Última modificación: 8 de agosto de 2023 | Versiones anteriores
Jibe y la contraparte que acepta este anexo ("Socio") celebraron un acuerdo para el aprovisionamiento de los Servicios del Encargado del Tratamiento de Datos (con sus posteriores enmiendas, el "Acuerdo").
Jibe y el Socio celebran este Anexo de Tratamiento de Datos (incluidos los apéndices, "Anexo de Tratamiento de Datos") que complementa el Acuerdo. Este Anexo de Tratamiento de Datos entrará en vigencia y reemplazará cualquier condición aplicable anteriormente relacionada con su objeto (incluidas las condiciones de seguridad y procesamiento de datos relacionadas con los Servicios del Encargado del Tratamiento de Datos) a partir de la Fecha de Entrada en Vigencia de las Condiciones.
Si aceptas este Anexo de Procesamiento de Datos en nombre del Socio, garantizas que (a) tienes plena autoridad legal para vincular al Socio a este Anexo de Procesamiento de Datos; (b) leíste y comprendes este Anexo de Procesamiento de Datos; y (c) aceptas este Anexo de Procesamiento de Datos en nombre del Socio. Si no tiene la autoridad legal para vincular al Socio, no acepte este Anexo de Tratamiento de Datos.
1. Introducción
Este Apéndice de Tratamiento de Datos refleja el acuerdo de las partes respecto de las condiciones que rigen el tratamiento y la seguridad de ciertos datos en relación con la Legislación sobre Protección de Datos Europea y No Europea.
2. Definiciones y sus Interpretaciones
2.1 En este Anexo de Tratamiento de Datos:
“Producto Adicional” hace referencia a un producto, servicio o aplicación que proporciona Jibe o un tercero que (a) no forma parte de los Servicios del Procesador y (b) al que se puede acceder para usarlo en la interfaz de usuario de los Servicios del Procesador o que, de otro modo, está integrado en los Servicios del Procesador.
"Condiciones Adicionales de la Legislación No Europea de Protección de Datos" hace referencia a las condiciones adicionales que se mencionan en el Apéndice 3, las cuales reflejan el acuerdo de las partes sobre las condiciones que rigen el tratamiento de ciertos datos en relación con cierta Legislación No Europea de Protección de Datos.
"País Adecuado" hace referencia a lo siguiente:
(a) para los datos procesados sujetos al GDPR de la UE: el EEE o un país o territorio que sea reconocido por garantizar la protección adecuada de los datos en virtud del GDPR de la UE
(b) para los datos procesados sujetos al RGPD del Reino Unido: el Reino Unido o un país o territorio que sea reconocido por garantizar la protección adecuada de los datos en virtud del RGPD del Reino Unido y de la Ley de Protección de Datos de 2018
(c) para los datos procesados sujetos a la FDPA de Suiza: Suiza, o un país o territorio que (i) esté incluido en la lista de los estados cuya legislación garantiza un nivel adecuado de protección, según lo publicado por el Comisionado Federal de Protección de Datos e Información de Suiza, o (ii) que el Consejo Federal de Suiza reconozca por garantizar una protección adecuada de los datos en virtud de la FDPA de Suiza, en cada caso, que no se base en un marco opcional de protección de datos.
"Solución alternativa de transferencia" hace referencia a una solución, excepto las SCC, que permite la transferencia legal de datos personales a un tercer país de conformidad con la Legislación Europea sobre Protección de Datos, por ejemplo, un marco de protección de datos reconocido por garantizar que las entidades locales participantes proporcionen una protección adecuada.
"Incidente de Datos" hace referencia a un incumplimiento de la seguridad de Jibe que puede dar como resultado, de forma accidental o ilegal, la destrucción, pérdida, alteración o divulgación no autorizada de los Datos Personales del Socio, o el acceso a ellos, en sistemas administrados o de otra manera controlados por Jibe. Los “Incidentes de Datos” no incluirán actividades o intentos fallidos que no comprometan la seguridad de los Datos Personales del Socio, incluidos los intentos de acceso sin éxito, pings, análisis de puertos, ataques de denegación del servicio y otros ataques de red en firewalls o sistemas en red.
"Herramienta para el Sujeto de Datos" se refiere a una herramienta (si la hay) que una Entidad de Jibe pone a disposición de los sujetos de datos y que permite a Jibe responder directamente y de forma estandarizada a ciertas solicitudes de los sujetos de datos en relación con los Datos Personales del Socio (por ejemplo, la configuración de publicidad en línea o un complemento de navegador para inhabilitar la recopilación de datos).
"EEE" significa Espacio Económico Europeo.
"RGPD de la UE" hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.
"Legislación Europea de Protección de Datos" hace referencia, según corresponda, a lo siguiente: (a) el RGPD y/o (b) la FDPA de Suiza.
"Legislación Europea" hace referencia, según corresponda, a (a) la legislación de la UE o de un Estado Miembro de la UE (si se aplica el GDPR de la UE al procesamiento de los Datos Personales del Socio) o (b) a la legislación del Reino Unido o de una parte del Reino Unido (si se aplica el GDPR del Reino Unido al procesamiento de los Datos Personales del Socio).
"GDPR" hace referencia, según corresponda: (a) al RGPD de la UE o (b) al RGPD del Reino Unido.
“Jibe” se refiere a la Entidad de Jibe que es parte del Acuerdo.
“Entidad de Jibe” hace referencia a Jibe Mobile, Inc., Jibe Mobile Limited o cualquier otra entidad que, ya sea de forma directa o indirecta, ejerza control sobre Jibe Mobile, Inc., esté bajo el control de Jibe Mobile, Inc. o esté bajo el mismo control que Jibe Mobile, Inc.
"Certificación ISO 27001" hace referencia a la certificación ISO/IEC 27001:2013 o a una certificación comparable para los Servicios del Responsable del Tratamiento.
“Subprocesador Nuevo” tiene el significado que se establece en el Artículo 11.1 (Consentimiento para la Participación de Subprocesadores).
"Legislación No Europea sobre Protección de Datos" hace referencia a las leyes de privacidad o protección de datos vigentes fuera del EEE, Suiza y el Reino Unido.
“Dirección de correo electrónico de notificación” hace referencia a la dirección de correo electrónico (si la hay) que (i) el Socio proporciona a Jibe o (ii) que el Socio designa, a través de la interfaz de usuario de los Servicios del Procesador o cualquier otro medio que proporcione Jibe, para recibir ciertas notificaciones de Jibe relacionadas con este Anexo de Tratamiento de Datos. A los efectos de la claridad, es responsabilidad del Socio proporcionar a Jibe una Dirección de Correo Electrónico de Notificación y notificarle cualquier actualización de la Dirección de Correo Electrónico de Notificación.
"Datos Personales del Socio" hace referencia a los datos personales que Jibe trata en nombre del Socio en la prestación de los Servicios de Procesador por parte de Jibe.
"SCCs de Socios" hace referencia a las SCCs (de responsable a encargado del tratamiento de datos), las SCCs (de encargado a responsable del tratamiento de datos) o las SCCs (de encargado a encargado del tratamiento de datos), según corresponda.
“Servicios del encargado del tratamiento de datos” se refiere a los servicios de RCS Business Messaging (como se describe en developers.google.com/business-communications/rcs-business-messaging).
“SCC” hace referencia a los SCC de socios o SCC (de encargado a encargado, exportador de Jibe), según corresponda.
"SCCs (de responsable a encargado del tratamiento de datos)" hace referencia a las condiciones que se indican en business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"SCCs (de encargado a encargado del tratamiento de datos)" hace referencia a las condiciones que se indican en business.safety.google/gdprprocessorterms/sccs/p2c.
