Este Anexo de Procesamiento de Datos ("DPA") forma parte del Acuerdo de Términos de Servicio de IDrive Inc. u otros acuerdos electrónicos o acuerdo mutuamente ejecutado entre IDrive® y el Cliente ("usted" y "su") aplicable al uso de los Servicios IDrive® por parte del Cliente (el "Acuerdo") y refleja el acuerdo de las Partes con respecto al Procesamiento de los Datos Personales del Cliente. Los términos en mayúsculas utilizados pero no definidos en este DPA tienen el significado que se les da en el Acuerdo.
En el curso de la prestación del Servicio IDrive® al Cliente conforme al Acuerdo, IDrive® Procesará los Datos del Cliente en su nombre. Los Datos del Cliente pueden incluir Datos Personales. Este APD refleja el acuerdo de las partes en relación con el Procesamiento de los Datos del Cliente de acuerdo con los requisitos de las Leyes y Reglamentos de Protección de Datos. Este APD prevalecerá en caso de conflicto con el Acuerdo.
"Responsable del Tratamiento" es la entidad que determina los fines y medios del Tratamiento de los Datos Personales.
"Encargado del tratamiento" se refiere a la entidad que trata Datos Personales por cuenta del Responsable del tratamiento.
"Leyes y normativas de protección de datos" se refiere a cualquier ley y normativa de protección de datos aplicable al Tratamiento de Datos Personales en virtud del Acuerdo, incluidas las leyes y normativas aplicables de la Unión Europea, el Espacio Económico Europeo y sus Estados miembros, y Suiza.
"Sujeto de los datos" significa la persona física a la que se refieren los Datos Personales.
"Datos personales": cualquier información relativa a una persona física identificable o identificada.
"Tratamiento", "Procesos" o "Proceso" significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales por medios automatizados o no, como la recogida, registro, organización, almacenamiento, adaptación, alteración, recuperación, consulta, uso, revelación, difusión, borrado o destrucción.
"Subprocesador" significa los Afiliados de IDrive u otros terceros proveedores de servicios que Procesan los Datos del Cliente para IDrive®.
Roles de Procesamiento de Datos. Las Partes reconocen y acuerdan que con respecto al Procesamiento de los Datos del Cliente bajo las Leyes y Regulaciones de Protección de Datos y este DPA, el Cliente es el Controlador e IDrive® es el Procesador. Cada Parte cumplirá con las obligaciones que le son aplicables bajo las Leyes y Regulaciones de Protección de Datos con respecto al Procesamiento de los Datos Personales del Cliente. IDrive® no tiene conocimiento ni control sobre los Datos Personales que usted proporciona para su Procesamiento. Usted es el único responsable de la exactitud, calidad y legalidad de los Datos del Cliente y de los medios por los que adquirió los Datos del Cliente.
Instrucciones para el Procesamiento de Datos. Este DPA y el Acuerdo son sus instrucciones completas y finales a IDrive® para el Procesamiento de los Datos del Cliente. Usted e IDrive® deben acordar cualquier instrucción adicional o alternativa. IDrive® le informará si, en opinión de IDrive, sus instrucciones violan las Leyes y Regulaciones de Protección de Datos. IDrive® procesará los Datos del Cliente: (1) de acuerdo con el Acuerdo (incluyendo todos los documentos incorporados en el Acuerdo), y (2) para cumplir con otras instrucciones razonables que usted proporcione a IDrive® (incluyendo por correo electrónico) cuando sus instrucciones sean consistentes con el Acuerdo. IDrive® no divulgará los Datos del Cliente a terceros a menos que sea requerido por la ley aplicable, en cuyo caso IDrive® le informará con anticipación a menos que IDrive® tenga prohibido hacerlo. IDrive® no Procesará los Datos del Cliente para ningún otro propósito a menos que usted se lo indique a IDrive®.
Alcance y Duración del Procesamiento. IDrive® Procesará los Datos Personales del Cliente según sea necesario para realizar el Servicio IDrive® conforme al Acuerdo y de acuerdo con este DPA. Los tipos de Datos Personales del Cliente y las categorías de Sujetos de Datos que pueden ser Procesados bajo este DPA se establecen en el Anexo 1 ("Alcance del Procesamiento"). IDrive® Procesará los Datos Personales del Cliente durante el periodo del Acuerdo a menos que las Partes acuerden lo contrario por escrito.
