.png?width=1024&quality=80&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000)
Privacy
NOTA: Esta traducción fue generada automáticamente y se proporciona solo por conveniencia. Esta traducción generada automáticamente no es comparable a la calidad de una traducción humana y puede contener errores. Esta traducción se proporciona “AS IS” (TAL CUAL) y sin ninguna garantía respecto a la precisión, integridad o fiabilidad de la traducción. En caso de discrepancias entre la versión en inglés de este contrato y la versión traducida a un idioma extranjero, solo se considerará válida la versión en inglés.
ANEXO DE PROCESAMIENTO DE DATOS
Este Anexo de Procesamiento de Datos (“DPA”) forma parte e incorpora expresamente el acuerdo celebrado entre Sophos y el Cliente para la provisión por parte de Sophos al Cliente de ciertos productos y/o servicios (“Acuerdo Principal”). A menos que se defina de otra manera, todos los términos en mayúsculas tendrán los significados dados en la Sección 1 a continuación.
1. DEFINICIONES
1.1 En este DPA, los siguientes términos tendrán los siguientes significados:
“Afiliado” significa, con respecto a cada parte, una entidad que controla, es controlada por, o está bajo control común con dicha parte. A los efectos de esta definición, “control” significa la propiedad beneficiosa de más del cincuenta por ciento (50%) del poder de voto o capital en una entidad o el derecho contractual o legal de dirigir la gestión de dicha entidad;
“Leyes de Protección de Datos Aplicables” significa todas las leyes y regulaciones aplicables al Procesamiento de Datos Personales del Controlador bajo el Acuerdo Principal, incluyendo, cuando sea relevante, el GDPR, la Ley de Protección de Datos del Reino Unido y la CCPA;
“Beneficiario” tiene el significado que se le da en el Acuerdo MSP;
“CCPA” significa la Ley de Privacidad del Consumidor de California enmendada por la Ley de Derechos de Privacidad de California de 2020), codificada en Cal. Civ. Código §§ 1798.100 - 1798.199.100 y las Regulaciones de la Ley de Privacidad del Consumidor de California emitidas en relación, Cal. Código Regs. tit. 11, div. 6, ch. 1, cada uno según enmendado;
“Controlador” significa ya sea: (a) el Cliente, si el Cliente es un Usuario Final; (b) el Beneficiario, si el Cliente es un MSP; o (c) el Cliente Final, si el Cliente es un OEM;
“Datos Personales del Controlador” significa los Datos Personales que Sophos procesa en nombre del Controlador como parte de la prestación de los Servicios;
“Cliente” significa: (1) el proveedor de servicios gestionados o el proveedor de servicios de seguridad gestionados (cada uno referido como “MSP”) si el Acuerdo Principal es entre Sophos y un MSP (“Acuerdo MSP”), (2) el fabricante de equipos originales (“OEM”) si el Acuerdo Principal es con un OEM autorizado para distribuir, sublicenciar o poner a disposición de terceros productos de Sophos en combinación con sus productos como parte de una unidad agrupada (“Acuerdo OEM”); (3) el usuario final (“Usuario Final”), si el Acuerdo Principal es directamente con el cliente;
“Sujeto de Datos” significa la persona a la que se refieren el ControladorDatos Personales;
“Solicitudes de Sujetos de Datos” significa cualquier solicitud de Sujetos de Datos que ejercen derechos conforme a las Leyes de Protección de Datos Aplicables;
“EEE” significa el Espacio Económico Europeo, incluidos los estados miembros de la Unión Europea;
“Cliente Final” tiene el significado que se le da en el Acuerdo OEM;
“Cláusulas Contractuales Estándar” significa las cláusulas contractuales estándar para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo aprobado por la decisión de implementación de la Comisión Europea (UE) 2021/914 de 4 de junio de 2021;
“RGPD” significa el Reglamento General de Protección de Datos (UE) 2016/679, según sea modificado ocasionalmente;
“Datos Personales” significa “datos personales” o “información personal”, según se definen estos términos en las Leyes de Protección de Datos Aplicables, e incluye cualquier información relacionada con un individuo identificado o identificable hogar;
“Violación de Datos Personales” significa una violación de seguridad (que no sea causada por el Cliente o sus usuarios) que conduce a la destrucción, pérdida, alteración, divulgación no autorizada de, o acceso a, los Datos Personales del Controlador;
“Procesador” significa una persona o entidad que Procesa Datos Personales en nombre y bajo las instrucciones de un controlador, incluyendo cualquier entidad que actúe como “proveedor de servicios” conforme a la CCPA;
“Transferencia Restringida” significa una transferencia de Datos Personales a un Tercer País donde tal transferencia estaría prohibida bajo la Ley de Protección de Datos Europea en ausencia de mecanismos de transferencia apropiados, como reglas corporativas vinculantes, o Cláusulas Contractuales Estándar;
“Servicios” significa cualquier producto proporcionado y/o servicios realizados por Sophos conforme al Acuerdo Principal;
“Sophos” significa la entidad de Sophos identificada como la parte contratante de Sophos en el Acuerdo Principal;
