Anexo de Procesamiento de Datos de ElevenLabs
1. Definiciones e Interpretación
A menos que se defina de otra manera aquí, los términos y expresiones en mayúsculas utilizados en este DPA tendrán el siguiente significado:
“Leyes de Protección de Datos Aplicables” significa cualquier legislación o regulación de privacidad o protección de datos aplicable, incluyendo pero no limitado a las Leyes de Protección de Datos Europeas, y la Ley de Privacidad del Consumidor de California, enmendada por la Ley de Derechos de Privacidad de California y sus regulaciones de implementación según se enmienden o reemplacen de vez en cuando(“CCPA”) así como leyes similares adoptadas en otros estados. En caso de conflicto en los significados de los términos definidos en las Leyes de Protección de Datos Aplicables, se aplicará el significado de la ley aplicable a la región de residencia del Sujeto de Datos relevante;
“Controlador” se interpretará de manera consistente con las Leyes de Protección de Datos Aplicables e incluye, como mínimo y donde sea aplicable, “controlador” tal como se define en las Leyes de Protección de Datos Europeas y las Leyes de Protección de Datos Aplicables en EE.UU. y “empresa” tal como se define en la CCPA;
"Datos Personales del Cliente" significa cualquier Dato Personal Procesado por ElevenLabs como Procesador en nombre del Cliente o Controlador de Terceros conforme al Acuerdo;
“Sujeto de Datos” se interpretará de manera consistente con las Leyes de Protección de Datos Aplicables, e incluye como mínimo y donde sea aplicable “sujeto de datos” tal como se define en las Leyes de Protección de Datos Europeas y “consumidor” tal como se define en la CCPA y las Leyes de Protección de Datos Aplicables en EE.UU.;
“Derechos del Sujeto de Datos”significa todos los derechos otorgados a los Sujetos de Datos bajo las Leyes de Protección de Datos Aplicables, que pueden incluir, según corresponda, derechos a la información, acceso, rectificación, borrado, restricción, portabilidad, objeción, el derecho a retirar el consentimiento, y el derecho a no ser objeto de decisiones individuales automatizadas de acuerdo con las Leyes de Protección de Datos Aplicables;
"Transferencia de Datos"significa una divulgación de Datos Personales del Cliente por una organización sujeta a las Leyes de Protección de Datos Europeas a otra organización ubicada fuera del EEE, el Reino Unido o Suiza;
"DPA"significa este Acuerdo de Procesamiento de Datos;
"EEE"significa el Área Económica Europea;
"Leyes de Protección de Datos Europeas"significa el Reglamento General de Protección de Datos (UE) 2016/679 (“RGPD”) y la Directiva de Privacidad Electrónica 2002/58/CE (enmendada por la Directiva 2009/136/CE), sus implementaciones nacionales en el EEE, incluyendo la Unión Europea, y todas las demás leyes de protección de datos del EEE, el Reino Unido (“Reino Unido”), y Suiza, cada una según sea aplicable, y según se enmienden o reemplacen de vez en cuando;
“Marco de Privacidad de Datos UE-EE.UU.” significa la decisión de adecuación establecida en la Decisión de Ejecución de la Comisión del 10 de julio de 2023, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de datos personales bajo el Marco de Privacidad de Datos UE-EE.UU., C(2023) 4745 final;
“Datos Personales” se interpretará de manera consistente con las Leyes de Protección de Datos Aplicables, e incluye como mínimo y donde sea aplicable “datos personales” tal como se define en las Leyes de Protección de Datos Europeas e “información personal” tal como se define en la CCPA;
“Procesar”y“Procesamiento”se interpretará de manera consistente con las Leyes de Protección de Datos Aplicables;
“Procesador”se interpretará de manera consistente con las Leyes de Protección de Datos Aplicables, e incluye como mínimo y donde sea aplicable un “procesador” tal como se define en las Leyes de Protección de Datos Europeas y “proveedor de servicios” o “contratista” tal como se definen en la CCPA;
“SCCs”significa las cláusulas anexas a la Decisión de Ejecución de la Comisión de la UE 2021/914 del 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo según se enmienden o reemplacen de vez en cuando;
"Servicios"significa los servicios proporcionados por ElevenLabs al Cliente bajo el Acuerdo.
