Data Processing Addendum

NOTA: Esta traducción se generó automáticamente y se proporciona únicamente por conveniencia. Esta traducción generada automáticamente no es comparable a la calidad de una traducción humana y puede contener errores. Esta traducción se proporciona "TAL CUAL" y sin ninguna garantía respecto a la precisión, integridad o fiabilidad de la traducción. En caso de discrepancias entre la versión en inglés de este contrato y la versión traducida a un idioma extranjero, solo se considerará válida la versión en inglés.

 

ADENDA DE TRATAMIENTO DE DATOS

Este Adendum de Procesamiento de Datos («DPA») forma parte y se incorpora expresamente al acuerdo celebrado entre Sophos y el Cliente para la provisión por parte de Sophos al Cliente de ciertos productos y/o servicios («Contrato Principal»). A menos que se defina de otra manera, todos los términos en mayúsculas tendrán los significados que se indican en la Sección 1 a continuación.

 

DEFINICIONES

1.1. En esta DPA, los siguientes términos tendrán los siguientes significados:

Afiliado” significa, con respecto a cada parte, una entidad que controle, esté controlada por, o esté bajo control común con dicha parte. Para los fines de esta definición, “control” significa la propiedad real de más del cincuenta por ciento (50%) del poder de voto o del capital en una entidad o el derecho contractual o legal de dirigir la gestión de dicha entidad;

Leyes de protección de datos aplicables” significa todas las leyes y regulaciones aplicables al tratamiento de los datos personales del responsable según el acuerdo principal, incluyendo, cuando sea relevante, el RGPD, la Ley de protección de datos del Reino Unido y la CCPA

Beneficiario” tiene el significado que se le da en el Acuerdo MSP.

CCPA” significa la Ley de privacidad del consumidor de California, según enmienda por la Ley de derechos de privacidad de California de 2020), codificada en Cal. Civ. Código §§ 1798.100 - 1798.199.100 y las Regulaciones de la Ley de Privacidad del Consumidor de California emitidas al respecto, Cal. Código Regs. tit. 11, div. 6, ch. 1, cada uno según lo modificado;

Controlador” significa: (a) el Cliente, si el Cliente es un Usuario Final; (b) el Beneficiario, si el Cliente es un MSP; o (c) el Cliente Final, si el Cliente es un OEM;

Datos personales del controlador” se refiere a los datos personales que Sophos procesa en nombre del controlador como parte de la prestación de los servicios;

Cliente” significa: (1) el proveedor de servicios gestionados o el proveedor de servicios de seguridad gestionados (a cada uno se le denomina en adelante “MSP”) si el Contrato Principal es entre Sophos y un MSP ("Contrato de MSP”), (2) el fabricante de equipos originales (“OEM”) si el Contrato Principal es con un OEM autorizado para distribuir, sublicenciar o poner a disposición de terceros los productos de Sophos en combinación con sus productos como parte de una unidad combinada (“Contrato de OEM”); (3) el usuario final (“Usuario Final”), si el Contrato Principal es directamente con el cliente;

Interesado (a)” se refiere a la persona a la que se refiere el Controlador Datos personales relacionados;

Solicitudes del Sujeto de los Datos” significa cualquier solicitud de los Sujetos de los Datos que ejerzan sus derechos de acuerdo con las Leyes de Protección de Datos Aplicables;

EEE” significa el Espacio Económico Europeo, incluidos los Estados miembros de la Unión Europea;

Cliente final” tiene el significado que se le da en el Acuerdo OEM;

CCIs de la UE” se refiere a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, aprobadas por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021;

GDPR” significa el Reglamento General de Protección de Datos (UE) 2016/679, según se modifique de vez en cuando;

Datos personales” significa “datos personales” o “información personal”, según se definen estos términos en las Leyes de Protección de Datos Aplicables, e incluye cualquier información relacionada con una identificados o individuo o hogar identificable;

Infracción de datos personales” se refiere a una violación de la seguridad (que no sea causada por el Cliente o sus usuarios) que conduzca a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales del Controlador;

Procesador” se refiere a una persona o entidad que procesa datos personales en nombre y bajo las instrucciones de un controlador, incluida cualquier entidad que actúe como “proveedor de servicios” de conformidad con la CCPA;

Transferencia restringida” se refiere a una transferencia de datos personales a un tercer país donde dicha transferencia estaría prohibida bajo la Ley Europea de Protección de Datos en ausencia de mecanismos de transferencia apropiados, como reglas corporativas vinculantes o Cláusulas Contractuales Tipo;

Servicios” se refiere a cualquier producto proporcionado y/o servicio realizado por Sophos de conformidad con el Contrato Principal;

“Sophos” significa Sophos Limited, una empresa registrada en Inglaterra y Gales, número 2096520 con domicilio social en The Pentagon, Abingdon, OX14 3YP, Reino Unido;