“Cláusulas Contractuales Estándar” o “SCCs” significa: (i) donde el RGPD se aplica a una Transferencia Restringida, las Cláusulas Contractuales Estándar de la UE; (ii) donde la Ley de Protección de Datos del Reino Unido se aplica a una Transferencia Restringida, el Anexo del Reino Unido; y (iii) donde la DPA Suiza se aplica a una Transferencia Restringida, las SCCs Suizas;
“Sub-Procesador” significa cualquier entidad designada por Sophos para llevar a cabo actividades de procesamiento relacionadas con los Datos Personales del Controlador;
“Autoridad de Supervisión” significa la autoridad reguladora competente con respecto a las Leyes de Protección de Datos Aplicables, incluyendo donde sea aplicable, una autoridad de supervisión según se define bajo el RGPD;
“La LPD Suiza” significa la Ley Federal Suiza de Protección de Datos del 25 de septiembre de 2020, enmendada de vez en cuando;
“Cláusulas estándar suizas” significa las cláusulas estándar de protección de datos aplicables para la transferencia de Datos Personales a Terceros Países emitidas, aprobadas o reconocidas de otro modo por el Comisionado Federal Suizo de Protección de Datos e Información (“FDPIC”);
“País Tercero” significa un país fuera del EEE, el Reino Unido (“UK”) o Suiza que no ha sido designado por la Comisión Europea o un organismo o persona equivalente en Suiza o el Reino Unido como que garantiza un nivel adecuado de protección de acuerdo con las leyes de protección de datos del EEE, el Reino Unido o Suiza (“Ley Europea de Protección de Datos”);
“Adenda del Reino Unido” significa la Adenda Internacional de Transferencia de Datos a las Cláusulas Estándar de la UE, emitida por la Oficina del Comisionado de Información del Reino Unido y presentada ante el Parlamento de acuerdo con el s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022;
“Ley de Protección de Datos del Reino Unido” significa la Ley de Protección de Datos del Reino Unido de 2018 y el GDPR tal como se retuvo en la ley del Reino Unido en virtud de la Sección 3 de la Ley de Retirada de la Unión Europea del Reino Unido de 2018, ambas enmendadas de vez en cuando.
1.2. En esta LPD, los términos en minúsculas "controlador", "procesador", "sujeto de datos", "datos personales" y "procesamiento" (y sus derivados) tendrán los significados que se les atribuyen en la Ley de Protección de Datos Aplicable.
1.3. Los términos en mayúsculas que no estén definidos de otro modo en esta LPD tendrán el significado que se les atribuye en el Acuerdo Principal.
2. ÁMBITO
2.1. Esta LPD se aplica cuando Sophos procesa Datos Personales del Controlador en nombre del Cliente como parte de la prestación de los Servicios. El objeto y la duración del procesamiento de Datos Personales del Controlador por parte de Sophos, la naturaleza y el propósito del procesamiento, los tipos de Datos Personales del Controlador que se procesarán y las categorías de sujetos de datos, serán como se describe en: (a) esta LPD; (b) el Acuerdo Principal; (c) el Anexo 1 (Detalles del Procesamiento de Datos); y (d) las instrucciones del Cliente emitidas de acuerdo con la Sección 4 a continuación.
2.2. El Cliente es responsable de garantizar que el Controlador (a) tenga una base legal para el procesamiento de Datos Personales del Controlador por parte de Sophos en nombre del Cliente, (b) haya proporcionado todos los avisos requeridos y obtenido todos los consentimientos necesarios para el procesamiento de Datos Personales del Controlador por parte de Sophos; y (c) cumpla de otro modo con, y asegurará que sus instrucciones a Sophos para el procesamiento de Datos Personales del Controlador cumplan en todos los aspectos con las Leyes de Protección de Datos Aplicables.
2.3. Las partes acuerdan que en relación con los Datos Personales del Controlador, Sophos es un Procesador o subprocesador, y el Cliente es (a) el Controlador cuando el Cliente es un Usuario Final, o (b) un Procesador, para el Beneficiario o el Cliente Final, cuando el Cliente es un MSP o OEM, respectivamente.
3. INSTRUCCIONES DEL CLIENTE
3.1. El Cliente instruye a Sophos a procesar los Datos Personales del Controlador según sea razonablemente necesario para proporcionar y realizar los Servicios y como se establece de otro modo en esta LPD y el Acuerdo Principal (“Instrucciones del Cliente”). Sophos procesará los Datos Personales del Controlador de acuerdo con las Instrucciones del Cliente, excepto (a) donde se acuerde de otro modo por escrito entre Sophos y el Cliente; o (b) según lo requiera cualquier ley a la que Sophos esté sujeto (en cuyo caso, Sophos informará al Cliente de ese requisito legal antes de cualquier procesamiento, a menos que esa ley prohíba la provisión de dicha información por importantes razones de interés público). Cuando el Cliente actúe como Procesador con respecto a los Datos Personales del Controlador, el Cliente deberá asegurarse de que las Instrucciones del Cliente hayan sido autorizadas por el Controlador relevante y no entren en conflicto con ninguna instrucción emitida por ese Controlador.