"Subprocesador"significa cualquier persona designada por ElevenLabs para Procesar Datos Personales en nombre del Cliente en relación con el Acuerdo;
"Transferencia de Datos"significa una divulgación de Datos Personales del Cliente por una organización sujeta a las Leyes de Protección de Datos Europeas a otra organización ubicada fuera del EEE, el Reino Unido o Suiza;
“Controlador de Terceros”significa un Controlador para el cual el Cliente es un Procesador; y
“Anexo del Reino Unido” significa el anexo a las SCCs emitido por el Comisionado de Información del Reino Unido bajo la Sección 119A(1) de la Ley de Protección de Datos del Reino Unido 2018 (versión B1.0, en vigor el 21 de marzo de 2022).
Los términos,"Comisión","Estado Miembro","Violación de Datos Personales"y"Autoridad de Supervisión" tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia.
Los términos,“Propósito Comercial”,“Compartir”, y“Compartido” tendrán el mismo significado que se les da bajo la CCPA. Los términos“Vender”y“Venta” tendrán el significado definido en las Leyes de Protección de Datos Aplicables en EE.UU.
2. Alcance
2.1 Este DPA se aplica al Procesamiento de Datos Personales del Cliente por ElevenLabs. El asunto, naturaleza y propósitos del Procesamiento, los tipos de Datos Personales del Cliente y las categorías de Sujetos de Datos se establecen enAnexo I, que es parte integral de este DPA.
2.2 El Cliente es un Controlador de Datos Personales del Cliente y designa a ElevenLabs como Procesador de dichos datos. El Cliente es responsable del cumplimiento de los requisitos de las Leyes de Protección de Datos Aplicables a los Controladores. En particular, y donde sea aplicable, el Cliente reconoce y acepta que proporcionará aviso a los Sujetos de Datos sobre el Procesamiento de Datos Personales por ElevenLabs como se describe en este DPA, y obtendrá el consentimiento de los Sujetos de Datos para dicho Procesamiento por ElevenLabs según sea necesario para cumplir con la Ley de Protección de Datos Aplicable. ElevenLabs cumplirá con las obligaciones de las Leyes de Protección de Datos Aplicables y, según corresponda, proporcionará el nivel de protección de privacidad a los Datos Personales del Cliente requerido por dichas Leyes de Protección de Datos Aplicables.
2.3 Si el Cliente es un Procesador en nombre de un Controlador de Terceros, entonces el Cliente: es el único punto de contacto para ElevenLabs; debe obtener todas las autorizaciones necesarias de dicho Controlador de Terceros; asegurará que el Controlador de Terceros proporcionó aviso y obtuvo cualquier consentimiento necesario para el Procesamiento por ElevenLabs como se establece en la sección 2.2; y se compromete a emitir todas las instrucciones y ejercer todos los derechos en nombre de dicho otro Controlador de Terceros.
3. Procesamiento de Datos Personales del Cliente
3.1 ElevenLabs no Procesará Datos Personales del Cliente salvo en las instrucciones documentadas del Cliente relevante.
3.2 Las instrucciones del Cliente están documentadas en este DPA, el Acuerdo, y cualquier declaración de trabajo aplicable, y ElevenLabs procesará los Datos Personales del Cliente para los propósitos limitados y específicos de llevar a cabo estas instrucciones documentadas o según lo permita expresamente las Leyes de Protección de Datos Aplicables. Donde lo permitan las Leyes de Protección de Datos Aplicables, el Cliente tiene el derecho de tomar medidas razonables y apropiadas para asegurar que ElevenLabs use los Datos Personales del Cliente de manera consistente con las obligaciones del Cliente bajo las Leyes de Protección de Datos Aplicables.
3.3 Únicamente para los propósitos de la CCPA, y salvo que lo permita expresamente la CCPA, ElevenLabs tiene prohibido: (i) Vender o Compartir Datos Personales del Cliente, (ii) retener, usar o divulgar Datos Personales del Cliente para cualquier propósito que no sea el propósito específico de realizar los Servicios, (iii) retener, usar o divulgar Datos Personales del Cliente con Datos Personales obtenidos de, o en nombre de, fuentes distintas al Cliente, salvo que lo permita expresamente la CCPA. Las Partes reconocen y acuerdan que el intercambio de Datos Personales entre las Partes no forma parte de ninguna contraprestación monetaria u otra contraprestación valiosa intercambiada entre las Partes con respecto al Acuerdo o este DPA.