Cláusulas Contractuales Tipo” o “CCT” significa: (i) cuando el RGPD se aplica a una Transferencia Restringida, las CCT de la UE; (ii) cuando la Ley de Protección de Datos del Reino Unido se aplica a una Transferencia Restringida, el Adicional del Reino Unido; y (iii) cuando la DPA suiza se aplica a una Transferencia Restringida, las CCT suizas;

Subprocesador” se refiere a cualquier entidad designada por Sophos para llevar a cabo el procesamiento de datos actividades relacionados con los datos personales del controlador;

“Autoridad de Supervisión” se refiere a la autoridad reguladora competente con respecto a las Leyes de Protección de Datos Aplicables, incluyendo, cuando sea aplicable, una autoridad de supervisión según se define en el RGPD;

“DPA suiza” significa la Ley Federal Suiza de Protección de Datos del 25 de septiembre de 2020, según las modificaciones que se realicen periódicamente;

CC de Suiza” se refiere a las cláusulas estándar de protección de datos aplicables para la transferencia de datos personales a terceros países emitidas, aprobadas o reconocidas de otro modo por el Comisionado Federal Suizo de Protección de Datos e Información («FDPIC»);

Tercer país” se refiere a un país fuera del EEE, el Reino Unido (“RU”) o Suiza que no haya sido designado por la Comisión Europea o por un organismo o persona equivalente en Suiza o en el RU como un país que garantiza un nivel adecuado de protección de conformidad con las leyes de protección de datos del EEE, el RU o Suiza (“Ley europea de protección de datos”);

Acuerdo adicional del Reino Unido“se refiere al Acuerdo internacional de transferencia de datos de las cláusulas contractuales tipo de la UE, emitido por la Oficina del Comisionado de Información del Reino Unido y presentado ante el Parlamento de conformidad con la sección 119A de la Ley de protección de datos de 2018 el 2 de febrero de 2022;

Ley de Protección de atos del Reino Unido” se refiere a la Ley de Protección de Datos del Reino Unido de 2018 y al RGPD, tal como se incorporan a la legislación del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018, ambos modificados periódicamente.

1.2. En este DPA, los términos en minúsculas “controlador”, “procesador”, “titular de los datos”, “datos personales” y “tratamiento” (y sus derivados) tendrán los significados que se indican en la Ley de Protección de Datos aplicable.

1.3. Los términos en mayúsculas que no estén definidos de otro modo en este DPA tendrán el significado que se les atribuya en el Contrato principal. 

 

2. ÁMBITO DE APLICACIÓN

  • 2.1. Este DPA se aplica cuando Sophos trata los datos personales del controlador en nombre del cliente como parte de la prestación de los servicios. El objeto y la duración del procesamiento de los datos personales del controlador por parte de Sophos, la naturaleza y el propósito del procesamiento, los tipos de datos personales del controlador que se procesarán y las categorías de los interesados, serán los descritos en: (a) este DPA; (b) el acuerdo principal; (c) el anexo 1 (detalles del procesamiento de datos); y (d) las instrucciones del cliente emitidas de conformidad con la sección 4 siguiente.
  • 2.2. El cliente es responsable de garantizar que el controlador (a) tenga una base legal para el procesamiento de los datos personales del controlador que Sophos realizará en nombre del cliente, y (b) haya obtenido todos los consentimientos necesarios de los interesados que puedan ser necesarios para el procesamiento de los datos personales del controlador por parte del cliente y Sophos; y (c) cumpla de otro modo con las leyes de protección de datos aplicables y garantizará que sus instrucciones a Sophos para el procesamiento de los datos personales del controlador cumplan en todos los aspectos con las leyes de protección de datos aplicables.
  • 2.3. Las partes acuerdan que, en relación con los datos personales del controlador, Sophos es un procesador o subprocesador, y el cliente es (a) el controlador cuando el cliente es un usuario final, o (b) un procesador, para el beneficiario o el cliente final, cuando el cliente es un MSP u OEM, respectivamente.