3.2. Si Sophos se entera de que las Instrucciones del Cliente infringen las Leyes de Protección de Datos Aplicables, informará de inmediato al Cliente y suspenderá el procesamiento de los Datos
3.3. Sin limitar lo anterior, en la medida en que la CCPA se aplique a los Datos Personales del Controlador, Sophos acuerda además que:
- Sophos no utilizará, divulgará ni procesará de otro modo los Datos Personales del Controlador excepto para el propósito comercial específico de realizar los Servicios, de acuerdo con los términos de esta LPD y el Acuerdo Principal, y según lo autorizado por las leyes aplicables;
- Sophos puede contratar Subprocesadores para procesar los Datos Personales del Controlador, sujeto a los términos de la Sección 7 y dicha contratación no se considerará una venta de Datos Personales del Controlador;
- Sophos no procesará los Datos Personales del Controlador fuera de la relación comercial directa entre el Cliente y Sophos o para los propios fines comerciales de Sophos;
- Sophos no "compartirá" ni "venderá" (según se definen esos términos en la CCPA) ningún Dato Personal del Controlador;
- Sophos cumplirá con sus obligaciones conforme a la CCPA y proporcionará el mismo nivel de protección de la privacidad que se requiere por la CCPA;
- Si Sophos cree que no podrá cumplir con los términos de la CCPA, Sophos notificará de inmediato al Cliente y otorgará al Cliente el derecho a tomar medidas razonables y apropiadas para garantizar que los Datos Personales del Controlador se procesen de manera que sea consistente con las obligaciones del Controlador bajo la CCPA;
- Sophos no retendrá los Datos Personales del Controlador tras la expiración o terminación del Acuerdo Principal, excepto según lo establecido en la Sección 4.6.
3.4. Sophos certifica que entiende y cumplirá con las obligaciones establecidas en la Sección 3.3.
4. OBLIGACIONES DE SOPHOS
4.1 Cooperación. Tomando en cuenta la naturaleza del procesamiento de los Datos Personales del Controlador, Sophos proporcionará al Cliente (o, si el Cliente es un MSP u OEM, al Controlador) la asistencia razonable que sea necesaria para: (i) responder a solicitudes de los interesados que ejercen sus derechos bajo las Leyes de Protección de Datos Aplicables (incluyendo notificar al Cliente cuando reciba tales solicitudes, siempre que no responda por sí mismo a menos que haya sido autorizado para hacerlo por el Cliente), (ii) realizar evaluaciones de impacto en la protección de datos u otra evaluación que deba realizarse según las Leyes de Protección de Datos Aplicables; y (iii) consultar y cooperar con las Autoridades de Supervisión según lo requieran las Leyes de Protección de Datos Aplicables. Sophos se reserva el derecho de cobrar por dicha asistencia si el costo de la asistencia excede una cantidad nominal.
4.2 Solicitudes de terceros. Salvo que la ley lo prohíba, Sophos notificará al Cliente sobre cualquier solicitud de privacidad, correspondencia, consulta o queja que reciba de una Autoridad de Supervisión, autoridad judicial o agencia de aplicación de la ley en relación con el procesamiento de los Datos Personales del Controlador ("Solicitud de Terceros") proporcionando todos los detalles de la misma. Sophos no responderá directamente a la Solicitud de Terceros, excepto (1) por instrucciones escritas del Cliente o, (2) según lo exijan las leyes aplicables.
4.3 Confidencialidad. Todo el personal de Sophos que procese los Datos Personales del Controlador deberá estar adecuadamente capacitado respecto a sus obligaciones de protección de datos, seguridad y confidencialidad, y estará sujeto a obligaciones de confidencialidad escritas o legales.
4.4. Seguridad. Sophos implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y proteger los Datos Personales del Controlador contra una Violación de Datos Personales. Dichas medidas tendrán en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de variabilidad en la probabilidad y gravedad para los derechos y libertades de las personas físicas, de modo que se garantice un nivel de seguridad que sea apropiado al riesgo. En particular, las medidas adoptadas por Sophos incluirán las descritas en el Anexo 2 de este DPA.
4.5. Violación de Datos Personales. Al confirmar la ocurrencia de cualquier Violación de Datos Personales, Sophos informará al Cliente sin demora indebida y proporcionará toda la información y cooperación oportuna que el Cliente pueda requerir razonablemente para que el Cliente (y, si el Cliente es un MSP o OEM, su Controlador) cumpla con sus obligaciones de notificación de violaciones de datos según (y de acuerdo con los plazos requeridos por) la Ley de Protección de Datos Aplicable. Sophos tomará además medidas y acciones que sean razonablemente necesarias para remediar o mitigar los efectos de la Violación de Datos Personales y mantendrá informado al Cliente sobre los desarrollos en relación con la Violación de Datos Personales.