"SCC (de encargado a encargado)" hace referencia a las condiciones que se indican en business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
"SCC (de encargado a encargado, exportador de Jibe)" hace referencia a las condiciones que se describen en business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
“Documentación de seguridad” se refiere a la certificación ISO 27001 y a cualquier otra certificación o documentación de seguridad que Jibe pueda poner a disposición en relación con los Servicios de Procesador.
“Medidas de seguridad” tiene el significado que se indica en el Artículo 7.1.1 (Medidas de seguridad de Jibe).
"Subprocesadores" hace referencia a terceros autorizados en virtud de este Anexo de Tratamiento de Datos para tener acceso lógico a los Datos Personales de los Socios y procesarlos a fin de proporcionar partes de los Servicios del Encargado del Tratamiento de Datos y cualquier asistencia técnica relacionada.
"Autoridad Supervisora" hace referencia, según corresponda, a (a) una "autoridad supervisora" como se define en el GDPR de la UE o (b) al "Comisionado" como se define en el GDPR del Reino Unido o la FDPA de Suiza.
"FDPA de Suiza" hace referencia a la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza).
"Período de Vigencia" hace referencia al período desde la Fecha de Entrada en Vigencia de las Condiciones hasta el final de la prestación de los Servicios de Procesador por parte de Jibe en virtud del Acuerdo.
"Fecha de Entrada en Vigencia de las Condiciones" hace referencia a la fecha de entrada en vigencia del Acuerdo.
"RGPD del Reino Unido" hace referencia al RGPD de la UE tal como se enmendó y se incorporó a la legislación del Reino Unido en virtud de la Ley de 2018 sobre la Salida del Reino Unido de la Unión Europea y, además, a la legislación secundaria aplicable conforme a esa Ley.
2.2 Los términos "responsable del tratamiento de datos", "sujeto de los datos", "datos personales", "tratamiento de datos" y "encargado del tratamiento de datos", tal como se utilizan en este Anexo de Tratamiento de Datos, tienen el significado que se indica en el RGPD, y los términos "importador de datos" y "exportador de datos" tienen el significado que se indica en las SCC aplicables.
2.3 Las palabras "incluye" y "incluso" significan "incluidos, sin limitaciones". Todo ejemplo mencionado en este Anexo de Tratamiento de Datos se presenta solo con fines ilustrativos y no como único ejemplo de un concepto particular.
2.4 Toda referencia a un marco legal, estatuto u otro instrumento legislativo hace referencia al instrumento correspondiente con las enmiendas o las versiones reformuladas que se promulguen ocasionalmente.
2.5 En caso de que alguna versión traducida de este Anexo de Tratamiento de Datos no coincida con la versión en inglés, regirá la versión en inglés.
3. Duración de este Anexo de Tratamiento de Datos
Este Anexo de Tratamiento de Datos entrará en vigencia en la Fecha de Entrada en Vigor de las Condiciones y, independientemente de que el Período de Vigencia haya vencido, permanecerá vigente hasta que Jibe borre todos los Datos Personales del Socio, como se describe en este Anexo de Tratamiento de Datos.
4. Aplicación de este Anexo de Tratamiento de Datos
4.1 Aplicación de la Legislación Europea de Protección de Datos. Las secciones 5 (Procesamiento de Datos) a 12 (Comunicarse con Jibe; Procesamiento de Registros) (inclusive) solo se aplicarán en la medida en que la Legislación Europea de Protección de Datos se aplique al procesamiento de los Datos Personales del Socio, incluso en los siguientes casos:
a) El tratamiento se realiza en el contexto de las actividades de un establecimiento del Socio en el EEE o el Reino Unido.
(b) Los Datos Personales del Socio son datos personales relacionados con los sujetos que están en el EEE o el Reino Unido, y el procesamiento se relaciona con la oferta de bienes o servicios o la supervisión de su comportamiento en el EEE o el Reino Unido.
4.2 Aplicación a los Servicios de Encargado del Tratamiento de Datos. Este Anexo de Tratamiento de Datos solo se aplicará a los Servicios del Procesador para los que las partes acordaron este Anexo de Tratamiento de Datos (por ejemplo: (a) los Servicios del Procesador para los que el Socio hizo clic para aceptar este Anexo de Tratamiento de Datos o (b) si el Acuerdo incorpora este Anexo de Tratamiento de Datos por referencia, los Servicios del Procesador que son objeto del Acuerdo).
4.3 Incorporación de Condiciones Adicionales de la Legislación No Europea de Protección de Datos. Las Condiciones Adicionales de la Legislación No Europea de Protección de Datos complementan este Anexo de Procesamiento de Datos.
5. Procesamiento de datos
5.1 Funciones y cumplimiento de las normativas, Autorización.
5.1.1 Responsabilidades del Encargado del Tratamiento de Datos y el Responsable del Tratamiento de Datos. Las partes reconocen y aceptan lo siguiente:
(a) El Apéndice 1 describe la cuestión y los detalles del tratamiento de los Datos Personales del Socio.
(b) Jibe es un encargado del tratamiento de datos de los Datos Personales del Socio en virtud de la Legislación Europea sobre Protección de Datos.
(c) El Socio es un responsable del tratamiento de datos o encargado del tratamiento de datos, según corresponda, de los Datos Personales del Socio en virtud de la Legislación Europea sobre Protección de Datos.
(d) Cada una de las partes satisfará las obligaciones aplicables en virtud de la Legislación Europea de Protección de Datos con respecto al tratamiento de los Datos Personales del Socio.
5.1.2 Socios encargados del tratamiento de datos. Si el socio es un encargado del tratamiento de datos:
(a) El Socio garantiza de forma continua que el responsable del tratamiento de datos pertinente autorizó (i) las instrucciones, (ii) la designación de Jibe por parte del Socio como otro encargado del tratamiento de datos y (iii) la participación de subprocesadores de Jibe, como se describe en el Artículo 11 (Subprocesadores).
(b) El Socio reenviará de inmediato al responsable del tratamiento de datos pertinente cualquier notificación que le proporcione Jibe en virtud de los Artículos 5.4 (Notificaciones de Instrucciones), 7.2.1 (Notificación de Incidentes), 11.4 (Oportunidad de Oponerse a los Cambios de Subencargado) o que haga referencia a cualquier SCC.
(c) El Socio podrá poner a disposición del responsable del tratamiento de datos pertinente cualquier información que Jibe proporcione en virtud de los Artículos 7.4 (Certificación de Seguridad), 10.5 (Información del Centro de Datos) y 11.2 (Información sobre Subprocesadores).
5.2 Instrucciones del socio. Cuando celebra este Apéndice de Condiciones para el Tratamiento de Datos, el Socio le indica a Jibe que trate sus Datos Personales solo de conformidad con la legislación aplicable: (a) para proporcionar los Servicios del Responsable del Tratamiento de Datos y cualquier asistencia técnica relacionada; (b) como se especifica más adelante a través del uso que el Socio haga de los Servicios del Responsable del Tratamiento de Datos (incluidos la configuración y otras funciones de los Servicios del Responsable del Tratamiento de Datos) y cualquier asistencia técnica relacionada; (c) como se documenta en la forma del Acuerdo, incluido este Apéndice de Condiciones para el Tratamiento de Datos; y (d) como se documenta más adelante en cualquier otra instrucción por escrito que el Socio le dé a Jibe y que esta reconozca como instrucciones a los efectos de este Apéndice de Condiciones para el Tratamiento de Datos (en conjunto, las "Instrucciones").
5.3 Cumplimiento de las instrucciones por parte de Jibe. Jibe satisfará las Instrucciones, a menos que lo prohíban las leyes europeas.