3. INSTRUCCIONES DEL CLIENTE

  • 3.1. El Cliente instruye a Sophos para que procese los Datos Personales del Controlador según lo razonablemente necesario para proporcionar y realizar los Servicios y según lo establecido en este DPA y en el Contrato Principal («Instrucciones del Cliente”). Sophos procesará los Datos Personales del Controlador de acuerdo con las Instrucciones del Cliente, excepto (a) cuando se acuerde lo contrario por escrito entre Sophos y el Cliente; o (b) cuando lo exija cualquier ley a la que esté sujeta Sophos (en cuyo caso, Sophos informará al Cliente de dicho requisito legal antes de cualquier procesamiento, a menos que dicha ley prohíba la provisión de dicha información por motivos importantes de interés público). Cuando el Cliente actúa como Procesador con respecto a los Datos Personales del Controlador, el Cliente deberá asegurarse de que las Instrucciones del Cliente hayan sido autorizadas por el Controlador correspondiente y no entren en conflicto con ninguna instrucción emitida por dicho Controlador.
  • 3.2. Si Sophos se entera de que las Instrucciones del Cliente infringen las Leyes de Protección de Datos Aplicables, informará al Cliente de inmediato y suspenderá el procesamiento de los Datos Personales del Controlador.
  • 3.3. Sin perjuicio de lo anterior, en la medida en que la CCPA se aplique a los datos personales del responsable, Sophos también acuerda que:
    • a. Sophos no utilizará, divulgará ni procesará de ninguna otra manera los Datos Personales del Controlador, excepto para el propósito comercial específico de realizar los Servicios, de acuerdo con los términos de este DPA y el Contrato Principal, y según lo autoricen las leyes aplicables;
    • b. Sophos puede contratar a Subprocesadores para procesar los Datos Personales del Controlador, sujeto a los términos de la Sección 7, y dicha contratación no se considerará una venta de los Datos Personales del Controlador;
    • c. Sophos no procesará los Datos Personales del Controlador fuera de la relación comercial directa entre el Cliente y Sophos ni para fines comerciales propios de Sophos;
    • d. Sophos no "compartirá" ni "vendrá" (según se definen esos términos en la CCPA) ningún Dato Personal del Controlador;
    • e. Sophos cumplirá con sus obligaciones de conformidad con la CCPA y proporcionará el mismo nivel de protección de la privacidad que el requerido por la CCPA;
    • f. Si Sophos considera que no podrá cumplir con los términos de la CCPA, Sophos notificará de inmediato al Cliente y le otorgará el derecho de tomar medidas razonables y apropiadas para garantizar que los Datos Personales del Controlador se procesen de una manera consistente. con las obligaciones del Controlador bajo la CCPA;
    • g. Sophos no conservará los Datos Personales del Controlador tras la expiración o terminación del Acuerdo Principal, salvo lo dispuesto en la Sección 4.6.
  • 3.4. Sophos certifica que comprende y cumplirá con las obligaciones establecidas en la Sección 3.3.

 

4. OBLIGACIONES DE SOPHOS

  • 4.1. Cooperación. Teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Controlador, Sophos proporcionará al Cliente (o, si el Cliente es un MSP u OEM, al Controlador) la asistencia razonable que sea necesaria para: (i) responder a las solicitudes de los interesados que ejerzan sus derechos en virtud de las Leyes de Protección de Datos Aplicables (incluyendo notificar al Cliente cuando reciba alguna de dichas solicitudes, siempre que no responda él mismo a menos que el Cliente lo haya autorizado para hacerlo), (ii) realizar evaluaciones de impacto sobre la protección de datos u otra evaluación que deba realizarse en virtud de las Leyes de Protección de Datos Aplicables; y (iii) consultar y cooperar con las Autoridades de Supervisión según lo requieran las Leyes de Protección de Datos aplicables. Sophos se reserva el derecho a Cobraremos por dicha asistencia si el costo de la asistencia excede una cantidad nominal.
  • 4.2. Solicitudes de terceros. A menos que la ley lo prohíba, Sophos notificará al Cliente cualquier solicitud de privacidad, correspondencia, consulta o queja que reciba de una Autoridad de Supervisión, autoridad judicial o agencia de aplicación de la ley en relación con el procesamiento de los Datos Personales del Controlador ("Solicitud de terceros”), proporcionando todos los detalles de los mismos. Sophos no responderá directamente a la Solicitud de Terceros, excepto (1) según las instrucciones escritas del Cliente o, (2) según lo exigido por las leyes aplicables.  
  • 4.3. Confidencialidad. Todo el personal de Sophos que procese los Datos Personales del Controlador deberá recibir una formación adecuada con respecto a sus obligaciones de protección de datos, seguridad y confidencialidad, y estará sujeto a obligaciones de confidencialidad escritas o legales.
  • 4.4. Seguridad. Sophos implementará las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo y para proteger los datos personales del responsable frente a una violación de datos personales. Dichas medidas tendrán en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, con el fin de garantizar un nivel de seguridad adecuado al riesgo. En particular, las medidas adoptadas por Sophos incluirán las descritas en el Anexo 2 de este DPA.
  • 4.5. Infracción de datos personales. Tras confirmar la ocurrencia de cualquier violación de datos personales, Sophos informará al Cliente sin demora injustificada y proporcionará toda la información y cooperación oportunas que el Cliente pueda requerir razonablemente para que el Cliente (y, si el Cliente es un MSP u OEM, su responsable) cumpla con sus obligaciones de notificación de violaciones de datos según (y de acuerdo con los plazos requeridos por) la legislación aplicable en materia de protección de datos. Sophos adoptará además las medidas y acciones que sean razonablemente necesarias para remediar o mitigar los efectos de la violación de datos personales y mantendrá informado al Cliente de los avances en relación con la violación de datos personales.
  • 4.5.6 Fin de los servicios. Al finalizar la prestación de los Servicios o a solicitud por escrito del Cliente, Sophos eliminará los Datos Personales del Controlador dentro de un plazo razonable después de el final de los Servicios o la solicitud, a menos que la legislación aplicable exija otra cosa, o sea necesario para cumplir con un requerimiento judicial o de cumplimiento. Si se requiere que Sophos retenga algún Dato Personal del Controlador, Sophos tomará medidas para garantizar la confidencialidad y seguridad continuas de los Datos Personales del Controlador mientras se retienen.

