Anexo de procesamiento de datos de MyInsights

Última actualización:  29 de abril de 2025

Este apéndice forma parte de los Términos del Sistema MyInsights, el Acuerdo Marco de MyInsights u otro acuerdo escrito o electrónico entre nosotros ("Compañía") y el Cliente que incorpora este apéndice por referencia (el "Acuerdo") para el uso del Sistema, y establece los términos relacionados con la privacidad, confidencialidad y seguridad de la Información personal (como se define a continuación). En caso de conflicto entre este apéndice y el Acuerdo, este apéndice prevalecerá con respecto al Procesamiento de Información Personal. Todos los términos en mayúsculas utilizados, pero no definidos en este apéndice, tienen los significados atribuidos a esos términos en el Acuerdo.

Las partes acuerdan lo siguiente:

"Afiliado" significa cualquier entidad que directa o indirectamente Controle, sea Controlada por o esté bajo Control común con la parte aplicable, donde "Control" significa la posesión, directa o indirectamente, del poder de dirigir o causar la dirección de la gestión o las políticas de otra empresa o entidad legal, ya sea: (i) a través de la propiedad de acciones con derecho a voto o valores; (ii) a través de la propiedad de la sociedad o el interés de la membresía; (iii) por contrato; o (iv) de otro modo.

"Afiliados Autorizados" se refiere a cualquiera de los Afiliados del Cliente a los que se les permita utilizar el Sistema en virtud del Acuerdo.

"CCPA" se refiere a la Ley de Privacidad del Consumidor de California, Código Civil de California § 1798.100 et seq., modificado por la Ley de Derechos de Privacidad de California, y sus reglamentos de implementación.

"Controlador de datos" significa una persona que, sola o junto con otras, determina los fines y medios del procesamiento de información personal, incluido cualquier "negocio" según se define ese término en la CCPA.

"Procesador de datos" se refiere a una persona que procesa información personal en nombre del controlador de datos, incluido cualquier "proveedor de servicios" según se define ese término en la CCPA u otras leyes de privacidad aplicables.  

"Europa" se refiere a la Unión Europea, el Espacio Económico Europeo, Suiza y el Reino Unido.

"Solicitud de autoridad gubernamental" significa cualquier citación, orden u otra orden, procedimiento, demanda o solicitud judicial, regulatoria, gubernamental o administrativa (ya sea formal o informal) por parte de una autoridad gubernamental o cuasigubernamental u otra autoridad reguladora (incluidas las agencias de aplicación de la ley o de inteligencia) que busque o requiera acceso o divulgación de Información personal.

"Incidente de seguridad de la información" significa (i) cualquier destrucción, pérdida, uso indebido, modificación, acceso no autorizado o divulgación o adquisición de cualquier Información personal; o (ii) cualquier "violación de las salvaguardas de seguridad" o "incidente de confidencialidad" según se define de conformidad con las Leyes de Privacidad aplicables.  El Incidente de seguridad de la información no incluye intentos o actividades fallidas que no comprometan la seguridad de la información personal, incluidos intentos de inicio de sesión fallidos, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas de red.

"Información personal" se refiere a cualquier dato electrónico proporcionado por o para el Cliente o sus Afiliados autorizados a los Servicios en la nube, incluidos los Datos de MyInsights, que identifique, se relacione, describa, pueda asociarse o pueda vincularse razonablemente, directa o indirectamente, con una persona u hogar identificado, identificable o particular, independientemente del medio en el que esté contenido. 

"PIPEDA" se refiere a la Ley de Protección de Información Personal y Documentos Electrónicos (Canadá), S.C. 2000, c. 5, según se modifique de vez en cuando, junto con sus reglamentos.

"Proceso", "Procesado" o "Procesamiento" se refiere a cualquier operación o conjunto de operaciones realizadas sobre la Información personal o sobre conjuntos de Información personal, ya sea por medios automáticos o no, como crear, recopilar, obtener, obtener, retener, acceder, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar, usar, divulgar, transmitir, alinear, combinar, restringir, anonimizar, eliminar o destruir los datos.