5.4 Notificaciones de instrucciones. Jibe notificará de inmediato al Socio si, en su opinión, (a) las leyes europeas prohíben que Jibe cumpla con una Instrucción, (b) una Instrucción no cumple con la legislación europea de protección de datos o (c) Jibe no puede cumplir con una Instrucción por algún otro motivo, en cada caso, a menos que la legislación europea prohíba dicha notificación. Esta Sección 5.4 (Notificaciones de instrucciones) no reduce los derechos ni las obligaciones de ninguna de las partes del Acuerdo.
5.5 Productos Adicionales. Si el Socio usa algún Producto Adicional, los Servicios del Responsable del Tratamiento de Datos pueden permitir que ese Producto Adicional acceda a los Datos Personales del Socio según sea necesario para la interoperabilidad del Producto Adicional con los Servicios del Responsable del Tratamiento de Datos. Si es necesario, las partes celebrarán condiciones de tratamiento de datos independientes para abordar cómo el Producto Adicional procesará los Datos Personales del Socio.
6. Eliminación de datos
6.1 Eliminación durante el Período.
6.1.1 Servicios de Procesador con Funcionalidad de Eliminación. Durante el Período, si ocurre lo siguiente:
(a) la funcionalidad de los Servicios de Procesador incluye la opción para que el Socio borre sus Datos Personales;
(b) El Socio usa los Servicios del Responsable del Tratamiento de Datos para borrar ciertos Datos Personales del Socio.
(c) el Socio no puede recuperar los Datos Personales del Socio eliminados (por ejemplo, de la "papelera"), Jibe borrará esos Datos Personales del Socio de sus sistemas lo antes posible, a menos que las leyes europeas requieran almacenamiento.
6.1.2 Servicios del encargado del tratamiento de datos sin funcionalidad de eliminación. Durante el Período de Vigencia, si la funcionalidad de los Servicios del Encargado del Tratamiento de Datos no incluye la opción para que el Socio borre sus Datos Personales, Jibe cumplirá con cualquier solicitud razonable del Socio para facilitar dicha eliminación, en la medida de lo posible, teniendo en cuenta la naturaleza y funcionalidad de los Servicios del Encargado del Tratamiento de Datos y, a menos que las leyes europeas requieran el almacenamiento. Jibe puede cobrar una tarifa (según los costos razonables de Jibe) por cualquier eliminación de datos en virtud de este Artículo 6.1.2 (Servicios del Procesador sin Funcionalidad de Eliminación). Jibe le proporcionará al Socio más detalles sobre cualquier tarifa aplicable, además del criterio del cálculo, antes de la eliminación de datos.
6.2 Eliminación cuando venza el plazo. Cuando venza el Período de Vigencia, el Socio le indicará a Jibe que borre todos los Datos Personales del Socio (incluidas las copias existentes) de los sistemas de Jibe de conformidad con la legislación aplicable. Jibe cumplirá con esta instrucción en cuanto sea razonablemente posible, a menos que las leyes europeas exijan su almacenamiento.
7. Seguridad de los datos
7.1 Medidas de seguridad y asistencia de Jibe.
7.1.1 Medidas de seguridad de Jibe. Jibe implementará y mantendrá medidas técnicas y organizativas para proteger los Datos Personales del Socio contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidentales o ilegales, como se describe en el Apéndice 2 ("Medidas de Seguridad"). Como se describe en el Anexo 2, las Medidas de Seguridad incluyen medidas para (a) encriptar datos personales, (b) ayudar a garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de Jibe, (c) ayudar a restablecer el acceso oportuno a los datos personales después de un incidente y (d) realizar pruebas de eficacia con regularidad. Jibe puede actualizar o modificar las Medidas de Seguridad periódicamente, siempre que esas actualizaciones y modificaciones no generen la degradación de la seguridad general de los Servicios del Procesador.
7.1.2 Acceso y Cumplimiento. Jibe (a) autorizará a sus empleados, contratistas y subencargados a acceder a los Datos Personales del Socio solo en la medida estrictamente necesaria para cumplir con las Instrucciones; (b) tomará las medidas adecuadas para garantizar que sus empleados, contratistas y subencargados cumplan con las Medidas de Seguridad en la medida de lo aplicable a su alcance de rendimiento; y (c) se asegurará de que todas las personas autorizadas para procesar los Datos Personales del Socio se hayan comprometido a mantener la confidencialidad o que estén bajo una obligación legal de confidencialidad adecuada.
7.1.3 Asistencia de seguridad de Jibe. Teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Socio y la información disponible para Jibe, Jibe ayudará al Socio a garantizar el cumplimiento de sus obligaciones (o, si el Socio es un encargado del tratamiento de datos, las obligaciones del responsable del tratamiento de datos relevante) en relación con la seguridad de los datos personales y las violaciones de la seguridad de los datos personales, incluidas las obligaciones del Socio (o, si el Socio es un encargado del tratamiento de datos, las obligaciones del responsable del tratamiento de datos relevante) en virtud de los artículos 32 a 34 (inclusive) del RGPD, de la siguiente manera:
(a) implementar y mantener las Medidas de Seguridad de conformidad con el Artículo 7.1.1 (Medidas de Seguridad de Jibe).
(b) satisfacer las condiciones de la Sección 7.2 (Incidentes de datos).
(c) Proporcionar al Socio la Documentación de seguridad de acuerdo con el Artículo 7.5.1 (Opiniones de la Documentación de seguridad) y la información contenida en este Anexo de Procesamiento de Datos.
7.2 Incidentes de datos.
7.2.1 Notificación de incidentes. Si Jibe toma conocimiento de un Incidente de Datos, hará lo siguiente: (a) notificará al Socio sobre el Incidente de Datos de inmediato y sin demoras injustificadas y (b) tomará las medidas razonables a fin de minimizar los daños y proteger los Datos Personales del Socio.
7.2.2 Detalles del incidente de datos. Las notificaciones realizadas en virtud del Artículo 7.2.1 (Notificación de Incidentes) describirán la naturaleza del Incidente de Datos, incluidos los recursos del Socio afectados, las medidas que Jibe tomó o planea tomar para abordar el Incidente de Datos y mitigar su posible riesgo, las medidas, si las hay, que Jibe recomienda que el Socio tome para abordar el Incidente de Datos y los detalles de un punto de contacto en el que se pueda obtener más información. Si no es posible proporcionar toda esa información al mismo tiempo, la notificación inicial de Jibe contendrá la información disponible en ese momento, y se proporcionará más información sin demoras injustificadas a medida que esté disponible.
7.2.3 Entrega de la notificación. Jibe enviará su notificación de cualquier Incidente de Datos a la Dirección de correo electrónico de notificación o, a su discreción (incluso si el Socio no proporcionó una Dirección de correo electrónico de notificación), mediante otra comunicación directa (por ejemplo, una llamada telefónica o una reunión en persona). El Socio es el único responsable de proporcionar la Dirección de Correo Electrónico de Notificación y de garantizar que esté actualizada y sea válida.
7.2.4 Notificaciones de Terceros. El Socio es el único responsable de satisfacer las leyes de notificación de incidentes aplicables al Socio y cumplir con las obligaciones de notificación de terceros relacionadas con los Incidentes de Datos.
7.2.5 Ausencia de Confirmación de Errores por parte de Jibe. La notificación o la respuesta de Jibe ante un Incidente de Datos en virtud de este Artículo 7.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Jibe de cualquier culpa o responsabilidad con respecto al Incidente de Datos.