5. DERECHOS DE AUDITORÍA DEL CLIENTE

  • 5.1. El Cliente reconoce que Sophos es auditada regularmente según los estándares SSAE 18 SOC 2 por auditores independientes externos. A solicitud razonable, Sophos proporcionará al Cliente una copia de su informe de auditoría SOC 2, que estará sujeto a las disposiciones de confidencialidad del Contrato Principal como información confidencial de Sophos. Sophos también responderá a las preguntas de auditoría escritas razonables que le envíe el Cliente, siempre que el Cliente no ejerza este derecho más de una vez al año.
  • 5.2. Si, en opinión razonable del Cliente, los materiales proporcionados en la Sección 5.1 son insuficientes para demostrar el cumplimiento de Sophos con este DPA, entonces el Cliente puede solicitar por escrito que Sophos ponga a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y permita y contribuya a las auditorías, incluidas las inspecciones, por parte del Cliente o del auditor independiente del Cliente, sujeto siempre a las siguientes disposiciones:
    • a. Antes de solicitar una revisión o auditoría de conformidad con esta Sección 5.2, el Cliente tendrá en cuenta las certificaciones y auditorías de terceros de Sophos pertinentes descritas en la Sección 5.1;
    • b. El Cliente notificará a Sophos con una antelación razonable, de al menos 30 días, cualquier solicitud de realizar una auditoría o inspección conforme a esta Sección 5.2, mediante proporcionando el alcance propuesto, la duración y la fecha de inicio de la auditoría;
    • c. en caso de que la auditoría la lleve a cabo un tercero, dicho tercero debe ser un profesional o una empresa reputada y consolidada, estar sujeto a las obligaciones de confidencialidad adecuadas y no ser un competidor del Proveedor;
    • d. el Cliente llevará a cabo dicha auditoría o inspección (y se asegurará de que sus auditores la lleven a cabo) durante el horario laboral habitual de Sophos, con la mínima interrupción posible de las actividades comerciales;
    • e. no se llevará a cabo más de una auditoría o inspección anual, salvo que lo exija una Autoridad de Supervisión o las Leyes de Protección de Datos aplicables;
    • f. el Cliente (o sus auditores, según proceda) no tendrá acceso a otros clientes de Sophos (y a su información);
    • g. excepto cuando la auditoría o inspección revele un incumplimiento por parte de Sophos de sus obligaciones materiales en virtud del presente DPA, el Cliente reembolsará a Sophos los costes y gastos razonables incurridos por Sophos, incluidos los cargos por el tiempo dedicado por Sophos, su personal y sus asesores profesionales;
    • h. el Cliente proporcionará a Sophos una copia de cualquier informe de auditoría generado en relación con una auditoría realizada en virtud de esta Sección 5.2, a menos que lo prohíba la legislación aplicable;
    • i. la información obtenida de la auditoría o inspección se considerará información confidencial de Sophos.

6. SUEPOSTRESOROS

  • 6.1. Sophos está generalmente autorizada para utilizar los  Subprocesadores que se enumeran en https://www.sophos.com/en-us/legal/sub-processor (“Lista de subprocesadores”), así como las filiales de Sophos. Sophos puede contratar a Subprocesadores adicionales (cada uno de ellos un "Nuevo Subprocesador") sujeto a los términos establecidos en esta Sección 6.
  • 6.2. Sophos notificará al Cliente cualquier intención de añadir Subprocesadores nuevos publicando los detalles de dicha adición en la Lista de subprocesadores y enviando un correo electrónico al Cliente.
  • 6.3. Si el Cliente no se opone por escrito a la designación por parte de Sophos de un Subprocesador nuevo (por motivos razonables relacionados con la protección de los datos personales del Controlador) en un plazo de 30 días a partir de dicha notificación, se considerará que el Cliente ha dado su consentimiento para que dicho Subprocesador nuevo. Si el Cliente se opone, las partes deberán hacer todo lo posible para acordar arreglos alternativos dentro de los siguientes treinta (30) días. Si las partes no pueden llegar a un acuerdo dentro de dicho plazo, el Cliente puede optar por rescindir la parte de los Servicios afectada por el Nuevo Subprocesador previa notificación por escrito de treinta (30) días a Sophos y Sophos autorizará un reembolso o crédito proporcional de cualquier tarifa prepagada por el período restante después de la rescisión.
  • 6.4. Sophos impondrá requisitos de protección de datos a los subprocesadores que sean sustancialmente equivalentes a los requisitos establecidos en este DPA. Sophos seguirá siendo plenamente responsable del cumplimiento de las obligaciones de cada subprocesador.
  • 6.5 Cuando la contratación de Subprocesadores requiere una Transferencia Restringida de Datos Personales del Controlador, Sophos implementará y mantendrá los mecanismos de transferencia adecuados para garantizar el cumplimiento de las leyes de protección de datos aplicables.