"Leyes de Privacidad" se refiere a las leyes, normas, reglamentos, directivas y requisitos gubernamentales que se aplican al Procesamiento de Información Personal de conformidad con el Acuerdo, incluidas, según corresponda, CCPA, PIPEDA y las Leyes de Privacidad Provinciales.

"Leyes Provinciales de Privacidad" se refiere a la Ley de Protección de Información Personal, SA 2003, c P-6.5 (Alberta), la Ley de Protección de Información Personal, SBC 2003, c 63 (Columbia Británica) y la Ley relativa a la protección de información personal en el sector privado, CQLR c P-39.1 (Quebec), cada una de ellas modificada de vez en cuando y junto con sus reglamentos.

"Vender" y "Compartir" tienen los significados atribuidos a esos términos en la Ley de Privacidad aplicable.

"Subprocesador" significa un tercero autorizado como otro Procesador de Datos en virtud de este apéndice para tener acceso y procesar información personal para proporcionar partes del Sistema.

            (a.)                El Cliente tendrá autoridad exclusiva para determinar los fines y medios del Procesamiento de Información Personal. La Compañía procesará la Información personal solo en nombre y para el beneficio del Cliente, y con el único propósito de cumplir con sus obligaciones de conformidad con el Acuerdo y las instrucciones escritas documentadas del Cliente, o según lo requiera o autorice la ley aplicable. La Compañía no procesará información personal para ningún otro propósito o fuera de la relación comercial directa entre el Cliente y la Compañía. A excepción de lo permitido por las Leyes de Privacidad, la Compañía no combinará la Información Personal con otra información personal que la Compañía reciba de un tercero o que recopile independientemente del Acuerdo.

            (b.)                Las Partes anticipan que el Cliente actuará como Controlador de Datos y la Compañía actuará como Procesador de Datos con respecto al Procesamiento de Información Personal en virtud del Acuerdo, tal como se describe actualmente en el Anexo 1 de este apéndice.  El Cliente deberá proporcionar todos los avisos requeridos y obtener todos los consentimientos requeridos de todas las personas relevantes antes de proporcionar cualquier Información Personal con respecto a dichas personas a la Compañía (incluidos los avisos y consentimientos necesarios para que la Compañía Procese la Información Personal de acuerdo con el Acuerdo y este anexo), de acuerdo con las Leyes de Privacidad y cualquier guía aplicable emitida o publicada por cualquier autoridad gubernamental o reguladora pertinente (incluida cualquier autoridad supervisora pertinente o comisionado de privacidad); (ii) conservar registros apropiados de los avisos y consentimientos descritos anteriormente, y proporcionar de inmediato evidencia de dichos avisos y consentimientos a la Compañía a solicitud de la Compañía; y (iii) tomar todas las medidas razonables para garantizar que la Información Personal proporcionada a la Compañía por el Cliente sea precisa, esté actualizada y se limite solo a la Información Personal mínima requerida por la Compañía para los fines de ejecutar el Acuerdo. 

            (c.)                Cualquier Información Personal será, en todo momento, y seguirá siendo propiedad exclusiva del Cliente y la Compañía no tendrá ni obtendrá ningún derecho sobre la misma, salvo que se disponga lo contrario en el Acuerdo. 

            (d.)                El Cliente acepta este apéndice en su propio nombre y, en la medida en que lo exijan las Leyes de Privacidad aplicables, en nombre y representación de sus Afiliados Autorizados, si y en la medida en que la Compañía Procesa Información Personal para la cual dichos Afiliados Autorizados califican como Controladores de Datos. Para evitar dudas, un Afiliado Autorizado no es ni se convierte en parte del Acuerdo. Todo acceso y uso del Sistema por parte de los Afiliados Autorizados debe cumplir con los términos del Acuerdo y cualquier violación de los términos del Acuerdo por parte de un Afiliado Autorizado será considerada una violación por parte del Cliente. El Cliente seguirá siendo responsable de coordinar todas las comunicaciones con la Compañía en virtud de este apéndice y tendrá derecho a realizar y recibir cualquier comunicación en relación con este apéndice en nombre de sus Afiliados Autorizados.