7.3 Responsabilidades y evaluación de la seguridad del socio
7.3.1 Responsabilidades de seguridad del socio. El Socio acepta que, sin perjuicio de las obligaciones de Jibe en virtud de los Artículos 7.1 (Medidas de Seguridad y Asistencia de Jibe) y 7.2 (Incidentes de Datos), lo siguiente:
(a) El Socio es responsable de su uso de los Servicios del Procesador, lo que incluye lo siguiente:
(i) hacer un uso adecuado de los Servicios del Procesador para garantizar un nivel de seguridad apropiado ante riesgos relacionados con los Datos Personales del Socio;
(ii) proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que usa el socio para acceder a los servicios del encargado del tratamiento de datos;
(b) Jibe no tiene la obligación de proteger los Datos Personales del Socio que este decida almacenar o transferir fuera de los sistemas de Jibe y sus Subprocesadores.
7.3.2 Evaluación de seguridad del socio. El Socio reconoce que las Medidas de Seguridad que implementa y mantiene Jibe, como se describe en el Artículo 7.1.1 (Medidas de Seguridad de Jibe), proporcionan un nivel de seguridad adecuado al riesgo para los Datos Personales del Socio, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento de los Datos Personales del Socio, el estado de la técnica, los costos de implementación y los riesgos para las personas.
7.4 Certificación de seguridad. Para evaluar y garantizar la efectividad continua de las medidas de seguridad, Jibe mantendrá la certificación ISO 27001 o cualquier otra medida adecuada para demostrar la eficacia de las medidas de seguridad.
7.5 Opiniones y auditorías de cumplimiento.
7.5.1 Opiniones sobre la Documentación de Seguridad. Para demostrar el cumplimiento por parte de Jibe de sus obligaciones en virtud de este Anexo de Tratamiento de Datos, Jibe pondrá la Documentación de Seguridad a disposición del Socio para que la revise.
7.5.2 Derechos de auditoría del Socio.
(a) Jibe permitirá que el Socio o un auditor externo designado por el Socio realice auditorías (incluidas inspecciones) para verificar el cumplimiento de Jibe de sus obligaciones en virtud de este Apéndice de Procesamiento de Datos de conformidad con el Artículo 7.5.3 (Términos Empresariales Adicionales para las Auditorías). Durante las auditorías, Jibe pondrá a disposición toda la información necesaria para demostrar dicho cumplimiento y colaborará con las auditorías como se describe en el Artículo 7.4 (Certificación de seguridad) y en este Artículo 7.5 (Opiniones y auditorías de cumplimiento).
(b) Si se aplican las SCC en virtud del Artículo 10.2 (Transferencias Europeas Restringidas), Jibe permitirá que el Socio (o un auditor externo designado por el Socio) realice auditorías como se describe en las SCC aplicables y, durante esas auditorías, pondrá a disposición toda la información que requieran esas SCC, cada una de conformidad con el Artículo 7.5.3 (Condiciones Comerciales Adicionales para Auditoría).
(c) El Socio también puede realizar una auditoría para verificar que Jibe cumpla con sus obligaciones en virtud de este Apéndice de Procesamiento de Datos revisando cualquier certificado que le hayan emitido a Jibe auditores externos (por ejemplo, una certificación ISO 27001, si corresponde).
7.5.3 Términos Empresariales Adicionales para las Auditorías.
(a) El Socio enviará cualquier solicitud de auditoría en virtud de los Artículos 7.5.2(a) o 7.5.2(b) a Jibe como se describe en el Artículo 12.1 (Comunicarse con Jibe).
(b) Luego de que Jibe reciba una solicitud de conformidad con el Artículo 7.5.3(a), Jibe y el Socio analizarán y acordarán con anticipación la fecha de inicio, el alcance y la duración razonables de la auditoría, así como la seguridad y los controles de confidencialidad aplicables a cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b).
(c) Jibe podrá cobrar una tarifa (según los costos razonables de Jibe) por cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b). Jibe le proporcionará al Socio más detalles sobre cualquier tarifa aplicable, además del criterio del cálculo, antes de cualquier auditoría. El Socio será responsable de las tarifas que cobre cualquier auditor externo designado por el Socio para realizar dicha auditoría.
(d) Jibe puede oponerse a cualquier auditor externo designado por el Socio para realizar auditorías en virtud de los Artículos 7.5.2(a) o 7.5.2(b) si, en opinión razonable de Jibe, el auditor no tiene la calificación o independencia adecuadas, es un competidor de Jibe o, de otro modo, es manifiestamente inadecuado. Cualquier objeción de este tipo por parte de Jibe requerirá que el Socio designe a otro auditor o realice la auditoría por sí mismo.
(e) Ninguna de las disposiciones de este Apéndice de Procesamiento de Datos exigirá que Jibe divulgue al Socio o a su auditor externo, ni que permita que el Socio o su auditor externo accedan a lo siguiente:
(i) los datos de cualquier otro socio o cliente de una Entidad de Jibe
(ii) cualquier información financiera o contable interna de una Entidad de Jibe
(iii) cualquier secreto comercial de una Entidad de Jibe
(iv) cualquier información que, en opinión razonable de Jibe, pueda (A) poner en riesgo la seguridad de los sistemas o las instalaciones de cualquier Entidad de Jibe o (B) hacer que cualquier Entidad de Jibe incumpla sus obligaciones en virtud de la Legislación Europea de Protección de Datos o sus obligaciones de seguridad o privacidad con el Socio o cualquier tercero
(v) cualquier información a la que el Socio o su auditor externo busquen acceder por otro motivo que no sea el cumplimiento de buena fe de las obligaciones del Socio en virtud de la Legislación Europea sobre Protección de Datos
8. Evaluaciones y consultas de impacto
Teniendo en cuenta la naturaleza del tratamiento y la información disponible para Jibe, Jibe ayudará al Socio a garantizar el cumplimiento de sus obligaciones (o, si el Socio es un encargado del tratamiento, del responsable del tratamiento correspondiente) en relación con las evaluaciones de impacto de la protección de datos y la consulta previa, incluidas (si corresponde) las obligaciones del Socio o del responsable del tratamiento correspondiente en virtud de los artículos 35 y 36 del RGPD, de la siguiente manera:
(a) proporcionar la Documentación de Seguridad de acuerdo con el Artículo 7.5.1 (Opiniones de la Documentación de Seguridad)
(b) proporcionar la información contenida en este Anexo de Procesamiento de Datos; y
(c) proporcionar o poner a disposición de algún modo, de conformidad con las prácticas estándares de Jibe, otros materiales relacionados con la naturaleza de los Servicios del Encargado del Tratamiento de Datos y el tratamiento de los Datos Personales del Socio (por ejemplo, materiales del Centro de ayuda).
9. Derechos de los sujetos
9.1 Respuestas a las Solicitudes de los Sujetos. Si Jibe recibe una solicitud de un sujeto de datos en relación con los Datos Personales del Socio, este último autoriza a Jibe a realizar las siguientes acciones, y Jibe, por el presente documento, notifica al Socio que lo hará:
(a) responder directamente a la solicitud del sujeto de datos de acuerdo con la funcionalidad estándar de la Herramienta del Sujeto (si la solicitud se realiza a través de una Herramienta del Sujeto)
(b) recomendar al sujeto que envíe su solicitud al Socio, y este último será responsable de responder a dicha solicitud (si la solicitud no se realiza mediante una Herramienta del Sujeto)
9.2 Asistencia para Solicitudes de Sujetos de Jibe. Jibe ayudará al Socio (o, en el caso de que el Socio sea un encargado del tratamiento de datos, al responsable del tratamiento de datos relevante) a cumplir con sus obligaciones en virtud del RGPD para responder las solicitudes de ejercicio de los derechos del sujeto de los datos, en todos los casos, teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Socio y, si corresponde, el Artículo 11 del RGPD, lo que incluye lo siguiente (si corresponde):
(a) proporcionar la funcionalidad de los Servicios del Procesador
(b) satisfacer los compromisos de la Sección 9.1 (Respuestas a las Solicitudes de los Sujetos)
(c) si corresponde a los Servicios del Procesador, poner a disposición las Herramientas del Sujeto
9.3 Rectificación. Si el Socio advierte que algunos Datos Personales son incorrectos o están desactualizados, el Socio será responsable de rectificar o borrar esos datos en caso de que así lo exija la Legislación de Protección de Datos Europea, incluida (cuando esté disponible) la funcionalidad de los Servicios del Encargado del Tratamiento.