7. TRANSFERENCIAS INTERNACIONALES DE DATOS

  • 7.1. Ciertos productos permiten al Cliente seleccionar dónde alojar los datos personales del controlador para dichos productos, incluidos los centros de datos que pueden estar ubicados fuera de la jurisdicción en la que se originan los datos. Esos lugares pueden incluir (a) el Espacio Económico Europeo, (b) el Reino Unido, (c) los Estados Unidos de América; u otro lugar que se especifique en el Acuerdo Principal («Ubicación de almacenamiento central”). Para estos productos, la selección la realiza el Cliente en el momento de la instalación del producto, la creación de la cuenta o el primer uso del producto relevante. Una vez seleccionada por el Cliente, la ubicación central de almacenamiento no puede modificarse en una fecha posterior.
  • 7.2. El Cliente acepta que, independientemente del lugar de almacenamiento central seleccionado (si es relevante), Sophos puede transferir internacionalmente los datos personales del controlador, sujeto al cumplimiento de ley de protección de datos aplicable y las disposiciones del presente DPA. Cuando la transferencia es una transferencia restringida, Sophos lo hará implementar y mantener mecanismos de transferencia adecuados, como Cláusulas contractuales tipo, para garantizar el cumplimiento de las leyes europeas de protección de datos.
  • 7.3. Para el caso de cualquier transferencia restringida tener lugar desde el Cliente para Sophos:
    • 7.3.1. Las Cláusulas Contractuales Tipo se incorporan expresamente en el presente documento por referencia y forman parte de este DPA; y
    • 7.3.2. A los efectos de las Cláusulas Contractuales Tipo:
      • 7.3.2.1. Con respecto a los Datos Personales del Controlador, el Cliente es el exportador de datos y Sophos es el importador de datos y un Encargado del Tratamiento.
      • 7.3.2.2. Cuando el Cliente es el Controlador, se aplicará el Módulo 2 de las Cláusulas Contractuales Tipo, sujeto a los términos del Anexo 4. Cuando el Cliente es un Encargado del Tratamiento que actúa en nombre del Controlador, se aplicará el Módulo 3 de las Cláusulas Contractuales Tipo, sujeto a los términos del Anexo 4.
      • 7.3.2.3. La firma y la fecha de las partes en el Acuerdo Principal se consideran como la firma y la fecha de las Cláusulas Contractuales Tipo.  

8. DURACIÓN

  • 8.1. Este DPA comienza a partir de (a) la ejecución por ambas partes del Acuerdo Principal o (b) la fecha en que el Acuerdo Principal entre en vigor, si es posterior, y continúa hasta la fecha que ocurra primero: (i) la expiración del derecho del Cliente a utilizar y recibir los Servicios, según se indica en el Acuerdo Principal o en cualquier derecho de licencia asociado; y (ii) la terminación del Acuerdo Principal.

9. OTRAS NORMAS

  • 9.1. Cualquier modificación del presente DPA solo será válida si está por escrito y firmada por ambas partes o en nombre de ambas.
  • 9.2. En ningún caso la responsabilidad de Sophos ante el Cliente en relación con cualquier problema que surja de, o en relación con, el presente DPA superará las limitaciones de responsabilidad de Sophos establecidas en el Contrato Principal. Las limitaciones de responsabilidad de Sophos establecidas en el Contrato Principal se aplicarán de forma agregada tanto al Contrato Principal como al presente DPA, de modo que se aplicará un régimen único de limitaciones de responsabilidad tanto al Contrato Principal como al presente DPA.
  • 9.3. El presente DPA (excluyendo los SCC) se regirá e interpretará de acuerdo con las leyes de Inglaterra y Gales, sin tener en cuenta los principios de conflicto de leyes. En la medida permitida por la ley aplicable, los tribunales de Inglaterra tendrán jurisdicción exclusiva para resolver cualquier disputa o reclamación que pueda surgir de, bajo o en relación con el presente DPA.
  • 9.4. El Contrato Principal, el presente DPA y los documentos a los que se hace referencia expresamente en el Contrato Principal y el presente DPA constituirán el acuerdo completo entre las partes en relación con los Datos Personales recopilados, procesados y utilizados por Sophos en relación con el Contrato Principal, y sustituirá a todos los acuerdos, arreglos y entendimientos anteriores entre las partes con respecto a dicho asunto.
  • 9.5. En caso de conflicto con los términos del presente DPA y los términos de los SCC suscritos por las partes, prevalecerán los términos de los SCC aplicables (incluidos cualquier Anexo al mismo).

10. CAMBIOS EN LA LEGISLACIÓN

  1. Si se requiere alguna modificación del presente DPA como resultado de un cambio en las Leyes de Protección de Datos Aplicables, cualquiera de las partes podrá enviar una notificación por escrito a la otra parte sobre dicho cambio. Las partes discutirán y negociarán de buena fe cualquier variación necesaria en este DPA para abordar dichos cambios. Las partes no denegarán de manera injustificada el consentimiento o la aprobación para modificar este DPA de conformidad con esta Sección 10 o de cualquier otra manera.