4.6. Fin de los Servicios. Al finalizar la prestación de los Servicios o a solicitud escrita del Cliente, Sophos eliminará los Datos Personales del Controlador dentro de un tiempo razonable tras el final de los Servicios o la solicitud, a menos que la ley aplicable exija lo contrario, o se requiera para cumplir con requisitos judiciales o de cumplimiento. Si Sophos está obligado a retener cualquier Dato Personal del Controlador, Sophos tomará medidas para garantizar la confidencialidad y seguridad continuas de los Datos Personales del Controlador mientras se retengan.
5. DERECHOS DE AUDITORÍA DEL CLIENTE
5.1 El Cliente reconoce que Sophos mantiene la certificación ISO 27001 y es auditada regularmente según los estándares SSAE 18 SOC 2 por auditores independientes de terceros. A solicitud razonable, Sophos proporcionará una copia de su informe de auditoría SOC 2 al Cliente, el cual estará sujeto a las disposiciones de confidencialidad del Acuerdo Principal como información confidencial de Sophos. La certificación ISO 27001 de Sophos está disponible públicamente a través del Centro de Confianza de Sophos en https://www.sophos.com/es-es/trust/business-certifications. Sophos también responderá a preguntas de auditoría razonables por escrito que le presente el Cliente, siempre que el Cliente no ejerza este derecho más de una vez al año.
5.2 Si, en opinión razonable del Cliente, los materiales proporcionados bajo la Sección 5.1 son insuficientes para demostrar el cumplimiento de Sophos con este DPA, entonces el Cliente puede solicitar por escrito que Sophos ponga a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento con las obligaciones establecidas en este DPA y permitir y contribuir a auditorías, incluidas inspecciones, por parte del Cliente o del auditor independiente de terceros del Cliente, sujeto siempre a las siguientes disposiciones:
- antes de solicitar una revisión o auditoría de conformidad con esta Sección 5.2, el Cliente tendrá en cuenta las certificaciones y auditorías de terceros relevantes de Sophos descritas en la Sección 5.1;
- El Cliente dará a Sophos un aviso razonable por escrito, con al menos 30 días de antelación, de una solicitud para realizar una auditoría o inspección bajo esta Sección 5.2, por proporcionar el alcance propuesto, la duración y la fecha de inicio de la auditoría;
- cuando un auditor de terceros realice la auditoría, dicho auditor de terceros debe ser un profesional o firma reputada y bien establecida, estar sujeto a obligaciones de confidencialidad apropiadas y no ser un competidor de Sophos;
- El Cliente llevará a cabo (y se asegurará de que sus auditores llevarán a cabo) dicha auditoría o inspección durante el horario laboral normal de Sophos con una mínima interrupción de las actividades comerciales;
- se llevará a cabo una auditoría o inspección no más de una vez al año, excepto cuando sea requerido por una Autoridad Supervisora o por las Leyes de Protección de Datos Aplicables;
- El Cliente (o sus auditores, según sea el caso) no tendrá acceso a otros clientes de Sophos (y su información);
- excepto donde la auditoría o inspección revele un incumplimiento por parte de Sophos de sus obligaciones materiales bajo este DPA, el Cliente reembolsará a Sophos los costos y gastos razonables incurridos por Sophos, incluidos los cargos por el tiempo dedicado por Sophos, su personal y sus asesores profesionales;
- El Cliente proporcionará a Sophos una copia de cualquier informe de auditoría generado en relación con una auditoría realizada bajo esta Sección 5.2, a menos que la ley aplicable lo prohíba;
- La información obtenida de la auditoría o inspección debe considerarse información confidencial de Sophos.
6. SUB-PROCESADORES
6.1 Sophos está generalmente autorizado a utilizar los Subprocesadores que están listados en https://www.sophos.com/es-es/legal/sub-processor (“Lista de Subprocesadores”), así como las Filiales de Sophos. Sophos puede contratar Subprocesadores adicionales (cada uno un “Nuevo Subprocesador”) sujeto a los términos establecidos en esta Sección 6.
6.2 Sophos notificará al Cliente sobre cualquier adición prevista de Nuevos Subprocesadores publicando los detalles de dicha adición en la Lista de Subprocesadores, enviando un correo electrónico al Cliente o proporcionando un aviso en el producto. El Cliente reconoce que cualquiera de estos métodos de notificación constituye un aviso a efectos de esta sección.
6.3 Si el Cliente no objeta por escrito el nombramiento de un Nuevo Subprocesador por parte de Sophos (por motivos razonables relacionados con la protección de los Datos Personales del Controlador) dentro de los 30 días posteriores a dicha notificación, se considerará que el Cliente ha consentido ese Nuevo Subprocesador. Si el Cliente objeta, las partes harán esfuerzos razonables para acordar arreglos alternativos dentro de los siguientes treinta (30) días. Si las partes no pueden llegar a un acuerdo dentro del plazo mencionado, el Cliente podrá optar por rescindir la parte de los Servicios afectada por el Nuevo Subprocesador, proporcionando un aviso por escrito de treinta (30) días a Sophos, y Sophos autorizará un reembolso o crédito prorrateado de cualquier tarifa prepagada por el período restante después de la rescisión.