10. Transferencias de Datos
10.1 Instalaciones para el Almacenamiento de Datos y el Procesamiento. Sujeto al resto de este Artículo 10 (Transferencias de Datos), Jibe puede procesar los Datos Personales del Socio en cualquier país en el que Jibe o cualquiera de sus Subprocesadores tengan instalaciones.
10.2 Transferencias Europeas Restringidas. Las partes reconocen que la Legislación Europea de Protección de Datos no requiere las SCC ni una Solución de Transferencia Alternativa para procesar los Datos Personales del Socio en un País Adecuado o transferirlos a uno.
Si los Datos Personales del Socio se transfieren a cualquier otro país y la Legislación Europea de Protección de Datos se aplica a esas transferencias ("Transferencia Europea Restringida"), ocurrirá lo siguiente:
(a) Si Jibe adopta una Solución Alternativa de Transferencia para las Transferencias Europeas Restringidas, informará al Socio sobre la solución relevante y se asegurará de que dichas Transferencias Europeas Restringidas se realicen de acuerdo con esa solución.
(b) Si Jibe no adoptó una Solución de Transferencia Alternativa para las Transferencias Europeas Restringidas, o si informó al Socio que ya no la adoptará, ocurrirá lo siguiente:
(i) Si la dirección de Jibe se encuentra en un país adecuado,
(A) Se aplicarán las SCC (de encargado a encargado del tratamiento de datos, exportador de Jibe) con respecto a dichas Transferencias Europeas Restringidas de Jibe a Subencargados.
(B) Además, si la dirección del Socio no se encuentra en un País Adecuado, se aplicarán las SCC (de Encargado a Responsable) con respecto a las Transferencias Europeas Restringidas entre Jibe y el Socio (independientemente de si el Socio es un Responsable o un Encargado).
(ii) Si la dirección de Jibe no está en un país adecuado, ocurrirá lo siguiente:
Se aplicarán las SCC (de responsable a encargado del tratamiento de datos) o las SCC (de encargado a encargado del tratamiento de datos) (según si el Socio es un responsable o un encargado del tratamiento de datos) con respecto a dichas Transferencias Europeas Restringidas entre el Socio y Jibe.
(c) Las referencias a Google LLC o Google y a Usted en cualquiera de las SCC se referirán a Jibe y al Socio, respectivamente.
10.3 Medidas y Información Complementarias. Jibe proporcionará al Socio información relevante sobre las Transferencias Europeas Restringidas, incluida la información sobre las medidas complementarias para proteger los Datos Personales del Socio, como se describe en el Artículo 7.5.1 (Revisión de la Documentación de Seguridad), el Apéndice 2 (Medidas de Seguridad) y otros materiales relacionados con la naturaleza de los Servicios del Encargado del Tratamiento de Datos y el tratamiento de los Datos Personales del Socio (por ejemplo, artículos del Centro de ayuda).
10.4 Rescisión. Si el Socio concluye, en función del uso actual o previsto de los Servicios del Encargado, que la Solución de Transferencia Alternativa o las SCC, según corresponda, no proporcionan las protecciones adecuadas para sus Datos Personales, el Socio puede rescindir el Acuerdo de inmediato y notificar a Jibe por escrito.
10.5 Información del Centro de Datos. La información sobre las ubicaciones de los centros de datos de Google LLC está disponible en www.google.com/about/datacenters/locations/index.html.
11. Subencargados del tratamiento de datos
11.1 Consentimiento para la participación de Subprocesadores. El Socio autoriza específicamente la contratación de los Subprocesadores que se enumeran en el Artículo 11.2 (Información acerca de los Subprocesadores) a partir de la Fecha de Entrada en Vigencia de las Condiciones. Además, el Socio generalmente autoriza la contratación de cualquier otro tercero como Subprocesador ("Subprocesadores Nuevos"), sujeto al Artículo 11.4 (Oportunidad para Oponerse a los Cambios del Subprocesador).
11.2 Información sobre los Subprocesadores. A pedido por escrito del Socio, Jibe proporcionará información sobre los Subprocesadores y sus ubicaciones. Todas estas solicitudes deben enviarse a Jibe con los detalles de contacto que se establecen en el artículo 12.1 (Cómo comunicarse con Jibe).
11.3 Requisitos para la participación de Subprocesadores. Cuando se contrate un Subprocesador, Jibe hará lo siguiente:
a) Garantizar un contrato escrito que especifique lo siguiente:
(i) el Subprocesador solo accede a los Datos Personales del Socio y los usa en la medida en que sea necesario para realizar las obligaciones subcontratadas y lo hace de conformidad con el Acuerdo (incluido este Anexo de Tratamiento de Datos);
(ii) Si el tratamiento de los Datos Personales del Socio está sujeto a la Legislación Europea de Protección de Datos, las obligaciones de protección de datos de este Anexo de Tratamiento de Datos (como se indica en el Artículo 28(3) del RGPD, si corresponde) se imponen al Subprocesador.
(b) seguir siendo completamente responsable de todas las obligaciones subcontratadas al subcontratista, así como de todos los actos y omisiones del subcontratista
11.4 Oportunidad para Oponerse a los Cambios del Subprocesador.
(a) Si se contrata a un Subencargado Nuevo durante el Período, al menos 30 días antes de que el Subencargado Nuevo procese Datos Personales del Socio, Jibe informará al Socio sobre el compromiso (incluido el nombre y la ubicación del subencargado relevante y las actividades que realizará) mediante el envío de un correo electrónico a la Dirección de Correo Electrónico de Notificación.
(b) El Socio puede oponerse a cualquier Nuevo Subprocesador rescindiendo el Acuerdo de forma inmediata mediante una notificación por escrito a Jibe, siempre y cuando el Socio proporcione dicha notificación en un plazo de 90 días a partir de la fecha en que se le informe sobre la contratación del Nuevo Subprocesador, como se describe en el Artículo 11.4(a).
12. Comunícate con Jibe; Procesa los registros
12.1 Comunícate con Jibe. Cuando ejerce sus derechos en virtud de este Anexo de Procesamiento de Datos, el Socio puede comunicarse con Jibe a través del contacto de protección de datos de RCS de Jibe, al que se puede acceder a través de issuetracker.google.com o por cualquier otro medio que Jibe proporcione.
12.2 Registros de procesamiento de Jibe. Jibe mantendrá la documentación adecuada de sus actividades de tratamiento según lo exija el RGPD. El Socio reconoce que, en virtud del RGPD, Jibe debe: (a) recopilar y mantener registros de cierta información, incluidos (i) el nombre y los detalles de contacto de cada encargado o responsable del tratamiento de datos en cuyo nombre actúa Jibe y, si corresponde, de su representante local y su oficial de protección de datos, y (ii) si corresponde en virtud de las SCCs relevantes, la Autoridad Supervisora del Socio; y (b) poner dicha información a disposición de cualquier Autoridad Supervisora. En consecuencia, cuando se solicite y según corresponda, el Socio proporcionará dicha información a Jibe a través de la interfaz de usuario de los Servicios del Procesador o por cualquier otro medio que Jibe proporcione, y utilizará dicha interfaz de usuario o cualquier otro medio para garantizar que toda la información proporcionada sea precisa y esté actualizada.
12.3 Solicitudes del Responsable del Tratamiento. Si Jibe recibe una solicitud o instrucción de un tercero que afirme ser el responsable del tratamiento de los Datos Personales del Socio, Jibe le recomendará al tercero que se comunique con el Socio.