LISTA DE ANEXOS 

Exhibit 1: DETALLES DEL PROCESAMIENTO 

Exhibit 2: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

Exhibit 3: CONDICIONES ADICIONALES PARA TRANSFERENCIAS RESTRINGIDAS

Anexo (al Anexo 3): Apéndice de los SCC (Módulo 2/Módulo 3): Controlador a Procesador/Procesador a Procesador 

 

 

Anexo 1

DESCRIPCIÓN DEL PROCESAMIENTO

Este Anexo 1 describe el procesamiento que Sophos realizará como procesador en nombre del Cliente.

(a) Objeto del procesamiento

Sophos proporciona Servicios diseñados para detectar, prevenir y gestionar, o ayudar a Sophos a detectar, prevenir y gestionar amenazas de seguridad dentro o contra sistemas, redes, dispositivos, archivos y otros datos puestos a disposición por el Cliente. El contenido de cualquier información almacenada en estos sistemas, redes, dispositivos, archivos y otros datos está determinado únicamente por el Cliente.

 

(b)Naturaleza y finalidad de las operaciones de tratamiento

  • Prestación de los servicios en virtud y de conformidad con el Acuerdo. Los datos personales del responsable estarán sujetos a las siguientes actividades básicas de tratamiento:
  • Cualquier operación o conjunto de operaciones que se realicen sobre datos personales o sobre conjuntos de datos personales en el curso de la prestación de los servicios, como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, limitación, supresión o destrucción.

(c ) Duración de las operaciones de tratamiento:

El controlador procesará los datos personales para la duración del Acuerdo Principal y de acuerdo con las disposiciones del presente DPA.

 (d) Titulares de los datos

Los datos personales del responsable se refieren a las siguientes categorías de titulares de los datos:

  • Personal y usuarios finales del responsable  
  • Otros titulares de los datos cuyos datos personales se traten en nombre del responsable en relación con los servicios

(e) Tipos de datos personales

Los datos personales del Controlador se refieren a las siguientes categorías de datos:

  • Nombres de usuario y otros identificadores
  • Información de la red y actividad de la red
  • Otra información que pueda transmitirse o procesarse en relación con los Servicios

(f) Categorías especiales de datos (si procede)

Los datos personales del Controlador se refieren a las siguientes categorías especiales de datos:

El contenido de cualquier información almacenada en los sistemas, redes, dispositivos, archivos y otros datos de Sophos está determinado únicamente por el Cliente. A menos que se especifique lo contrario, los Servicios de Sophos no están diseñados para procesar categorías especiales de datos. 

 

 

Anexo 2

MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Esta descripción general de la seguridad de la información se aplica a los controles corporativos de Sophos para proteger los datos personales del Controlador.

 

Prácticas y políticas de seguridad

Sophos se compromete a implementar salvaguardas físicas, técnicas, administrativas u organizativas relacionadas con la protección de dichos datos personales del Controlador contra la destrucción, pérdida, acceso o alteración accidental o ilícita de los datos del Controlador en posesión o control de Sophos.  Sophos mantendrá políticas y normas para la protección de los datos personales del Controlador que provengan de marcos de trabajo estándar de la industria y establezcan normas uniformes de seguridad y privacidad para las operaciones de Sophos.  

Seguridad organizativa

Es responsabilidad de las personas de la organización cumplir con estas prácticas y normas. Para facilitar la adhesión corporativa a estas prácticas y normas, la función de seguridad de la información proporciona:

1. Estrategia y cumplimiento de políticas/normas y regulaciones, concienciación y educación, evaluaciones de riesgos y gestión, gestión de requisitos de seguridad contractual, consultoría de aplicaciones e infraestructura, pruebas de garantía y dirige la dirección de seguridad de la empresa;

2. Pruebas de seguridad, diseño e implementación de soluciones de seguridad para permitir la adopción de controles de seguridad en todo el entorno;

3. Operaciones de seguridad de las soluciones de seguridad implementadas, el entorno y los activos, y gestión de las actividades de respuesta a incidentes;

Seguridad del personal

Como parte del proceso de contratación y sujeto a la legislación local, los empleados pasan por un proceso de verificación al contratarlos. La formación anual de cumplimiento de Sophos incluye el requisito de que los empleados completen un curso en línea sobre seguridad de la información y protección de datos. El programa de concienciación sobre seguridad también puede proporcionar materiales específicos para ciertas funciones laborales.

Seguridad física y ambiental

Sophos toma precauciones para garantizar que todos los sistemas que alojan los datos personales del controlador se mantengan en un entorno físicamente seguro para evitar el acceso físico no autorizado y que las restricciones de acceso en ubicaciones físicas que contienen datos personales del controlador, como edificios, instalaciones informáticas e instalaciones de almacenamiento de registros, estén diseñadas e implementadas para permitir el acceso solo a personas autorizadas y para detectar cualquier acceso no autorizado que pueda ocurrir, incluyendo, entre otros, controles de acceso con tarjeta, restricciones de acceso a áreas sensibles, alarmas de instalaciones, así como registro y registro de visitantes.