Acceso, Rectificación, Restricción y Supresión. IDrive® permitirá al Cliente acceder, rectificar, restringir el procesamiento y eliminar los Datos Personales del Cliente en la medida en que sea compatible con la funcionalidad del Servicio IDrive®.
Solicitudes del Sujeto de Datos. Si IDrive® recibe una solicitud de un Sujeto de Datos en relación con los Datos Personales del Cliente entonces, en la medida legalmente permitida, IDrive® aconsejará al Sujeto de Datos que presente su solicitud al Cliente y el Cliente será responsable de responder a cualquiera de dichas solicitudes incluyendo, cuando sea necesario, el uso de la funcionalidad del Servicio IDrive®. Si usted no tiene la capacidad de acceder, rectificar, restringir o borrar los Datos Personales del Cliente tal y como exigen las Leyes y Reglamentos de Protección de Datos, puede proporcionar instrucciones por escrito a IDrive® para que actúe en su nombre. IDrive® seguirá sus instrucciones en la medida en que sean técnicamente factibles y legalmente permisibles. Usted pagará los costes de IDrive por proporcionar esta asistencia.
Cooperación y Asistencia. IDrive® le ayudará a tratar cualquier solicitud, queja, aviso o comunicación que reciba relacionada con el Procesamiento de IDrive de los Datos del Cliente recibidos de (i) un Sujeto de Datos cuyos Datos Personales estén contenidos dentro de los Datos del Cliente, o (ii) cualquier autoridad de protección de datos aplicable. IDrive® también le ayudará con sus solicitudes razonables de información para confirmar el cumplimiento de esta DPA o para realizar una evaluación de impacto de privacidad. Usted pagará los costes de IDrive por la prestación de asistencia si ésta excede los servicios prestados en virtud del Acuerdo.
Controles de seguridad. IDrive® mantiene salvaguardas administrativas, técnicas y organizacionales apropiadas para proteger los Datos del Cliente del Procesamiento no autorizado o ilegal, de la pérdida accidental, destrucción o daño. Como se describe en el Anexo 2, los Controles de Seguridad incluyen medidas para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de IDrive y para la comprobación periódica y eficacia de los controles.
Personal de IDrive. IDrive® asegura que el acceso a los Datos del Cliente está limitado al personal que requiere acceso para Procesar los Datos del Cliente según el Acuerdo. IDrive® informa a su personal involucrado en el Procesamiento de los Datos del Cliente sobre la naturaleza confidencial de dichos Datos del Cliente. IDrive® tomará las medidas apropiadas para asegurar el cumplimiento de los Controles de Seguridad por parte de sus empleados, contratistas y Sub-procesadores en la medida aplicable a su ámbito de desempeño, incluyendo asegurar que todas las personas autorizadas para Procesar los Datos del Cliente hayan aceptado una obligación apropiada de confidencialidad.
Autorización y Compromisos. Usted autoriza expresamente a IDrive® a utilizar Subprocesadores para realizar servicios específicos en nombre de IDrive para permitir a IDrive® cumplir con sus obligaciones bajo el Acuerdo y este DPA y para proporcionar ciertos servicios en nombre de IDrive, tales como servicios de soporte. IDrive® tiene acuerdos escritos con sus Subprocesadores que contienen obligaciones sustancialmente similares a las obligaciones de IDrive bajo este DPA. IDrive® seguirá siendo responsable de su cumplimiento de las obligaciones de este DPA y de cualquier acto u omisión de los Subprocesadores. Los actuales Subprocesadores de IDrive®, incluyendo su ubicación y servicios, están listados en: https://www.idrive.com/authorized-sub-processor. IDrive® seguirá publicando en este sitio web los cambios que se produzcan en sus Subencargados del Tratamiento.