6.4 Sophos impondrá requisitos de protección de datos a los Subprocesadores que sean sustancialmente equivalentes a los requisitos establecidos por este DPA. Sophos seguirá siendo plenamente responsable del cumplimiento de las obligaciones de cada Subprocesador.
6.5 Cuando la contratación de Subprocesadores requiera una Transferencia Restringida de Datos Personales del Controlador, Sophos implementará y mantendrá mecanismos de transferencia apropiados para garantizar el cumplimiento de las Leyes de Protección de Datos Aplicables.
7. TRANSFERENCIAS INTERNACIONALES DE DATOS
7.1 Ciertos productos permiten al Cliente seleccionar dónde alojar los Datos Personales del Controlador para dichos productos, incluidos en centros de datos que pueden estar ubicados fuera de la jurisdicción en la que se originan los datos. Esos lugares pueden incluir (a) el Espacio Económico Europeo, (b) el Reino Unido, (c) los Estados Unidos de América; o cualquier otro lugar que se especifique en el Acuerdo Principal (“Ubicación de Almacenamiento Central”). Para estos productos, la selección la realiza el Cliente en el momento de la instalación del producto, la creación de la cuenta o el primer uso del producto relevante. Una vez seleccionada por el Cliente, la Ubicación de Almacenamiento Central no puede ser modificada en una fecha posterior.
7.2 El Cliente acepta que, independientemente de la Ubicación de Almacenamiento Central seleccionada (si es relevante), Sophos puede transferir Datos Personales del Controlador internacionalmente, sujeto al cumplimiento de la Ley de Protección de Datos aplicable y las disposiciones de este DPA. Cuando la transferencia sea una Transferencia Restringida, Sophos implementará y mantendrá mecanismos de transferencia apropiados, tales como Cláusulas Contractuales Estándar, para garantizar el cumplimiento de las Leyes de Protección de Datos Europeas.
7.3 En la medida en que cualquier Transferencia Restringida tenga lugar desde el Cliente a Sophos:
- Las Cláusulas Contractuales Estándar se incorporan expresamente por referencia y forman parte de este DPA; y
- A los efectos de las Cláusulas Contractuales Estándar:
- Con respecto a los Datos Personales del Controlador, el Cliente es el exportador de datos y Sophos es el importador de datos y un Procesador.
- Cuando el Cliente es el Controlador, se aplicará el Módulo 2 de las Cláusulas Contractuales Estándar, sujeto a los términos del Anexo 3. Cuando el Cliente es un Procesador que actúa en nombre del Controlador, se aplicará el Módulo 3 de las Cláusulas Contractuales Estándar, sujeto a los términos del Anexo 3.
- La firma y la fecha de las partes en el Acuerdo Principal se consideran como la firma y la fecha de las Cláusulas Contractuales Estándar.
8. DURACIÓN
8.1 Este DPA comienza al (a) ejecutarse por ambas partes el Acuerdo Principal o (b) la fecha en que el Acuerdo Principal entra en vigor, si es posterior, y continúa hasta el primero de: (i) la expiración del derecho del Cliente a usar y recibir los Servicios, como se indica en el Acuerdo Principal o en cualquier derecho de licencia asociado; y (ii) la terminación del Acuerdo Principal.
9. OTRAS NORMATIVAS
9.1. Cualquier enmienda de este DPA es válida solo si está por escrito y firmada por o en nombre de cada parte.
9.2. En ningún caso la responsabilidad de Sophos hacia el Cliente que surja de, o en conexión con, este DPA excederá los límites de responsabilidad de Sophos establecidos en el Acuerdo Principal. Los límites de responsabilidad de Sophos establecidos en el Acuerdo Principal se aplicarán en conjunto tanto al Acuerdo Principal como a este DPA, de tal manera que un único régimen de limitación de responsabilidad se aplicará a ambos, el Acuerdo Principal y este DPA.
9.3. Este DPA (excluyendo las SCC) se regirá e interpretará de acuerdo con las leyes de Inglaterra y Gales, sin tener en cuenta los principios de conflicto de leyes. En la medida permitida por la ley aplicable, los tribunales de Inglaterra tendrán jurisdicción exclusiva para determinar cualquier disputa o reclamación que pueda surgir de, en virtud de o en conexión con este DPA.
9.4. El Acuerdo Principal, este DPA y los documentos expresamente mencionados en el Acuerdo Principal y este DPA constituirán el acuerdo completo entre las partes en relación con los Datos Personales recopilados, procesados y utilizados por Sophos en conexión con el Acuerdo Principal, y reemplazarán todos los acuerdos, arreglos y entendimientos previos entre las partes respecto a ese asunto.
9.5. En la medida de cualquier conflicto con los términos de este DPA y los términos de cualquier SCC celebrado por las partes, los términos de los SCC aplicables (incluidos los Anexos correspondientes) tendrán prioridad.