13. Responsabilidad
Si el Acuerdo se rige por las leyes de:
(a) un estado de los Estados Unidos de América, entonces, independientemente de cualquier otra disposición del Acuerdo, la responsabilidad total de cualquiera de las partes hacia la otra en virtud de este Anexo de Tratamiento de Datos o en relación con él se limitará al importe monetario o basado en pagos máximo en el que se limita la responsabilidad de esa parte en virtud del Acuerdo (y, por lo tanto, cualquier exclusión de reclamos de confidencialidad o indemnización de la limitación de responsabilidad del Acuerdo no se aplicará a los reclamos en virtud del Acuerdo relacionados con la Legislación Europea de Protección de Datos o la Legislación de Protección de Datos no Europea).
(b) una jurisdicción que no sea un estado de los Estados Unidos, entonces la responsabilidad conjunta total de las partes y sus afiliadas en virtud de este Anexo de Tratamiento de Datos o en relación con él estará sujeta al Acuerdo.
14. Efecto de este Anexo de Tratamiento de Datos
14.1 Orden de Prioridad. Si existe algún conflicto o incongruencia entre las SCC, las Condiciones Adicionales de la Legislación No Europea de Protección de Datos, este Apéndice de Procesamiento de Datos y el resto del Acuerdo, se aplicará el siguiente orden de prioridad:
(a) las SCC
b) las Condiciones Adicionales de la Legislación No Europea sobre Protección de Datos
c) el resto de este Anexo de Procesamiento de Datos.
(d) el resto del Acuerdo.
Sujeto a las enmiendas de este Anexo de Tratamiento de Datos, el Acuerdo permanecerá plenamente en vigencia.
14.2 No se Modifican las SCC. Ninguna disposición del Acuerdo (incluidas estas Condiciones para el Procesamiento de Datos) pretende modificar o contradecir ninguna SCC ni reducir los derechos o las libertades fundamentales de los sujetos en virtud de la Legislación Europea de Protección de Datos.
14.3 Sin Efecto en las Condiciones del Controlador. Este Anexo de Tratamiento de Datos no afectará a ninguna condición independiente entre Jibe y el Socio que refleje una relación de controlador a controlador para un servicio que no sean los Servicios del Procesador.
14.4 SCCs heredadas del Reino Unido. A partir del 21 de septiembre de 2022 o de la fecha de entrada en vigencia del Acuerdo, lo que ocurra más tarde, se aplicarán las condiciones complementarias de las SCC para la transferencia en virtud del RGPD del Reino Unido, que reemplazarán y rescindirán cualquier cláusula contractual estándar aprobada en virtud del RGPD del Reino Unido y de la Ley de Protección de Datos de 2018 que el Socio y Jibe hayan celebrado anteriormente ("SCC heredadas del Reino Unido"). Esta Sección 14.4 (SCC del Reino Unido heredados) no afectará los derechos de ninguna de las partes ni de ningún sujeto de datos que puedan haberse acumulado en virtud de las SCC del Reino Unido heredados mientras estaban vigentes.
15. Cambios en este Anexo de Tratamiento de Datos
15.1 Cambios en las URLs. De vez en cuando, Jibe puede cambiar cualquier URL a la que se haga referencia en esta Enmienda de Procesamiento de Datos y el contenido de cualquier URL, excepto que solo puede cambiar las SCC de conformidad con los Artículos 15.2(b) a 15.2(d) (Cambios en la Enmienda de Procesamiento de Datos) o para incorporar cualquier versión nueva de las SCC que se pueda adoptar en virtud de la Legislación Europea de Protección de Datos, en cada caso de una manera que no afecte la validez de las SCC en virtud de la Legislación Europea de Protección de Datos.
15.2 Cambios en el Anexo de Tratamiento de Datos. Jibe puede cambiar este Anexo de Tratamiento de Datos en los siguientes casos:
(a) está expresamente permitido por esta Enmienda de Procesamiento de Datos, según se describe en el Artículo 15.1 (Cambios en las URLs);
(b) refleja un cambio en el nombre o en la forma de una entidad legal
(c) es obligatorio para satisfacer una ley o un reglamento aplicables, una orden judicial o un lineamiento emitido por una agencia o un ente regulador gubernamental, o bien si refleja la adopción de una Solución de Transferencia Alternativa por parte de Jibe
(d) No (i) genere una degradación de la seguridad general de los Servicios del Encargado del Tratamiento de Datos; (ii) amplíe el alcance de las restricciones o quite cualquier restricción sobre (x) en el caso de las Condiciones Adicionales para la Legislación sobre Protección de Datos fuera de Europa, los derechos de Jibe de usar o procesar de alguna manera los datos dentro del alcance de las Condiciones Adicionales para la Legislación sobre Protección de Datos fuera de Europa o (y) en el caso del resto de este Anexo de Tratamiento de Datos, el tratamiento de Datos Personales del Socio por parte de Jibe, como se describe en el Artículo 5.3 (Cumplimiento de las Instrucciones por Parte de Jibe); y (iii) de otra manera, tenga un impacto adverso material en los derechos del Socio en virtud de este Anexo de Tratamiento de Datos, según lo determine Jibe de manera razonable.
15.3 Notificación de Cambios. Si Jibe tiene la intención de cambiar este Anexo de Procesamiento de Datos en virtud del Artículo 15.2(c) o (d), le informará al Socio con al menos 30 días de anticipación (o el período más corto que pueda ser necesario para satisfacer la ley aplicable, la reglamentación aplicable, una orden judicial o una guía emitida por una agencia o un regulador gubernamental) antes de que el cambio entre en vigencia mediante una de las siguientes opciones: (a) enviar un correo electrónico a la dirección de correo electrónico de notificación o (b) alertar al Socio a través de la interfaz de usuario de los Servicios del Procesador. Si el Socio se opone a alguno de esos cambios, puede rescindir el Acuerdo por conveniencia mediante una notificación por escrito a Jibe en un plazo de 90 días a partir de la fecha en que Jibe le informe sobre el cambio.
Apéndice 1: Cuestiones y detalles del procesamiento de datos
Temas
La prestación de los Servicios del Procesador por parte de Jibe y cualquier asistencia técnica relacionada con el Socio
Duración del Tratamiento de Datos
El Período de Vigencia más el período desde que finaliza el Período hasta que Jibe borre todos los Datos Personales del Socio de conformidad con este Anexo de Tratamiento de Datos.
Naturaleza y propósito del tratamiento de datos
Jibe procesará los Datos Personales del Socio, lo que incluye (según corresponda a la naturaleza de los Servicios del Responsable del Tratamiento de Datos y las Instrucciones) la recopilación, el registro, la organización, la estructuración, el almacenamiento, la alteración, la recuperación, el uso, la divulgación, la combinación, el borrado y la destrucción de los Datos Personales del Socio con el fin de proporcionar los Servicios del Responsable del Tratamiento de Datos y cualquier asistencia técnica relacionada al Socio de conformidad con este Anexo de Tratamiento de Datos.
Tipos de datos personales
Datos personales relacionados con personas que el Socio o los usuarios finales del Socio proporcionan a Jibe a través de los Servicios de Tratamiento.
Categorías de Sujetos
Los sujetos incluyen a las personas sobre las que el Socio o el Cliente (o por instrucción de este) proporcionan datos a Jibe a través de los Servicios del Encargado del Tratamiento de Datos.
Apéndice 2: Medidas de seguridad
A partir de la Fecha de Entrada en Vigencia de las Condiciones, Jibe implementará y mantendrá las Medidas de Seguridad que se establecen en este Apéndice 2. Jibe puede actualizar o modificar estas Medidas de Seguridad ocasionalmente, siempre que esas actualizaciones y modificaciones no generen la degradación de la seguridad general de los Servicios del Procesador.