            (a.)                La Compañía no compartirá, transferirá, divulgará, pondrá a disposición ni proporcionará acceso a ninguna Información personal a ninguna parte, excepto cuando sea necesario para la provisión del Sistema al Cliente o según lo permita el Acuerdo o lo exija la ley aplicable. El Cliente proporciona autorización general para el uso de los Subprocesadores por parte de la Compañía para proporcionar actividades de Procesamiento de Información Personal en nombre de la Compañía.  La Compañía celebrará un acuerdo por escrito con cada Subprocesador que imponga obligaciones sustancialmente similares al Subprocesador como las impuestas a la Compañía en virtud de este anexo. En caso de que el Subprocesador no cumpla con sus obligaciones, la Compañía seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de las obligaciones de dicho Subprocesador. Previa solicitud por escrito, la Compañía proporcionará al Cliente una lista de sus Subprocesadores que procesan información personal. 

            (b.)                La Compañía no venderá ni compartirá información personal, y las Partes reconocen y acuerdan que el Cliente no vende ni comparte información personal con la Compañía en relación con el Sistema proporcionado por la Compañía en nombre del Cliente de conformidad con el Acuerdo.

            (c.)                El Cliente acepta que la Compañía puede transferir, transmitir, divulgar o Procesar Información Personal en cualquier parte del mundo donde la Compañía o sus Subprocesadores mantengan operaciones de Procesamiento de datos según sea necesario para proporcionar el Sistema al Cliente.  Para evitar dudas, El Cliente reconoce que la Empresa y sus Subencargados transfieren y almacenan Datos de MyInsights, incluida cualquier Información Personal, en los Estados Unidos.  El Cliente tomará todas las medidas necesarias de conformidad con las Leyes de Privacidad para permitir que la Empresa y sus Subencargados Procesen Información Personal fuera de la provincia y el país donde se encuentran el Cliente y las personas pertinentes, incluidos, entre otros, los siguientes: proporcionar los avisos requeridos y realizar las evaluaciones requeridas con respecto a dichas actividades de procesamiento de datos transfronterizos.  

            (d.)                El Cliente reconoce que su uso del Sistema está restringido a Canadá, México y Estados Unidos.  El Cliente declara que la Compañía no procesará Información Personal relacionada con personas en Europa.  

            (e.)                La Compañía informará de inmediato al Cliente por escrito de cualquier consulta, queja o solicitud con respecto a la Información personal recibida de consumidores, empleados, agentes, consultores, contratistas u otros, a menos que se limite a hacerlo según la ley aplicable. Sujeto a los requisitos aplicables a la Compañía en virtud de las leyes aplicables, incluidas las Leyes de Privacidad, la Compañía responderá a dichas solicitudes de acuerdo con las instrucciones del Cliente. 

            (f.)                La Compañía y el Cliente cooperarán razonablemente entre sí si una persona solicita acceso, actualizaciones o eliminaciones de su Información personal, solicita la restricción o se opone al procesamiento de su Información personal, o realiza una solicitud de portabilidad de datos por cualquier motivo.  El Cliente será responsable de cualquier gasto en el que incurra la Compañía en virtud de esta sección III(F).

            (g.)                La Compañía implementará y mantendrá un procedimiento documentado para revisar y responder a las Solicitudes de las Autoridades Gubernamentales. Dicho procedimiento requerirá que la Compañía:

                                (i.)                  En la medida en que lo permita la ley, notificar de inmediato al Cliente, por escrito, de cualquier Solicitud de Autoridad Gubernamental y cooperar con el Cliente para responder a dicha solicitud;

                                (ii.)                 Examinar cualquier Solicitud de Autoridad Gubernamental para determinar si la solicitud es válida, legalmente vinculante y legal y rechazar o impugnar cualquier solicitud que no sea válida, legalmente vinculante y legal; y

                                (iii.)                Garantizar que la Información Personal divulgada o a la que se proporciona acceso sea proporcionada y se limite a la cantidad mínima estrictamente necesaria con el fin de cumplir con la Solicitud de la Autoridad Gubernamental. La Compañía deberá, en la medida en que lo permita la ley aplicable, eliminar cualquier información antes de la divulgación o el acceso que permita identificar directamente a una persona a partir de los datos divulgados o a los que se proporciona acceso.