10. CAMBIOS EN LA LEY
10.1. Si se requiere alguna enmienda a este DPA como resultado de un cambio en las Leyes de Protección de Datos Aplicables, cualquiera de las partes podrá notificar por escrito a la otra parte sobre dicho cambio. Las partes discutirán y negociarán de buena fe cualquier variación necesaria a este DPA para abordar tales cambios. Las partes no retendrán de manera irrazonable el consentimiento o la aprobación para enmendar este DPA de acuerdo con esta Sección 10 o de otra manera.
LISTA DE ANEXOS
Anexo 1: DETALLES DEL PROCESAMIENTO
Anexo 2: MEDIDAS TÉCNICAS Y ORGANIZATIVAS
Anexo 3: TÉRMINOS ADICIONALES PARA TRANSFERENCIAS RESTRINGIDAS
Adjunto (al Anexo 3): Apéndice a los SCC (Módulo 2/Módulo 3): De Controlador a Procesador / De Procesador a Procesador
Anexo 1
DESCRIPCIÓN DEL PROCESAMIENTO
Este Anexo 1 describe el procesamiento que Sophos realizará como procesador en nombre del Cliente.
(a) Objeto del procesamientoSophos proporciona Servicios que están diseñados para detectar, prevenir y gestionar, o asistir a Sophos en la detección, prevención y gestión de amenazas de seguridad dentro o contra sistemas, redes, dispositivos, archivos y otros datos puestos a disposición por el Cliente. El contenido de cualquier información almacenada en estos sistemas, redes, dispositivos, archivos y otros datos es determinado únicamente por el Cliente.
(b) Naturaleza y propósito de las operaciones de procesamiento
- Proporcionar los Servicios bajo y de acuerdo con el Acuerdo.
- Los Datos Personales del Controlador estarán sujetos a las siguientes actividades básicas de procesamiento:
Cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o sobre conjuntos de Datos Personales en el curso de la prestación de los Servicios, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otro modo poner a disposición, alineación o combinación, restricción, eliminación o destrucción.
Los Datos Personales del Controlador serán procesados durante la vigencia del Acuerdo Principal y de acuerdo con las disposiciones de este DPA.
(d) Sujetos de datosLos Datos Personales del Controlador se refieren a las siguientes categorías de sujetos de datos:
- Personal y usuarios finales del Controlador
- Otros Sujetos de Datos cuyos Datos Personales son procesados en nombre del Controlador relacionados con los Servicios
Los Datos Personales del Controlador se refieren a las siguientes categorías de datos:
- Nombres de usuario y otros identificadores
- Información de red y actividad de red
- Otra información que puede ser transmitida o procesada en conexión con los Servicios
Los Datos Personales del Controlador se refieren a las siguientes categorías especiales de datos:
El contenido de cualquier información almacenada en los sistemas, redes, dispositivos, archivos y otros datos de Sophos es determinado únicamente por el Cliente. A menos que se especifique lo contrario, los Servicios de Sophos no están diseñados para procesar categorías especiales de datos.
Anexo 2
MEDIDAS TÉCNICAS Y ORGANIZATIVAS
Esta visión general de la seguridad de la información se aplica a los controles corporativos de Sophos para salvaguardar los Datos Personales del Controlador.
Prácticas y Políticas de Seguridad
Sophos se compromete a implementar salvaguardias físicas, técnicas, administrativas u organizativas que se relacionen con la protección de dichos Datos Personales del Controlador contra la destrucción, pérdida, acceso o alteración accidental o ilegal de los Datos del Controlador en posesión o control de Sophos. Sophos mantendrá políticas y estándares para la protección de los Datos Personales del Controlador que se originen de marcos de referencia estándar de la industria y establecerá estándares uniformes de seguridad y privacidad para las operaciones de Sophos.
Seguridad Organizacional
Es responsabilidad de los individuos en toda la organización cumplir con estas prácticas y estándares. Para facilitar la adherencia corporativa a estas prácticas y estándares, la función de seguridad de la información proporciona:
- Estrategia y cumplimiento de políticas/estándares y regulaciones, concienciación y educación, evaluaciones y gestión de riesgos, gestión de requisitos de seguridad contractual, consultoría de aplicaciones e infraestructura, pruebas de aseguramiento y orientación de la dirección de seguridad de la empresa;
- Pruebas de seguridad, diseño e implementación de soluciones de seguridad para habilitar la adopción de controles de seguridad en todo el entorno;
- Operaciones de seguridad de las soluciones de seguridad implementadas, el entorno y los activos, y gestión de actividades de respuesta a incidentes;
Seguridad del Personal
Como parte del proceso de empleo y sujeto a la legislación local, los empleados pasan por un proceso de selección al ser contratados. La capacitación anual en cumplimiento de Sophos incluye un requisito para que los empleados completen un curso en línea sobre seguridad de la información y protección de datos. El programa de concienciación sobre seguridad también puede proporcionar materiales específicos para ciertas funciones laborales.