3.4 A menos que lo prohíba la ley aplicable, ElevenLabs informará al Cliente si ElevenLabs está sujeto a una obligación legal que requiere que ElevenLabs Procese Datos Personales del Cliente en contravención de las instrucciones documentadas del Cliente.
4. Personal
ElevenLabs tomará medidas razonables para asegurar la fiabilidad de cualquier empleado, agente o contratista que pueda tener acceso a los Datos Personales del Cliente, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer/acceder a los Datos Personales del Cliente relevantes, según sea estrictamente necesario para los propósitos del Acuerdo, y asegurando que todas esas personas estén sujetas a obligaciones contractuales de confidencialidad o a obligaciones profesionales o legales de confidencialidad.
5. Seguridad
5.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, ElevenLabs implementará en relación con los Datos Personales del Cliente medidas técnicas y organizativas apropiadas para asegurar un nivel de seguridad adecuado a ese riesgo, incluyendo, según corresponda, las medidas enumeradas enAnexo II.
5.2 Al evaluar el nivel adecuado de seguridad, ElevenLabs tomará en cuenta en particular los riesgos que presenta el Procesamiento, en particular de una Violación de Datos Personales.
6. Subprocesamiento
6.1. El Cliente autoriza por la presente a ElevenLabs a contratar Subprocesadores. Una lista de los Subprocesadores actuales de ElevenLabs se incluye enhttps://compliance.elevenlabs.io.
6.2. ElevenLabs celebrará un acuerdo por escrito con los Subprocesadores que imponga las mismas obligaciones requeridas por las Leyes de Protección de Datos Aplicables.
6.3. ElevenLabs notificará al Cliente antes de cualquier cambio previsto en los Subprocesadores. El Cliente puede oponerse a la adición de un Subprocesador proporcionando un aviso por escrito detallando los motivos de dicha objeción dentro de los treinta (30) días siguientes a la notificación de ElevenLabs del cambio previsto. El Cliente y ElevenLabs trabajarán juntos de buena fe para abordar la objeción del Cliente. Si ElevenLabs decide retener al Subprocesador, ElevenLabs informará al Cliente al menos treinta (30) días antes de autorizar al Subprocesador a Procesar Datos Personales del Cliente, y cualquiera de las partes puede interrumpir inmediatamente la prestación o el uso de las partes relevantes de los Servicios, según corresponda, y puede terminar las partes relevantes de los Servicios dentro de los treinta (30) días.
7. Derechos del Sujeto de Datos
7.1 Teniendo en cuenta la naturaleza del Procesamiento y la información disponible para ElevenLabs, ElevenLabs asistirá al Cliente implementando medidas técnicas y organizativas apropiadas, según corresponda, para el cumplimiento de las obligaciones del Cliente de responder a las solicitudes para ejercer los Derechos del Sujeto de Datos.
7.2 ElevenLabs deberá:
- 7.2.1 notificar rápidamente al Cliente si recibe una solicitud de un Sujeto de Datos bajo cualquier Ley de Protección de Datos Aplicable en relación con los Datos Personales del Cliente; y
- 7.2.2 asegurar que no responde a esa solicitud excepto en las instrucciones documentadas del Cliente o según lo requieran las leyes aplicables.
8. Violación de Datos Personales
8.1 ElevenLabs notificará al Cliente sin demora indebida al tomar conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente, proporcionando al Cliente información suficiente para permitirle cumplir con cualquier obligación de informar o informar a los Sujetos de Datos sobre la Violación de Datos Personales bajo las Leyes de Protección de Datos Aplicables.
8.2 ElevenLabs cooperará con el Cliente y tomará medidas comerciales razonables según lo indique el Cliente para ayudar en la investigación, mitigación y remediación de cada Violación de Datos Personales.
9. Evaluación de Impacto de Protección de Datos y Consulta Previa
ElevenLabs proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto de protección de datos, y consultas previas con Autoridades de Supervisión u otras autoridades competentes de privacidad de datos, que el Cliente considere razonablemente necesarias según el artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos Aplicable, en cada caso únicamente en relación con el Procesamiento de Datos Personales del Cliente por, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para ElevenLabs.
