.5 cualquier información o acceso que, en la opinión razonable de Articulate, pudiera (A) comprometer la seguridad de los sistemas o instalaciones de Articulate; o (B) hacer que Articulate incumpla con sus obligaciones bajo la Ley Aplicable o los contratos aplicables; o
11.1.6.6 cualquier información buscada por cualquier motivo que no sea el cumplimiento de buena fe de tus obligaciones bajo la Ley aplicable para auditar el cumplimiento de este DPA.
11.1.7 Notificarás de inmediato a Articulate y proporcionarás información sobre cualquier incumplimiento real o presunto descubierto durante una auditoría.
12. Devolución o destrucción
12.1 Articulate, a tu elección, te devolverá y/o destruirá todos los Datos personales cuando lo solicites, o seis meses tras la terminación o vencimiento de tu uso del Servicio correspondiente, excepto en la medida en que la Ley Aplicable requiera el almacenamiento de los Datos personales. La certificación de eliminación requerida por las Cláusulas contractuales estándar (si aplican) se proporcionará únicamente mediante solicitud escrita.
12.2 Nada obligará a Articulate a eliminar los Datos personales de los archivos creados con fines de seguridad, respaldo y continuidad comercial antes de lo requerido por los procesos razonables de retención de datos de Articulate.
13. General
13.1 Asignación. El presente DPA redundará en beneficio y será vinculante para cualquier sucesor de la totalidad o prácticamente la totalidad del negocio y los activos de cualquiera de las partes, ya sea por fusión, venta de activos u otros acuerdos u operación de la ley.
13.2 Orden de precedencia. Con respecto a los derechos y obligaciones de las partes entre sí, en caso de conflicto entre los términos del Acuerdo y este DPA, prevalecerán los términos de este DPA. En caso de conflicto entre los términos de este DPA y las Cláusulas contractuales estándar, prevalecerán los términos de las Cláusulas contractuales estándar.
13.3 Responsabilidad. En la medida en que lo permita la ley, este DPA está sujeto a la cláusula de limitaciones de responsabilidad del Acuerdo.
13.4 Varios. Este DPA constituye el entendimiento completo de las partes con respecto al objeto del mismo, y fusiona todas las comunicaciones, entendimientos y acuerdos anteriores. El presente DPA solo podrá modificarse mediante acuerdo escrito firmado por las partes. El hecho de que cualquiera de las partes no haga cumplir en cualquier momento cualquiera de las disposiciones del presente documento no constituirá una renuncia a esta disposición ni a ninguna otra, ni al derecho de dicha parte a hacer cumplir posteriormente cualquier disposición del presente documento. Si alguna disposición de este DPA se declara no válida o inaplicable, tal disposición se considerará modificada en la medida necesaria y posible para hacerla válida y aplicable. En cualquier caso, la no aplicabilidad o invalidez de cualquier disposición no afectará a ninguna otra disposición de este DPA, y este DPA continuará en pleno vigor y efecto, y se interpretará y aplicará como si esta disposición no se hubiera incluido, o se hubiera modificado como se indicó anteriormente, según sea el caso.
ANEXO 1
Detalles del tratamiento de los datos
Objeto, naturaleza y finalidad del tratamiento, y detalles de las operaciones de tratamiento: capacidad de los Servicios de conformidad con el Acuerdo.
Plazo/Duración del procesamiento: según lo establecido en el Acuerdo y/o cualquier cotización de precio, pedido del Cliente o Declaración de trabajo aplicable.
Categorías de interesados: los datos personales transferidos pueden referirse a personal actual y futuro del exportador y sus contratistas, y a otros terceros, según lo determine el exportador.
Categorías de datos
Para Articulate 360 y Rise:
- Nombre y apellido
- Empleador
- Información de contacto comercial (por ejemplo, dirección de email, número de teléfono)
- Imagen de perfil
- Título
- Ubicación aproximada
- Preferencia de idioma
- Biografía profesional
Categorías especiales de datos (si las hubiera): no aplica.
Salvaguardias y restricciones aplicadas específicas a cualquier categoría especial de datos: no aplicable. En cualquier caso, el mismo alto estándar de protección descrito en el Anexo 2 de la DPA se aplica a esta y otras categorías de Datos personales.
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua): Continúa durante el tiempo que sea necesario para proporcionar los Servicios de conformidad con el Acuerdo.
El periodo durante el cual se conservarán los datos personales o, si eso no es posible, los criterios usados para determinar ese periodo: el menor de seis (6) meses, el tiempo que sea necesario para proporcionar los Servicios de conformidad con el Acuerdo, o el tiempo que lo requiera la Ley Aplicable.
ADJUNTO 2
Medidas de seguridad técnicas y organizacionales
Articulate (el importador de los datos) implementa las siguientes medidas de seguridad técnicas y organizacionales.
- Seudonimización y cifrado: los datos personales se cifran en reposo en nuestros servidores usando estándares del sector (por ejemplo, AES de 256 bits) y la gestión de claves está a cargo del proveedor del entorno de alojamiento de Articulate, Amazon Web Services (AWS).
- Medidas para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y servicios de procesamiento: Articulate emplea un sistema de detección de intrusiones para analizar, detectar e informar eventos de red y otras situaciones de alerta, y contrata a uno o más socios externos para realizar evaluaciones de seguridad y aplicaciones. Articulate también emplea Amazon Web Services (AWS) como su proveedor de alojamiento, el cual proporciona redundancias (por ejemplo, en tres (3) o más zonas de disponibilidad independientes de los recursos y físicamente aisladas).