Seguridad Física y Ambiental
Sophos toma precauciones para garantizar que todos los sistemas que albergan Datos Personales del Controlador se mantengan en un entorno físicamente seguro para prevenir el acceso físico no autorizado, y que las restricciones de acceso en ubicaciones físicas que contienen Datos Personales del Controlador, como edificios, instalaciones informáticas y centros de almacenamiento de registros, estén diseñadas e implementadas para permitir el acceso solo a individuos autorizados y para detectar cualquier acceso no autorizado que pueda ocurrir, incluyendo, sin limitación, controles de acceso con tarjeta, restricciones de acceso a áreas sensibles, alarmas en las instalaciones, así como el registro y control de visitantes.
Gestión de Comunicaciones y Operaciones
Sophos gestiona los cambios en su infraestructura, sistemas y aplicaciones a través de un programa formal de gestión de cambios diseñado para garantizar la integridad y seguridad de los Datos Personales del Controlador. Los controles incluyen pruebas, análisis de impacto en el negocio y aprobación de la gestión cuando sea apropiado. Existen procedimientos de respuesta a incidentes para incidentes de seguridad y protección de datos que pueden incluir análisis de incidentes, contención, respuesta, remediación, informes y el retorno a las operaciones normales.
Para protegerse contra ataques cibernéticos, se pueden implementar controles adicionales basados en el riesgo. Dichos controles pueden incluir, pero no se limitan a, políticas y estándares de seguridad de la información, acceso restringido, autenticación multifactor, entornos de desarrollo y prueba designados, detección de malware; escaneo de tráfico de correo electrónico y web; detección y respuesta gestionadas, registro y alerta sobre eventos clave, procedimientos de manejo de información basados en el tipo de datos, así como escaneo de vulnerabilidades de sistemas y aplicaciones.
Controles de Acceso
Sophos mantiene medidas y procedimientos de seguridad apropiados para garantizar que el acceso a todos los sistemas que albergan Datos Personales del Controlador esté protegido mediante el uso de sistemas de control de acceso que identifiquen de manera única a cada individuo que requiera acceso, otorguen acceso solo a individuos autorizados y, basándose en el principio de menor privilegio, prevengan que personas no autorizadas obtengan acceso a los Datos Personales del Controlador, limiten y controlen adecuadamente el alcance del acceso otorgado a cualquier persona autorizada, y registren todos los eventos de acceso relevantes.
Controles de Subcontratista
Sophos será responsable de garantizar que sus subcontratistas que procesan Datos Personales del Controlador mantengan programas de seguridad de datos que sean al menos tan estrictos como los propios programas de Sophos con respecto al servicio aplicable para el cual se ha contratado a dicho subcontratista, y de acuerdo con las normas y prácticas de la industria generalmente aceptadas. Sophos mantendrá un programa de gestión de riesgos enfocado en la identificación, evaluación y validación de los controles de seguridad de un proveedor.
Desarrollo y Mantenimiento de Sistemas
Las vulnerabilidades de terceros publicadas se revisan para determinar su aplicabilidad en el entorno de Sophos. Basado en el riesgo para el negocio y los clientes de Sophos, existen plazos predefinidos para la remediación. Además, se realizan escaneos de vulnerabilidades y evaluaciones en nuevas aplicaciones clave, así como en la infraestructura, basados en el riesgo. Se utilizan revisiones de código y escáneres en el entorno de desarrollo antes de la producción para detectar proactivamente vulnerabilidades de codificación basadas en el riesgo. Estos procesos permiten la identificación proactiva de vulnerabilidades así como el cumplimiento.
Cumplimiento
Los departamentos de seguridad de la información, legal, privacidad y cumplimiento trabajan para identificar las leyes y regulaciones regionales aplicables a Sophos. Estos requisitos abarcan áreas como la propiedad intelectual de la empresa y nuestros clientes, licencias de software, protección de los datos personales de empleados y clientes, protección de datos y procedimientos de manejo de datos, transmisión de datos transfronteriza, procedimientos financieros y operativos, controles regulatorios de exportación relacionados con la tecnología y requisitos forenses. Mecanismos como el programa de seguridad de la información, auditorías/valoraciones internas y externas, consulta con asesores legales internos y externos, evaluación de controles internos, pruebas de penetración internas y valoraciones de vulnerabilidades, gestión de contratos, concienciación sobre seguridad, consultoría de seguridad, revisiones de excepciones de políticas y gestión de riesgos se combinan para impulsar el cumplimiento de estos requisitos.
Anexo 3
TÉRMINOS ADICIONALES PARA TRANSFERENCIAS RESTRINGIDAS
Este Anexo 3 incluye términos adicionales aplicables a Transferencias Restringidas, así como la información necesaria para completar los Apéndices (Anexos I – III) de las Cláusulas Contractuales Estándar aplicables.
1. Cuando el Cliente es un Controlador con respecto a los Datos Personales del Controlador, se aplicará el Módulo 2 de las Cláusulas Contractuales Estándar, sujeto a los términos de este Anexo 3.
2. Cuando el Cliente es un Procesador actuando en nombre de un Controlador con respecto a los Datos Personales del Controlador, se aplicará el Módulo 3 de las Cláusulas Contractuales Estándar, sujeto a los términos de este Anexo 3.