Notificación y Objeción. Usted tiene derecho a objetar razonablemente el uso de IDrive de un nuevo Subprocesador notificando a IDrive® por escrito dentro de los 10 días hábiles después de que IDrive® publique el aviso de un nuevo Subprocesador. Si lo hace, IDrive® realizará esfuerzos razonables para cambiar el Software o Servicio en la Nube afectado, o recomendará un cambio comercialmente razonable a su configuración o uso del Software o Servicio en la Nube afectado, para evitar el Procesamiento de los Datos del Cliente por el nuevo Subprocesador. Si IDrive® no puede realizar o recomendar dicho cambio dentro de un período de tiempo razonable, que no exceda los 60 días, usted puede rescindir sólo el Plazo de Suscripción para el Software y el Servicio en la Nube que IDrive® no puede proporcionar sin utilizar el nuevo Subprocesador. Usted debe proporcionar una notificación escrita de terminación a IDrive® de acuerdo con el Acuerdo.
Informes. IDrive® utiliza auditores externos para verificar su medida de seguridad para varios estándares y certificaciones de control de seguridad y cumplimiento. IDrive® ha completado las auditorías necesarias y, a solicitud escrita del Cliente, puede proporcionar documentación de apoyo para demostrar que cumple con los estándares definidos por SSAE 16.
Derechos de Auditoría. IDrive® le proporcionará información adicional más allá de lo indicado en el Informe - y permitirá y contribuirá a las auditorías, incluyendo inspecciones - razonablemente necesarias para demostrar el cumplimiento de las Leyes y Reglamentos de Protección de Datos. Usted reembolsará a IDrive® por cualquier tiempo empleado en una auditoría o inspección según las tarifas de servicio profesional de IDrive® vigentes en ese momento. IDrive® le proporcionará dichas tarifas a solicitud. Usted e IDrive® acordarán por adelantado el momento, alcance, duración y tarifas de reembolso para cualquier auditoría o inspección. El Cliente notificará inmediatamente a IDrive® la información relativa a cualquier incumplimiento descubierto durante el transcurso de la auditoría.
IDrive® le notificará sin demora indebida después de tener conocimiento de una violación de sus Datos de Cliente. En la medida en que se conozca, la notificación incluirá (i) una descripción de la naturaleza de la violación de los datos personales; (ii) las medidas que IDrive está tomando para abordar la violación en la medida en que dichas medidas estén dentro del control razonable de IDrive, incluyendo medidas para mitigar sus posibles efectos adversos.
El Servicio IDrive® proporciona al Cliente controles que le permiten recuperar los Datos del Cliente en cualquier momento antes del final del Período de Suscripción. Una vez finalizado el Periodo de Suscripción, IDrive® eliminará los Datos del Cliente de conformidad con el Acuerdo.
IDrive® se ajusta al Marco de Privacidad de Datos UE-EE.UU. y al Marco del Escudo de Privacidad Suiza-EE.UU.
El Marco de Privacidad de Datos UE-EE.UU. (MPD UE-EE.UU.), la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE.UU. (Extensión del Reino Unido al MPD UE-EE.UU.) y el Marco de Privacidad de Datos Suiza-EE.UU. (MPD Suiza-EE.UU.) se crearon para agilizar el comercio transatlántico. Estos marcos ofrecen a las organizaciones estadounidenses mecanismos fiables para las transferencias de datos personales desde la Unión Europea/Espacio Económico Europeo, el Reino Unido (incluido Gibraltar) y Suiza a Estados Unidos, garantizando la coherencia con la legislación de la UE, el Reino Unido y Suiza. Una organización tiene que autocertificar su compromiso con los Principios DPF ante la ATI. Esto implica figurar en la Lista del Marco de Privacidad de Datos, que la ATI actualiza anualmente basándose en las presentaciones anuales de recertificación de las organizaciones.
IDrive® se alinea con el Marco de Privacidad de Datos UE-EE.UU. y el Marco de Escudo de Privacidad Suiza-EE.UU., tal y como han sido establecidos por el Departamento de Comercio de los EE.UU. en relación con la recogida, uso y retención de información personal transferida desde la Unión Europea y Suiza a los Estados Unidos, respectivamente. IDrive® ha certificado al Departamento de Comercio que se adhiere a los Principios del Escudo de Privacidad.
Si IDrive® determina que ya no puede cumplir con estas obligaciones, IDrive® se lo notificará de inmediato y dejará de procesar sus Datos Personales o tomará las medidas razonables y apropiadas para remediarlo.