- Medidas de recuperación ante desastres y continuidad del negocio (restaurar la disponibilidad y el acceso a los datos personales en caso de un incidente físico o técnico): Articulate tiene una política de recuperación ante desastres y procedimientos relacionados que establecen que Articulate, en caso de un desastre, reconstruirá su infraestructura para restaurar los servicios lo más rápido posible con un tiempo objetivo de recuperación (RTO) de 72 horas y un objetivo de punto de recuperación (RPO) de 24 horas.
- Prueba, evaluación y valoración de las medidas de seguridad: Articulate tiene una política de respuesta a incidentes que se prueba al menos una vez al año o siempre que haya un cambio material en nuestra seguridad.
- Identificación y autorización de usuarios: los servicios de Articulate 360 no almacenan credenciales de usuario; en su lugar, se basan en un servicio de inicio de sesión único (SSO) de terceros que implementa protocolos de identidad probados y aceptados por el sector para autenticar a los usuarios, incluido el cifrado en reposo usando un mínimo de fortaleza criptográfica de AES-256.
- Protección de datos durante la transmisión: los datos confidenciales se cifran en tránsito usando como mínimo el protocolo de seguridad de la capa de transporte TLS 1.2.
- Protección de datos durante el almacenamiento: los datos confidenciales se cifran en reposo en nuestros servidores empleando el estándar industrial de cifrado avanzado de 256 bits. La gestión de claves está a cargo del proveedor del entorno de alojamiento de Articulate, AWS.
- Seguridad física de las ubicaciones en las que se procesan datos personales: Articulate es una compañía totalmente distribuida, lo que significa que no tenemos oficinas físicas. Alojamos los servicios de Articulate en servidores de AWS. Los centros de datos de AWS son de última generación, usan enfoques arquitectónicos y de ingeniería innovadores, están alojados en instalaciones anónimas y el acceso físico está estrictamente controlado tanto en el perímetro como en los puntos de ingreso al edificio (por ejemplo, personal de seguridad profesional, videovigilancia).
- Registro de eventos: Articulate emplea soluciones SIEM en consonancia con estándares definidos para la centralización de registros y funcionalidades de alerta, y AWS CloudWatch y AWS CloudTrail para rastrear todos los cambios en la infraestructura
- Configuración del sistema, incluida la configuración predeterminada: Articulate codifica todos los cambios de infraestructura en el control de versiones y utiliza las mejores prácticas del sector para aplicar estos cambios de manera segura a los servicios de Articulate.
- Gobernanza y gestión interna de TI y seguridad de TI: el personal de Articulate firma acuerdos de confidencialidad y realiza una capacitación en seguridad al momento de su contratación, y la capacitación en seguridad continúa anualmente a partir de entonces. Articulate tiene políticas y procedimientos sobre la protección, administración, retención y eliminación adecuadas de datos. Articulate también emplea software antivirus y de administración de dispositivos móviles de última generación en todas sus estaciones de trabajo, monitorea fuentes de proveedores y de terceros para obtener información actualizada sobre vulnerabilidades, distribuye información pertinente de parches rápidamente y requiere que las estaciones de trabajo de todos los miembros del equipo de ingeniería y otras personas que tienen acceso a los servidores de AWS (nuestro servidor) estén encriptadas en reposo.
- Certificación/aseguramiento de procesos y productos: Articulate se somete a una auditoría anual SOC2 Tipo 2 realizada por un tercero y cuenta con certificaciones ISO 27001 e ISO 27701. El personal debe completar una capacitación de concienciación sobre seguridad al momento de ser contratado y anualmente a partir de entonces, para comprender sus obligaciones y responsabilidades en el cumplimiento de las políticas corporativas diseñadas para proteger los datos de la clientela.
- Minimización de datos: Articulate recopila datos personales necesarios para ofrecer servicios a la clientela y otorga acceso a los datos personales solo si es necesario para permitir que recursos humanos realice su trabajo. Articulate también revisa periódicamente los privilegios de acceso y los elimina dentro de las 24 horas posteriores a que una persona sea despedida de Articulate. Además, los datos personales se conservan y destruyen de forma segura de acuerdo con las políticas de retención de datos de Articulate (o antes, a pedido del cliente), siempre que no exista un requisito legal para conservar tales datos.
- Calidad de los datos: los servicios de Articulate validan la entrada del usuario y los parámetros HTTP.
- Retención de datos limitada: Articulate tiene políticas de retención que requieren la eliminación regular de datos personales. Articulate realiza copias de seguridad diarias como parte de nuestro proceso de recuperación ante desastres, cuyos datos se archivan durante aproximadamente 60 días y luego se sobrescriben automáticamente.
- Responsabilidad: Articulate implementó un programa de privacidad, designó un Oficial de Privacidad de Datos, aplicó políticas y prácticas de privacidad (incluida la respuesta a incidentes) y realiza capacitaciones al personal al menos una vez al año.
- Portabilidad y borrado de datos: Articulate cumple con los procesos establecidos en su Acuerdo de procesamiento de datos para responder a las solicitudes de la clientela de una copia, corrección o eliminación de los datos personales de sus usuarios finales.
- Para transferencias a (sub)encargados del tratamiento: medidas técnicas y organizacionales específicas que debe adoptar el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento y, para transferencias de un encargado del tratamiento a un subencargado del tratamiento, al exportador de datos: los administradores y/o usuarios del exportador pueden usar funciones de autoservicio en los Servicios para acceder, eliminar o corregir datos sobre los usuarios finales. Cualquier otra asistencia relevante se proporcionará a través del equipo de atención al cliente.