            (h.)                Sujeto a cualquier restricción legal, el Cliente cooperará razonablemente con la Compañía para responder a cualquier Solicitud de Autoridad Gubernamental u otra demanda, reclamo, acción, queja, investigación o auditoría por parte de un tercero en relación con el Procesamiento de Información Personal en relación con el Acuerdo ("Acción Legal"), incluyendo, pero no limitado a, cualquier acción legal por parte de cualquier persona cuya información personal sea procesada por la Compañía en relación con el Acuerdo y / o cualquier autoridad supervisora o comisionado de privacidad relevante.

            (i.)                La Compañía implementará y mantendrá medidas físicas, técnicas, administrativas y organizativas apropiadas para proteger la Información Personal contra Incidentes de Seguridad de la Información y para preservar la seguridad y confidencialidad de la Información Personal procesada por la Compañía. Las medidas físicas, técnicas, administrativas y organizativas están sujetas al progreso y desarrollo técnico, y la Compañía puede actualizar o modificar dichas medidas de vez en cuando, siempre que las actualizaciones y modificaciones no resulten en una degradación material de la seguridad de los servicios prestados por la Compañía al Cliente. 

            (a.)                Cada Parte cumplirá con todas las Leyes de Privacidad en relación con el Procesamiento de Información Personal de conformidad con el Acuerdo. La Compañía informará de inmediato al Cliente si, en opinión de la Compañía, una instrucción del Cliente infringe las Leyes de Privacidad aplicables. 

            (b.)                La Compañía certifica que comprende y cumplirá con los requisitos y restricciones establecidos en este apéndice. 

            (c.)                A solicitud del Cliente, la Compañía proporcionará la asistencia razonable necesaria para cumplir con la obligación del Cliente en virtud de las Leyes de Privacidad de llevar a cabo una evaluación de impacto de protección de datos y cualquier consulta regulatoria relacionada con el uso del Sistema por parte del Cliente, en la medida en que el Cliente no tenga acceso a la información relevante y dicha información esté disponible para la Compañía. Sin perjuicio de cualquier disposición en contrario en el Acuerdo, la Compañía proporcionará dicha asistencia a cargo del Cliente.

            (d.)                La Compañía tomará medidas razonables para garantizar la confiabilidad de cualquier empleado, agente o contratista de la Compañía que pueda tener acceso a la Información personal, asegurando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.

            (e.)                La Compañía informará de inmediato al Cliente por escrito de cualquier Incidente de Seguridad de la Información del que la Compañía tenga conocimiento. La Compañía hará esfuerzos razonables para identificar la causa de dicho Incidente de Seguridad de la Información,  tomará las medidas que la Compañía considere necesarias y razonables para remediar la causa de dicho Incidente de Seguridad de la Información Las obligaciones del presente documento no se aplicarán a los incidentes causados por el  Cliente o sus Afiliados Autorizados. 

En la medida en que la eliminación o devolución de la Información Personal no se especifique en el Acuerdo, la Compañía, al recibir la solicitud por escrito del Cliente, eliminará o devolverá, según lo determine la Compañía a su entera discreción, la Información Personal dentro de un período razonable que será confirmado por la Compañía.  Sin perjuicio de la oración anterior, la Compañía y sus Subprocesadores pueden retener cualquier Información Personal (i) necesaria para el cumplimiento de cualquier obligación legal o reglamentaria aplicable a la Compañía o cualquier Subprocesador, incluida la Información personal sujeta a una retención de documentos establecida en relación con cualquier investigación o litigio civil o penal; (ii) contenidos en el almacenamiento informático de archivo o copia de seguridad de la Empresa o de cualquier Subencargado que la Empresa o el Subencargado, según corresponda, protegerán de cualquier procesamiento posterior y eventualmente se eliminarán de acuerdo con las políticas de eliminación de la Empresa o del Subprocesador; o (iii) de otro modo permitido en virtud del Acuerdo.  