3. Para los propósitos de las Cláusulas Contractuales Estándar de la UE:
3.1 Cláusula 7: la cláusula de acoplamiento opcional no se aplicará;
3.2 Cláusula 9(a): se aplicará la opción 2 (Autorización General) y el importador de datos notificará al exportador de datos por escrito con al menos 30 días de antelación sobre cualquier cambio previsto.
3.3 Cláusula 11: el idioma opcional no se aplicará.
3.4 Cláusula 17: las Cláusulas Contractuales Estándar de la UE se regirán por las leyes de la República de Irlanda;
3.5 Cláusula 18: las disputas se resolverán ante los tribunales de la República de Irlanda;
3.6 El Apéndice de las Cláusulas Contractuales Estándar de la UE se completará con la información del adjunto a este Anexo 3.
4.Para los propósitos del Anexo del Reino Unido, se aplicará lo siguiente:
4.1 Los detalles de las Partes relevantes para la Tabla 1 se establecen en el Anexo I del adjunto a este Anexo 3;
4.2 Para los propósitos de la Tabla 2, el Anexo del Reino Unido se añadirá a las Cláusulas Contractuales Estándar de la UE con las mismas opciones y plazos mencionados anteriormente;
4.3 La información del apéndice indicada en la Tabla 3 se completará con la información del Anexo I y el Anexo II del adjunto a este Anexo 3.
5.Para los propósitos de los SCC suizos, se aplicarán los SCC de la UE de la siguiente manera:
5.1 Cualquier referencia en los SCC de la UE al GDPR se interpretará como referencias a la DPA suiza;
5.2 Las referencias a “UE”, “Unión”, “Estado miembro” y “ley del Estado miembro” se interpretarán como referencias a Suiza y a la ley suiza, según sea el caso;
5.3 Las referencias a la “autoridad de supervisión competente” y “tribunales competentes” se interpretarán como referencias al FDPIC y a los tribunales competentes en Suiza;
5.4 Los Anexos relevantes de los SCC suizos se completarán con la información del adjunto a este Anexo 3.
Adjunto a este Anexo 3
APÉNDICE A LOS SCC
MÓDULO 2 o MÓDULO 3 (según corresponda)
ANEXO I
A. LISTA DE PARTES
1. Exportador(es) de datos:
| Nombre: | Como se proporciona a Sophos bajo el Acuerdo Principal |
| Dirección: | Como se proporciona a Sophos bajo el Acuerdo Principal |
| Nombre de la persona de contacto, cargo y detalles de contacto: | Como se proporciona a Sophos bajo el Acuerdo Principal |
| Actividades relevantes para los datos transferidos bajo estos SCCs: | La compra de Productos según lo establecido en el Acuerdo Principal |
| Rol: | Controlador (cuando el Cliente es el Usuario Final) o Procesador (cuando el Cliente es un MSP o OEM) |
Firma y Fecha del Exportador de Datos: Fecha y firma según lo establecido en el Acuerdo Principal
2. Importador(es) de Datos:
| Nombre: | Sophos |
| Dirección: | El Pentágono, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido |
| Nombre de la persona de contacto, cargo y detalles de contacto: | Asesor de Privacidad en [email protected] |
| Actividades relevantes para los datos transferidos bajo estos SCC: | La provisión de Productos según lo establecido en el Acuerdo Principal |
| Rol: | Procesador |
Firma y Fecha del Importador de Datos: Fecha y firma según lo establecido en el Acuerdo Principal
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de sujetos de datos cuyos datos personales son transferidos:
- Según lo establecido en el Anexo 1.
Categorías de datos personales transferidos:
- Según lo establecido en el Anexo 1.
Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que consideren plenamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo, limitación estricta de propósito, restricciones de acceso (incluyendo acceso solo para el personal que ha seguido capacitación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales:
- Según lo establecido en el Anexo 1. Si se transfieren datos sensibles, consulte el Anexo 2 para conocer las restricciones aplicadas.
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de manera puntual o continua):
- Continua.
Naturaleza del procesamiento:
- Según lo establecido en el Anexo 1.
Propósito(s) de la transferencia de datos y procesamiento adicional:
- Según lo establecido en el Anexo 1.
El período durante el cual se conservarán los datos personales, o, si eso no es posible, los criterios utilizados para determinar ese período:
- Según lo establecido en el Anexo 1.
Para las transferencias a (sub)procesadores, también especifique el objeto, la naturaleza y la duración del procesamiento:
- Según lo establecido en el Anexo 1.
C. AUTORIDAD DE SUPERVISIÓN COMPETENTE
La autoridad de supervisión competente es la autoridad de supervisión del Estado miembro donde se encuentra el exportador de datos o según lo determinado de otra manera de acuerdo con el RGPD.
ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUYENDO MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Según lo establecido en el Anexo 2 del DPA.
ANEXO III – LISTA DE SUBPROCESADORES
No aplicable ya que las partes han acordado la autorización general para el uso de Subprocesadores.
Fecha de revisión: 1 de julio de 2026