1. Centro de Datos y Seguridad de la Red
(a) Centros de datos.
Infraestructura. Jibe mantiene centros de datos distribuidos geográficamente. Jibe almacena todos los datos de producción en centros de datos físicos seguros.
Redundancia. Los sistemas de infraestructura se diseñaron para eliminar los puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Los circuitos dobles, los interruptores, las redes y otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios del Procesador están diseñados para permitir que Jibe realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todas las instalaciones y los equipos ambientales han documentado procedimientos de mantenimiento preventivo en los que se detallan el proceso y la frecuencia de rendimiento según las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo del equipo del centro de datos se programa a través de un proceso estándar de acuerdo con los procedimientos documentados.
Alimentación. Los sistemas de alimentación eléctrica del centro de datos están diseñados para ser redundantes y poder mantenerse sin afectar la continuidad de las operaciones las 24 horas, todos los días. En la mayoría de los casos, se proporciona una fuente principal y una fuente de energía alternativa, cada una con capacidad equitativa, para los componentes de infraestructura fundamentales en el centro de datos. La fuente de energía alternativa se proporciona a través de varios mecanismos, como fuentes de alimentación sin interrupciones (UPS), que proporcionan una protección de energía siempre confiable durante las caídas de tensión, los apagones, las sobretensiones, las subtensiones y las condiciones de frecuencia atípicas. Si se interrumpe la energía eléctrica, la alimentación de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a su capacidad máxima, durante un máximo de 10 minutos hasta que los sistemas generadores de respaldo tomen el control. Los generadores pueden iniciar automáticamente en cuestión de segundos para proporcionar suficiente energía eléctrica de emergencia como para que el centro de datos funcione a plena capacidad, por lo general, durante un período de días.
Sistemas operativos de servidores Los servidores de Jibe usan sistemas operativos endurecidos que se personalizan para las necesidades únicas de los servidores de la empresa. Los datos se almacenan con algoritmos privados para aumentar la redundancia y la seguridad de los datos. Jibe emplea un proceso de revisión de código para aumentar la seguridad del código que se usa con el fin de proporcionar los servicios de procesador y mejorar los productos de seguridad en entornos de producción.
Continuidad empresarial. Jibe replica los datos en varios sistemas para ayudar a protegerlos contra la destrucción o pérdida accidental. Jibe diseñó y planifica y prueba de forma periódica sus programas de continuidad empresarial y de recuperación ante desastres.
Tecnologías de encriptación. Las políticas de seguridad de Jibe exigen la encriptación en reposo para todos los datos del usuario, incluidos los datos personales. Los datos suelen encriptarse a varios niveles en la pila de almacenamiento de producción de Jibe que se utiliza en los centros de datos, lo que incluye a nivel del hardware, sin requerir ninguna acción de los socios o clientes. Esto agrega una protección de datos redundante y permite que Jibe seleccione el enfoque óptimo según los requisitos de las aplicaciones. Todos los datos personales se encriptan a nivel del almacenamiento, por lo general con AES256. Jibe usa bibliotecas criptográficas comunes que incorporan el módulo validado por el estándar FIPS 140-2 de Jibe para implementar la encriptación de forma coherente en los servicios del procesador.
(b) Redes y transmisión.
Transmisión de Datos. Los centros de datos suelen estar conectados a través de vínculos privados de alta velocidad para proporcionar una transferencia de datos rápida y segura entre los centros de datos. Este es un diseño para evitar que los datos se lean, copien, alteren o se quiten sin autorización durante el transporte electrónico. Jibe transfiere datos a través de protocolos estándar de Internet.
Superficie de Ataque Externa. Jibe emplea varias capas de dispositivos de red y detección de intrusiones para proteger la superficie de ataque externa. Jibe considera los posibles vectores de ataque y también incorpora tecnologías compiladas con propósitos específicos en sistemas externos.
Detección de Intrusiones. El objetivo de la detección de intrusiones es proporcionar estadísticas sobre las actividades de ataques en curso y brindar información adecuada para responder ante los incidentes. La detección de intrusiones de Jibe implica lo siguiente:
Controlar de cerca el tamaño y la composición de la superficie de ataque de Jibe a través de la aplicación de medidas preventivas
Emplear controles de detección inteligentes en los puntos de entrada de datos
Emplear tecnologías que resuelvan automáticamente situaciones peligrosas
Respuesta ante Incidentes. Jibe supervisa varios canales de comunicación para detectar incidentes de seguridad. Además, el personal de seguridad de Jibe reaccionará con rapidez ante los incidentes conocidos.
Tecnologías de Encriptación. Jibe hace que la encriptación HTTPS (también conocida como conexión TLS) esté disponible. Los servidores de Jibe admiten el intercambio de claves criptográficas de la curva elíptica efímera Diffie-Hellman firmadas con RSA y ECDSA. Estos métodos de confidencialidad directa perfecta (PFS) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o de una ruptura criptográfica.
2. Controles de sitios y accesos
(a) Controles del sitio.
Operaciones de Seguridad del Centro de Datos en las Instalaciones. Los centros de datos de Jibe mantienen operaciones de seguridad en las instalaciones que son responsables de todas las funciones de seguridad físicas de los centros de datos las 24 horas, todos los días. El personal de operaciones de seguridad en las instalaciones supervisa las cámaras de TV de circuito cerrado ("CCTV") y todos los sistemas de alarma. El personal de operaciones de seguridad en las instalaciones realiza ciertas construcciones internas y externas del centro de datos con frecuencia.
Procedimientos de Acceso a los Centros de Datos. Jibe mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos están alojados en instalaciones que requieren acceso con tarjetas de clave electrónicas y que tienen alarmas vinculadas a la operación de seguridad en las instalaciones. Todos los participantes del centro de datos deben identificarse y demostrar su identidad ante las operaciones de seguridad en las instalaciones. Solo los empleados, contratistas y visitantes autorizados pueden ingresar a los centros de datos. Solo los empleados y contratistas autorizados pueden solicitar acceso mediante tarjetas de clave electrónicas para estas instalaciones. Las solicitudes de acceso a las tarjetas de claves electrónicas del centro de datos deben realizarse con anticipación y por escrito, y requieren la aprobación del personal autorizado del centro de datos. Todos los demás participantes que requieran acceso temporal al centro de datos deben hacer lo siguiente: (i) obtener aprobación por adelantado de los administradores del centro de datos específico y de las áreas internas que deseen visitar; (ii) acceder en las operaciones de seguridad en las instalaciones; y (iii) hacer referencia a un registro de acceso aprobado del centro de datos que identifique a la persona como aprobada.
Dispositivos de seguridad del centro de datos en las instalaciones. Los centros de datos de Jibe emplean tarjetas de clave electrónicas y un sistema de control de acceso biométrico vinculado a un sistema de alarmas. El sistema de control de acceso supervisa y registra la tarjeta de clave electrónica de cada persona, cuando acceden a puertas perimetrales, para hacer envíos y recibir entregas, y cuando acceden a otras áreas críticas. La actividad no autorizada y los intentos de acceso fallidos se registran en el sistema de control de acceso y se investigan, según corresponda. El acceso autorizado en todas las operaciones comerciales y en los centros de datos está restringido en función de las zonas y las responsabilidades del trabajo de la persona. Las puertas contra incendios de los centros de datos tienen alarmas. Las cámaras de CCTV funcionan dentro y fuera de los centros de datos. El posicionamiento de las cámaras se diseñó para cubrir áreas estratégicas, incluidas, entre otras, el perímetro, las puertas al edificio del centro de datos y los espacios de envíos y recepciones. El personal de operaciones de seguridad en las instalaciones administra los equipos de supervisión, grabación y control de CCTV. Los cables seguros de todos los centros de datos conectan el equipo de CCTV. Las cámaras realizan grabaciones del sitio con grabadoras de video digitales las 24 horas, todos los días. Los registros de vigilancia se conservan durante al menos 7 días, según la actividad.
b) Control de acceso.