10. Eliminación o Devolución de Datos Personales del Cliente
10.1. Este DPA se termina al finalizar el Acuerdo.
10.2. El Cliente puede solicitar la devolución de los Datos Personales del Cliente en posesión de ElevenLabs o de los Subprocesadores de ElevenLabs hasta noventa (90) días después de la terminación del Acuerdo. A menos que lo requiera o permita la ley aplicable, ElevenLabs eliminará todas las copias restantes de los Datos Personales del Cliente dentro de los ciento ochenta (180) días después de devolver los Datos Personales del Cliente al Cliente. ElevenLabs puede retener Datos Personales del Cliente en la medida requerida por la ley aplicable, pero solo en la medida y por el período requerido por dicha ley y siempre asegurando la confidencialidad de todos esos Datos Personales del Cliente.
11. Derechos de Auditoría y Cumplimiento
11.1 Sujeto a esta Sección 11, y a solicitud razonable del Cliente, ElevenLabs pondrá a disposición del Cliente a solicitud toda la información y documentación necesaria para demostrar el cumplimiento de este Acuerdo. Donde lo permita la ley, ElevenLabs puede en su lugar poner a disposición del Cliente un resumen de los resultados de una auditoría de terceros o informes de certificación relevantes para el cumplimiento de ElevenLabs con este DPA.
11.2 Donde lo permitan las Leyes de Protección de Datos Aplicables, el Cliente tiene el derecho de monitorear el cumplimiento de ElevenLabs con este DPA a través de auditorías e inspecciones razonables por parte del Cliente o el auditor designado por el Cliente. ElevenLabs cooperará con cualquier auditoría o inspección iniciada por el Cliente, siempre que dicha auditoría o inspección no interfiera de manera irrazonable con la conducta normal del negocio de ElevenLabs. A menos que la auditoría o inspección revele un incumplimiento por parte de ElevenLabs de este DPA o de la Ley de Protección de Datos Aplicable, el Cliente asumirá los costos de la auditoría o inspección.
11.3 Los derechos de información del Cliente solo surgen bajoSección 11.1en la medida en que el Acuerdo no otorgue de otro modo al Cliente derechos de información que cumplan con los requisitos relevantes de la Ley de Protección de Datos Aplicable.
11.4 Únicamente para el propósito de la CCPA, ElevenLabs notificará rápidamente al Cliente si determina que ya no puede cumplir con sus obligaciones bajo la CCPA. Al recibir la notificación de ElevenLabs de acuerdo con esta subsección, el Cliente puede dirigir a ElevenLabs a tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales del Cliente.
12. Transferencia de Datos
12.1 El Cliente autoriza por la presente a ElevenLabs a realizar Transferencias de Datos a cualquier país considerado con un nivel adecuado de protección de datos por la Comisión Europea, incluyendo sobre la base del Marco de Privacidad de Datos UE-EE.UU., o por otras autoridades competentes (incluyendo en el Reino Unido y Suiza), según corresponda; sobre la base de garantías adecuadas de acuerdo con las Leyes de Protección de Datos Europeas; o conforme a las SCCs y el Anexo del Reino Unido mencionado enSecciones 12.2y12.3a continuación.
12.2 Al celebrar este DPA, el Cliente y ElevenLabs concluyen el Módulo 2 (controlador a procesador) de las SCCs y, en la medida en que el Cliente sea un Procesador en nombre de un Controlador de Terceros, el Módulo 3 (Procesador a Subprocesador) de las SCCs, que se incorporan y completan de la siguiente manera: el “exportador de datos” es el Cliente; el “importador de datos” es ElevenLabs; se implementa la cláusula de acoplamiento opcional en la Cláusula 7; se implementa la Opción 2 de la Cláusula 9(a) y el período de tiempo allí especificado se especifica en la Sección 6.3 anterior; se elimina la cláusula de reparación opcional en la Cláusula 11(a); se implementa la Opción 1 en la Cláusula 17 y la ley aplicable es la ley de Polonia; los tribunales en la Cláusula 18(b) son los Tribunales de Polonia; el Anexo I y II al Módulo 2 y 3 de las SCCs sonAnexo IyIIa este DPA respectivamente. Para las Transferencias de Datos desde Suiza, los Sujetos de Datos que tengan su residencia habitual en Suiza pueden presentar reclamaciones bajo las SCCs ante los tribunales de Suiza.