Gestión de comunicaciones y operaciones

Sophos gestiona los cambios en su infraestructura, sistemas y aplicaciones a través de un programa formal de gestión de cambios diseñado para garantizar la integridad y seguridad de los datos personales del controlador. Los controles incluyen pruebas, análisis de impacto empresarial y aprobación de gestión cuando proceda. Existen procedimientos de respuesta a incidentes para incidentes de seguridad y protección de datos que pueden incluir análisis de incidentes, contención, respuesta, remediación, notificación y retorno a las operaciones normales.

Para protegerse contra ataques de ciberseguridad, se pueden implementar controles adicionales en función del riesgo. Dichos controles pueden incluir, entre otros, políticas y normas de seguridad de la información, acceso restringido, autenticación multifactor, entornos de desarrollo y prueba designados, detección de malware; análisis de tráfico de correo electrónico y web; detección y respuesta gestionadas, registro y alerta sobre eventos clave, procedimientos de manejo de información basados en el tipo de datos, así como análisis de vulnerabilidad de sistemas y aplicaciones.

Controles de acceso

Sophos mantiene las medidas y procedimientos de seguridad apropiados para garantizar que el acceso a todos los sistemas que alojan datos personales del controlador esté protegido mediante el uso de sistemas de control de acceso que identifiquen de forma única a cada individuo que requiera acceso, concedan acceso solo a personas autorizadas y, basándose en el principio de los mínimos privilegios, impidan que personas no autorizadas accedan a los datos personales del controlador, limiten y controlen adecuadamente el alcance del acceso concedido a cualquier persona autorizada y registren todos los eventos de acceso relevantes.

Controles de subcontratistas

Sophos será responsable de garantizar que sus subcontratistas que procesan los datos personales del Controlador mantengan programas de seguridad de los datos que sean al menos tan estrictos como los propios programas de Sophos con respecto al servicio aplicable al que dicho subcontratista ha sido contratado, y de acuerdo con los estándares y prácticas generalmente aceptados en la industria. Sophos mantendrá un programa de gestión de riesgos centrado en la identificación, evaluación y validación de los controles de seguridad de un proveedor.

Desarrollo y mantenimiento del sistema

Se revisan las vulnerabilidades de terceros publicadas para determinar su aplicabilidad en el entorno de Sophos. En función del riesgo para la empresa y los clientes de Sophos, existen plazos predeterminados para la remediación. Además, se realizan análisis y evaluaciones de vulnerabilidades en aplicaciones nuevas y clave, así como en la infraestructura, en función del riesgo. Se utilizan revisiones de código y escáneres en el entorno de desarrollo antes de la producción para detectar de manera proactiva las vulnerabilidades de codificación en función del riesgo. Estos procesos permiten la identificación proactiva de vulnerabilidades, así como el cumplimiento.

Cumplimiento

Los departamentos de seguridad de la información, legales, de privacidad y de cumplimiento trabajan para identificar las leyes y regulaciones regionales aplicables a Sophos. Estos requisitos abarcan áreas como la propiedad intelectual de la empresa y de nuestros clientes, las licencias de software, la protección de los datos personales de los empleados y los clientes, los procedimientos de protección y manejo de datos, la transmisión transfronteriza de datos, los procedimientos financieros y operativos, los controles regulatorios de exportación en torno a la tecnología y los requisitos forenses. Mecanismos como el programa de seguridad de la información, las auditorías/evaluaciones internas y externas, la consulta con asesores legales internos y externos, la evaluación de controles internos, las pruebas de penetración interna y las evaluaciones de vulnerabilidad, la gestión de contratos, la concienciación sobre seguridad, la consultoría en seguridad, las revisiones de excepciones a las políticas y la gestión de riesgos se combinan para impulsar el cumplimiento de estos requisitos.

 

 

Anexo 3

CONDICIONES ADICIONALES PARA TRANSFERENCIAS RESTRINGIDAS

Este Anexo 3 incluye términos adicionales aplicables a las Transferencias Restringidas, así como la información necesaria para completar los Apéndices (Anexos I – III) de las Cláusulas Contractuales Tipo aplicables.