Previa solicitud por escrito del Cliente, no más de una vez al año y sujeto a las obligaciones de confianza establecidas en el Acuerdo, la Compañía proporcionará al Cliente o a su auditor autorizado las certificaciones más recientes, informes de auditoría resumidos o ambos, que la Compañía haya obtenido para demostrar el cumplimiento de este apéndice. Si el Cliente necesita más información para cumplir con sus obligaciones legales en virtud de las Leyes de Privacidad, el Cliente deberá presentar a la Compañía por escrito una solicitud de dicha información para permitir que la Compañía proporcione dicha información a expensas del Cliente.

Este apéndice sobrevivirá a cualquier terminación o vencimiento del Acuerdo solo en la medida en que la Compañía mantenga cualquier Información personal.

            (a)                  Para evitar dudas, cualquier reclamación o recurso que el Cliente pueda tener contra la Empresa o cualquier Subprocesador que surja en virtud de este apéndice o en relación con él estará sujeto a cualquier disposición de limitación de responsabilidad (incluido cualquier límite financiero agregado acordado) que se aplique en virtud del Acuerdo.  y sus Subprocesadores por cualquier sanción regulatoria incurrida por la Compañía o cualquier Subprocesador en relación con la Información Personal que surja debido a, o en relación con el incumplimiento del Cliente de sus obligaciones en virtud de este apéndice o cualquier Ley de Privacidad aplicable.  El Cliente reconoce además que cualquier sanción reglamentaria incurrida por la Compañía en relación con la Información Personal que surja debido a, o en relación con el incumplimiento por parte del Cliente de sus obligaciones en virtud de este apéndice o de cualquier Ley de Privacidad aplicable, contará y reducirá la responsabilidad de la Empresa en virtud del Acuerdo como si fuera una responsabilidad ante el Cliente en virtud del Acuerdo.

            (b)                  El Cliente y la Compañía reconocen que las leyes relacionadas con la privacidad y la protección de datos, incluidas las Leyes de Privacidad, están evolucionando y que es posible que se requiera una enmienda al Acuerdo o a este apéndice para garantizar el cumplimiento de dichos desarrollos.  Las partes acuerdan tomar las medidas que sean necesarias para implementar el estándares y requisitos de las Leyes de Privacidad aplicables, incluida la negociación de buena fe para modificar el Acuerdo o este apéndice según sea necesario para el cumplimiento de dichas leyes.

            (c)                  Las partes han solicitado expresamente que esta adenda y todos los documentos relacionados se redacten únicamente en inglés. Les parties ont expressément exigé que le présent avenant relatif au traitement des renseignements personnels ainsi que tout document s'y rattachant soient rédigés en anglais seulement. 

Este anexo 1 forma parte de la adenda y debe ser completado por las Partes.

a)                    Objeto y duración de las actividades de Procesamiento: Las Partes reconocen que la Compañía puede Procesar Información Personal en nombre del Cliente con el fin de proporcionar el Sistema en virtud del Acuerdo. La duración del Tratamiento es igual a la duración del Acuerdo. 

a.                    Personas afectadas: La información personal se refiere a las siguientes categorías de personas:

-          Empleados y contratistas del cliente.

b.                    Categorías de Información personal: El Cliente puede enviar Información personal a los Servicios en la nube, cuyo alcance es determinado y controlado por el Cliente, y que puede incluir las siguientes categorías de Información personal:

-          Nombre y apellido

-          Título/Cargo/Rol de usuario

-          Información de contacto (por ejemplo, empresa, dirección de correo electrónico, número de teléfono, dirección comercial física)

-          Datos de geolocalización

-          Otra información personal que los Usuarios autorizados del cliente ingresan manualmente en los Servicios en la nube.

c.                    Categorías especiales de información personal (si corresponde): Ninguno.