12.3 Al celebrar este DPA, el Cliente y ElevenLabs concluyen el Anexo del Reino Unido, que se incorpora y aplica a las Transferencias de Datos fuera del Reino Unido. La Parte 1 del Anexo del Reino Unido se completa de la siguiente manera: (i) en la Tabla 1, el “Exportador” es el Cliente y el “Importador” es ElevenLabs, sus detalles se establecen en este DPA, y el Acuerdo; (ii) en la Tabla 2, se selecciona la primera opción y las “SCCs Aprobadas de la UE” son las SCCs mencionadas en la Sección 12.2 de este DPA; (iii) en la Tabla 3, los Anexos 1 (A y B) y II a las “SCCs Aprobadas de la UE” son el Anexo I y II respectivamente; y (iv) en la Tabla 4, tanto el “Importador” como el “Exportador” pueden terminar el Anexo del Reino Unido.
ANEXO I
DESCRIPCIÓN DE LA TRANSFERENCIA
A.LISTA DE PARTES
Exportador de datos:
- Cliente (como se define arriba)
- Rol (controlador/procesador): Controlador, o Procesador en nombre de Controlador de Terceros
Importador de datos:
- Nombre: ElevenLabs (como se define arriba)
- Rol (controlador/procesador): Procesador en nombre del Cliente, o Subprocesador en nombre de Controlador de Terceros
B.DESCRIPCIÓN DE LA TRANSFERENCIA INTERNACIONAL DE DATOS
- Categorías de Sujetos de Datos cuyos Datos Personales se transfieren:
Sujetos de datos cuyas características están presentes en el contenido subido por el Cliente. - Categorías de Datos Personales transferidos:
Grabaciones de audio o video, entrada de texto u otro contenido subido por el Cliente. - Datos Sensibles transferidos (si aplica) y restricciones o salvaguardas aplicadas que consideren plenamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo limitación estricta de propósito, restricciones de acceso (incluyendo acceso solo para personal que haya seguido formación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.
N/A - La frecuencia de la Transferencia Internacional de Datos (por ejemplo, si los Datos Personales se transfieren de manera única o continua):
De manera continua. - Naturaleza del procesamiento:
Los Datos Personales serán procesados y transferidos como se describe en el Acuerdo. - Propósito(s) de la Transferencia Internacional de Datos y Procesamiento adicional:
Los Datos Personales serán transferidos y procesados adicionalmente para la prestación de los servicios como se describe en el Acuerdo. - El período durante el cual se retendrán los Datos Personales, o, si no es posible, los criterios utilizados para determinar ese período:
Los Datos Personales se retendrán durante el tiempo necesario teniendo en cuenta el propósito del Procesamiento, y en cumplimiento con las leyes aplicables, incluyendo leyes sobre el plazo de prescripción y la Ley de Protección de Datos. - Para la Transferencia Internacional de Datos a (Sub)Procesadores, también especificar el asunto, naturaleza y duración del Procesamiento:
Para el asunto y la naturaleza del Procesamiento, se hace referencia al Acuerdo y este DPA. El Procesamiento tendrá lugar durante la duración del Acuerdo.
C.AUTORIDAD DE SUPERVISIÓN COMPETENTE
- La autoridad competente para el Procesamiento de Datos Personales relacionados con Sujetos de Datos ubicados en el EEE es la Autoridad de Supervisión del Estado Miembro de la UE en el que el exportador de datos está establecido.
- La autoridad competente para el Procesamiento de Datos Personales relacionados con Sujetos de Datos ubicados en el Reino Unido es el Comisionado de Información del Reino Unido.
- La autoridad competente para el Procesamiento de Datos Personales relacionados con Sujetos de Datos ubicados en Suiza es el Comisionado Federal de Protección de Datos e Información de Suiza.
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUYENDO MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA ASEGURAR LA SEGURIDAD DE LOS DATOS
ElevenLabs implementará, como mínimo, los siguientes tipos de medidas de seguridad al Procesar Datos Personales del Cliente:
1. Control de acceso físico
Medidas técnicas y organizativas para prevenir que personas no autorizadas accedan a los sistemas de procesamiento de datos disponibles en locales e instalaciones (incluyendo bases de datos, servidores de aplicaciones y hardware relacionado), donde se Procesan Datos Personales del Cliente, incluyen:
- Establecimiento de áreas de seguridad, restricción de rutas de acceso;
- Establecimiento de autorizaciones de acceso para empleados y terceros;
- Aseguramiento de equipos de procesamiento de datos descentralizados y ordenadores personales.