  1. Cuando el Cliente es un Controlador con respecto a los Datos Personales del Controlador, se aplicará el Módulo 2 de las Cláusulas Contractuales Tipo, sujeto a los términos de este Anexo 3.
  2. Cuando el Cliente es un Encargado que actúa en nombre de un Controlador con respecto a los Datos Personales del Controlador, se aplicará el Módulo 3 de las Cláusulas Contractuales Tipo, sujeto a los términos de este Anexo 3.
  3. Para los fines de los EU SCCs:
  • 3.1. Cláusula 7: la cláusula de acoplamiento opcional no se aplicará;
  • 3.2. Cláusula 9(a): se aplicará la opción 2 (Autorización General) y el importador de datos notificará por escrito al exportador de datos con al menos 30 días de antelación cualquier cambio previsto.
  • 3.3. Cláusula 11: el idioma opcional no se aplicará.
  • 3.4. Cláusula 17: las Condiciones Uniformes de la UE estarán regidas por las leyes de la República de Irlanda;
  • 3.5. Cláusula 18: las disputas se resolverán ante los tribunales de la República de Irlanda;
  • 3.6. El Apéndice de las Condiciones Uniformes de la UE se completará con la información del Anexo de esta Evidencia 3.

4. Para los fines del Adicional del Reino Unido, se aplicará lo siguiente:

  • 4.1. Los datos de las Partes pertinentes para la Tabla 1 son los que se establecen en el Anexo I del Anexo de esta Evidencia 3;
  • 4.2. Para los fines de la Tabla 2, el Adicional del Reino Unido se adjuntará a las Condiciones Uniformes de la UE con las mismas opciones y plazos indicados anteriormente;
  • 4.3. La información del apéndice que figura en la Tabla 3 se completará con la información de los Anexos I y II del Anexo de esta Evidencia 3.

5. Para los fines de los SCC suizos, los SCC de la UE se aplicarán de la siguiente manera:

  • 5.1. Cualquier referencia en las Condiciones Uniformes de la UE al RGPD se interpretará como una referencia a la APD suiza;
  • 5.2. Las referencias a “UE”, “Unión”, “Estado miembro” y “Derecho de los Estados miembros” se interpretarán como referencias a Suiza y al derecho suizo, según corresponda;
  • 5.3. Las referencias a la “autoridad de supervisión competente” y a los “tribunales competentes” se interpretarán como referencias a la FDPIC y a los tribunales competentes en Suiza;
  • 5.4. Los anexos pertinentes de los SCC suizos se completarán con la información del apéndice de esta exposición 3.

     

Apéndice de la exposición 3

APÉNDICE DE LOS SCC

MÓDULO 2 o MÓDULO 3 (según proceda)

ANEXO I

A. LISTA DE PARTES

1. Exportador(es) de datos:  

1. Exportador(es) de datos:  

Nombre

Según se proporcionó a Sophos en virtud del acuerdo principal

Dirección

Según se proporcionó a Sophos en virtud del acuerdo principal

Otros datos necesarios para identificar la organización 

Según se proporcionó a Sophos en virtud del acuerdo principal

Nombre de la persona de contacto:

Cargo:

Datos de contacto:

Según se proporcionó a Sophos en virtud del acuerdo principal
Actividades relevantes para los datos transferidos en virtud de estas cláusulas SCCLa compra de productos según lo establecido en el acuerdo principal

Rol

Controlador (cuando el cliente es el usuario final) o procesador (cuando el cliente es un MSP u OEM)

Firma y fecha del exportador de datos

Fecha y firma según lo establecido en el acuerdo principal

 

2. Importador(es) de datos: 

Nombre

Sophos Limited  

Dirección

The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido

Otros datos necesarios para identificar la organización 

Según lo definido en el acuerdo principal.

Nombre de la persona de contacto:

Cargo:

Datos de contacto:

Asesor de privacidad 

dataprotection@sophos.com

Actividades relevantes para los datos transferidos en virtud de estas cláusulas SCC

La prestación de productos según lo establecido en el acuerdo principal

Rol

Procesador

Firma y fecha del importador de datos: Fecha y firma según lo establecido en el acuerdo principal

 

B. DESCRIPCIÓN DE LA TRANSFERENCIA

1.1  Categorías de los interesados cuyos datos personales se transfieren.

  • Según se establece en el Anexo 1.

1.2 Categorías de datos personales transferidos.

  • Según se establece en el Anexo 1.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como, por ejemplo, la estricta limitación de la finalidad, las restricciones de acceso (incluido el acceso únicamente para el personal que haya recibido formación especializada), el registro de los accesos a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales.

  • Según se establece en el Anexo 1. Si se transfieren datos sensibles, véase el Anexo 2 para conocer las restricciones aplicadas.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua).

  • Continua.

Naturaleza del tratamiento

  • Según se establece en el Anexo 1.

Propósito(s) de la transferencia de datos y procesamiento adicional

  • Según se establece en el Anexo 1.

El período durante el cual se conservarán los datos personales, o, si eso no es posible, los criterios utilizados para determinar ese período

  • Según se establece en el Anexo 1.

Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento

  • Según se establece en el Anexo 1.

 

C. AUTORIDAD SUPERVISORA COMPETENTE

La autoridad supervisora competente es la autoridad supervisora del Estado miembro donde esté establecido el exportador de datos o según lo determinado de otro modo de conformidad con el RGPD.

ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Según se establece en el Anexo 2 del DPA.

ANEXO III – LISTA DE SUBPROCESADORES

No es aplicable, ya que las partes han acordado una autorización general para el uso de subprocesadores