Personal de seguridad de la infraestructura. Jibe tiene y mantiene una política de seguridad para su personal, y exige una capacitación en materia de seguridad como parte del paquete de formación de su personal. El personal de seguridad de la infraestructura de Jibe es responsable de supervisar continuamente esta infraestructura, revisar los servicios del procesador y responder a los incidentes de seguridad.
Control de acceso y administración de privilegios. Los administradores y usuarios del socio deben autenticarse a través de un sistema central de autenticación o de un sistema de inicio de sesión único para usar los servicios del encargado del tratamiento de datos.
Políticas y Procesos de Acceso a los Datos Internos: Política de Acceso. Los procesos y las políticas de acceso a los datos internos de Jibe se diseñaron para evitar que personas o sistemas no autorizados accedan a los sistemas que se usan en el tratamiento de los datos personales. Jibe apunta a diseñar sus sistemas de modo que (i) permitan que solo las personas autorizadas para acceder a determinados datos puedan hacerlo; y (ii) garanticen que los datos personales no se puedan leer, copiar, modificar ni quitar sin autorización durante el tratamiento y el uso, y después del registro. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Jibe emplea un sistema de administración de acceso centralizado para controlar el acceso del personal a los servidores de producción, y solo proporciona acceso a una cantidad limitada de personal autorizado. El LDAP, Kerberos y un sistema propio que usa certificados digitales están diseñados para proporcionar a Jibe mecanismos de acceso flexibles y seguros. Estos mecanismos están diseñados para conceder únicamente derechos de acceso aprobados a los hosts del sitio, los registros, los datos y la información de configuración. Jibe requiere el uso de IDs de usuario únicos, contraseñas seguras, autenticación de dos factores y listas de acceso supervisadas con cuidado para minimizar el uso potencial no autorizado de cuentas. El otorgamiento o la modificación de los derechos de acceso se basa en las responsabilidades laborales del personal autorizado, los requisitos del puesto necesarios para realizar tareas autorizadas, y se realiza en el caso exclusivo de que sea necesario. El otorgamiento o la modificación de los derechos de acceso también deben cumplir con las políticas y la capacitación para el acceso a los datos internos de Jibe. Las herramientas de flujo de trabajo administran las aprobaciones, para mantener registros de auditoría sobre todos los cambios. El acceso a los sistemas se registra para crear un registro de auditoría para la rendición de cuentas. Cuando se emplean contraseñas para la autenticación (por ejemplo, el acceso a estaciones de trabajo), se implementan políticas de contraseña que siguen las prácticas estándar de la industria, como mínimo. Estos estándares incluyen restricciones para la reutilización de contraseñas, así como contraseñas lo suficientemente seguras.
3. Datos
(a) Almacenamiento, aislamiento y autenticación de datos.
Jibe almacena datos en un entorno multiusuario en servidores propiedad de Google LLC. Los datos, la base de datos de los servicios de procesadores y la arquitectura del sistema de archivos se replican entre varios centros de datos dispersos por distintas ubicaciones geográficas. Jibe aísla de forma lógica los datos de cada socio o cliente. Se utiliza un sistema de autenticación central en todos los Servicios del Procesador para aumentar la seguridad uniforme de los datos.
(b) Lineamientos sobre la destrucción de discos y discos fuera de servicio.
Es posible que algunos discos que contienen datos experimenten problemas de rendimiento, errores o fallas de hardware que los lleven a la baja ("Disco dado de baja"). Cada disco dado de baja está sujeto a una serie de procesos de destrucción de datos (los "Lineamientos de destrucción de datos") antes de salir de las instalaciones de Jibe para su reutilización o destrucción. Los discos que están fuera de servicio se borran en un proceso de varios pasos y se verifican con al menos dos validadores independientes. El número de serie del disco fuera de servicio se retira para realizar un seguimiento. Por último, el Disco Retirado que se borró se publica en el inventario para su reutilización y reimplementación. Si, debido a una falla en el hardware, el Disco Fuera de Servicio no se puede borrar, se almacena de forma segura hasta que se pueda destruir. Cada instalación se audita con regularidad para supervisar el cumplimiento de los Lineamientos de Destrucción de Datos.
(c) Datos seudónimos.
Los datos de publicidad en línea suelen asociarse con identificadores en línea que, por sí solos, se consideran "pseudónimos" (es decir, no se pueden atribuir a una persona específica sin el uso de información adicional). Jibe cuenta con un conjunto sólido de políticas y controles técnicos y organizativos para garantizar la separación entre los datos seudónimos y la información de identificación personal del usuario (es decir, información que podría usarse por sí sola para identificar, contactar o ubicar con precisión a una persona), como los datos de la cuenta de Jibe de un usuario. Las políticas de Jibe solo permiten flujos de información entre datos seudónimos y de identificación personal en circunstancias estrictamente limitadas.
(d) Launch Reviews.
Jibe realiza revisiones de lanzamiento para productos y funciones nuevos antes de su lanzamiento. Esto incluye una revisión de privacidad realizada por ingenieros de privacidad especialmente capacitados. En las revisiones de privacidad, los ingenieros de privacidad se aseguran de que se cumplan todas las políticas y los lineamientos de Jibe aplicables, incluidos, sin limitaciones, los relacionados con el seudonimismo y la retención y eliminación de datos.
4. Seguridad del personal
El personal de Jibe debe cumplir con unos lineamientos en función de los reglamentos de la empresa en cuanto a la confidencialidad, la ética empresarial, el uso adecuado y los estándares profesionales. Jibe realiza verificaciones de antecedentes razonablemente adecuadas en la medida en que lo permita la ley y de acuerdo con las leyes laborales locales y las reglamentaciones legales aplicables.
El personal debe firmar un acuerdo de confidencialidad, confirmar la recepción de las políticas de confidencialidad y privacidad de Jibe, y asegurar el cumplimiento de estas. El personal recibe una capacitación en seguridad. El personal que maneja los datos personales de los socios debe cumplir requisitos adicionales adecuados a su función. El personal de Jibe no procesará los Datos Personales del Socio sin autorización.
5. Seguridad del subprocesador
Antes de incorporar subprocesadores, Jibe realiza una auditoría de las prácticas de seguridad y privacidad de los subprocesadores para garantizar que ofrecen un nivel adecuado de seguridad y privacidad para el acceso a los datos y el permiso de los servicios que se comprometen a prestar. Una vez que Jibe evalúe los riesgos que presenta el Subprocesador, este deberá celebrar las condiciones contractuales adecuadas de seguridad, confidencialidad y privacidad, sujetas a los requisitos de la Sección 11.3 (Requisitos para la participación de Subprocesadores).
Apéndice 3: Condiciones Adicionales de la Legislación No Europea sobre Protección de Datos
Las siguientes Condiciones Adicionales de la Legislación No Europea de Protección de Datos complementan este Anexo de Tratamiento de Datos:
- Anexo para Encargados de la LGPD en business.safety.google/processorterms/lgpd (con fecha del 27 de agosto de 2020)
- Anexo de Leyes Estatales de EE.UU. en business.safety.google/processorterms/us-state-laws (con fecha del 12 de diciembre de 2022)
Las referencias a Google LLC o Google en el Anexo del Procesador de la LGPD y el Anexo de la Ley Estatal de EE.UU. serán a Jibe.
Anexo de Tratamiento de Datos de Jibe, versión 4.0