2. Control de acceso virtual
Medidas técnicas y organizativas para prevenir que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas incluyen:
- Procedimientos de identificación y autenticación de usuarios;
- Procedimientos de seguridad de ID/contraseña (caracteres especiales, longitud mínima, cambio de contraseña);
- Bloqueo automático (por ejemplo, contraseña o tiempo de espera);
- Monitoreo de intentos de intrusión y desactivación automática de la ID de usuario tras varios intentos de contraseña erróneos;
- Creación de un registro maestro por usuario, procedimientos de datos maestros de usuario por entorno de procesamiento de datos; y
- Cifrado de medios de datos archivados.
3. Control de acceso a datos
Medidas técnicas y organizativas para asegurar la confidencialidad y que las personas autorizadas para usar un sistema de procesamiento de datos accedan solo a esos Datos Personales del Cliente de acuerdo con sus derechos de acceso, y que los Datos Personales del Cliente no puedan ser leídos, copiados, modificados o eliminados sin autorización, incluyen:
- Políticas y procedimientos internos;
- Esquemas de autorización de control;
- Configuración predeterminada;
- Derechos de acceso diferenciados (perfiles, roles, transacciones y objetos);
- Acciones disciplinarias contra empleados que accedan a Datos Personales sin autorización;
- Informes de acceso;
- Procedimiento de acceso;
- Procedimiento de cambio;
- Procedimiento de eliminación; y
- Cifrado.
4. Control de divulgación
Medidas técnicas y organizativas para asegurar que los Datos Personales del Cliente no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica, transporte o almacenamiento en medios de almacenamiento (manual o electrónico), y que se pueda verificar a qué empresas u otras entidades legales se divulgan los Datos Personales del Cliente, incluyen:
- Cifrado/Pseudonimización/túneles;
- Registro; y
- Seguridad de transporte.
5. Control de entrada
Medidas técnicas y organizativas para monitorear si los Datos Personales del Cliente han sido ingresados, cambiados o eliminados (borrados), y por quién, de los sistemas de procesamiento de datos, incluyen:
- Sistemas de registro e informes; y
- Rastros de auditoría y documentación.
6. Control de instrucciones
Medidas técnicas y organizativas para asegurar que los Datos Personales del Cliente se Procesen únicamente de acuerdo con las instrucciones del Controlador incluyen:
- Redacción inequívoca del contrato;
- Comisionamiento formal (formulario de solicitud); y
- Criterios para seleccionar al Procesador.
7. Control de disponibilidad
Medidas técnicas y organizativas para asegurar la integridad, disponibilidad y resiliencia de los sistemas de procesamiento, y que los Datos Personales del Cliente estén protegidos contra destrucción o pérdida accidental (física/lógica) incluyen:
- Procedimientos de respaldo;
- Espejado de discos duros;
- Fuente de alimentación ininterrumpida (UPS);
- Almacenamiento remoto;
- Sistemas antivirus/firewall; y
- Plan de recuperación ante desastres, en caso de un incidente físico o técnico.
8. Control de separación
Medidas técnicas y organizativas para asegurar que los Datos Personales del Cliente recopilados para diferentes propósitos puedan ser Procesados por separado incluyen:
- Separación de bases de datos;
- Concepto de "cliente interno" / limitación de uso;
- Segregación de funciones (producción/pruebas); y
- Procedimientos para almacenamiento, modificación, eliminación, transmisión de datos para diferentes propósitos.
9. Controles de prueba
Medidas técnicas y organizativas para probar, evaluar y evaluar la efectividad de las medidas técnicas y organizativas implementadas para asegurar la seguridad del procesamiento incluyen:
- Revisión y prueba periódica del plan de recuperación ante desastres;
- Prueba y evaluación de actualizaciones de software antes de su instalación;
- Escaneo de vulnerabilidades autenticado (con derechos elevados); y
- Banco de pruebas para pruebas de penetración específicas.
10. Gobernanza de TI
Medidas técnicas y organizativas para mejorar la gestión general de TI y asegurar que las actividades asociadas con la información y la tecnología estén alineadas con los esfuerzos de cumplimiento incluyen:
- Certificación/aseguramiento de procesos y productos;
- Procesos para minimización de datos;
- Procesos para calidad de datos;
- Procesos para retención limitada de datos;
- Procesos para asegurar la responsabilidad; y
- Políticas de manejo de derechos del sujeto de datos.
Las medidas en este Anexo se aplican a todas las transferencias descritas en este DPA.
(Última modificación 30 de abril de 2024)