Apéndice sobre tratamiento internacional de datos

La presente Adenda relativa al tratamiento de datos, incluidos todos los anexos ("Anexo") con fecha 1 de enero de 2023 ("Fecha de entrada en vigor del apéndice") forma parte del contrato de bienes y servicios existente o contemporáneo ("Acuerdo") entre: Sycomp A Technology Company, Inc. ("Sycomp") y la empresa cliente ("Empresa") actuando en su propio nombre y/o como agente de sus Filiales corporativas al aceptar este Addendum.

La Empresa y Sycomp han suscrito un Contrato en virtud del cual Sycomp proporciona a la Empresa determinados programas informáticos y SaaS licencias, professional services y hardware (denominados en el presente Addendum el "Soluciones"), ofrecidos por terceros fabricantes de equipos originales, licenciantes de software y SaaS y proveedores de servicios (los "Socios de reventa"). Sycomp recopila y procesa un mínimo de Datos Personales de la Empresa (definidos a continuación) según lo dispuesto en las Leyes Aplicables (definidas a continuación) al proporcionar las Soluciones. Cuando sólo los Socios de Reventa tienen acceso a información relacionada con los Datos Personales de la Empresa, incluyendo, sin limitación, información sobre los clientes, empleados, directivos, contratistas y agentes de la Empresa, incluyendo, sin limitación, información personal/datos personales según se definen en las Leyes Aplicables, y Sycomp no tiene acceso ni participa en el procesamiento de los Datos Personales de la Empresa, la Empresa reconoce que su relación con los Socios de Reventa rige el procesamiento de los Datos Personales de la Empresa según las Leyes Aplicables y este Apéndice no es de aplicación.

Los términos utilizados en el presente Addendum tendrán el significado que se establece en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente documento tendrán el significado que se les atribuye en el Acuerdo. Salvo en los casos en que se modifiquen a continuación, los términos del Acuerdo seguirán en pleno vigor y efecto.

Las partes acuerdan por la presente que los términos y condiciones que figuran a continuación se añadirán como Apéndice al Acuerdo.

1. Términos generales

1.1 Definiciones.

1.1.1 "Afiliado"se refiere a una entidad que posee o controla, es propiedad o está controlada por o está bajo control o propiedad común con la Empresa o Sycomp respectivamente, donde control se define como la posesión, directa o indirecta, del poder de dirigir o causar la dirección de la gestión y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otro modo.

1.1.2 "Legislación aplicable" se refiere a cualquier ley de privacidad o seguridad que se aplique a los Datos Personales de la Empresa. Esto incluye (sin limitación) el Reglamento General de Protección de Datos (UE 2016/679) ("GDPR"), la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE), la Ley de Protección de Datos del Reino Unido (DPA) y el GDPR del Reino Unido, la Ley Federal de Protección de Datos de Suiza, la Ley de Privacidad del Consumidor de California de 2018, (California Civil Code §§ 1798.100 et seq.,) y la Ley de Derechos de Privacidad de California de 2020, la Ley de Protección de Datos de los Consumidores de Virginia (Va. Code Ann. tit. 59.1, Ch. 53 et seq.), la Ley de Privacidad de Colorado (Colo. Rev. Stat. Ann. §§ 6-1-1302 et seq.), la Ley de Privacidad de los Consumidores de Utah (Utah Code Ann. §§ 13-61-101 et seq.), cualquier otra legislación estatal de privacidad de los Estados Unidos de ámbito similar a las leyes antes mencionadas, y cualquier normativa de aplicación adoptada en virtud de las mismas (todas las cuales pueden ser modificadas de vez en cuando.

1.1.3 "Datos personales de la empresa". se refiere a la información procesada por Sycomp, o recopilada por Sycomp, en nombre de la Empresa que identifica, se relaciona, describe, puede asociarse o podría vincularse razonablemente, de forma directa o indirecta, con una persona u hogar identificados o identificables.

1.1.4 "Sujeto de los datos" cualquier persona física o jurídica identificable incluida, o previamente incluida, en los Datos Personales de la Empresa.

1.1.5 "Violación de datos personales" se entenderá la destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilícito a Datos Personales de la Empresa transmitidos, almacenados o tratados de otra forma. En caso de que cualquier otra definición de "violación", "violación de datos" o "violación de datos personales" que aparezca en cualquier Ley Aplicable tenga un alcance más amplio que la definición aquí proporcionada, prevalecerá la definición de dicha Ley.

1.1.6 "Proceso" cualquier operación o conjunto de operaciones que se realicen con los Datos Personales de la Empresa.

1.1.7 "Procesando Registros" significa registros escritos completos, precisos y actualizados de todas las actividades de Tratamiento realizadas en nombre de la Empresa.

1.1.8 "Procesador" se refiere a cualquier entidad que realice el Tratamiento de los Datos Personales de la Empresa. A los efectos del presente Contrato y Apéndice, Sycomp y cualquier subcontratista autorizado son Encargados del Tratamiento.

1.1.9 "Regulador" se refiere a cualquier organismo gubernamental responsable de hacer cumplir la Legislación Aplicable.

1.1.10 "Vender"/"Venta" tiene el significado que pueda establecerse en la Legislación Aplicable (por ejemplo, la Ley de Privacidad del Consumidor de California de 2018). A modo de ejemplo, y no a modo de limitación, "Vender" puede significar vender, alquilar, ceder, revelar, difundir, poner a disposición o transferir la información personal de un consumidor por parte de la empresa a otra empresa o a un tercero a cambio de una contraprestación monetaria u otra contraprestación de valor.

1.1.11 "Compartir" tiene el significado que pueda establecerse en la legislación aplicable (por ejemplo, la Ley de Derechos de Privacidad de California de 2020). A modo de ejemplo, y no a modo de limitación, "Compartir" puede significar cualquier divulgación de Datos Personales de la Empresa (alquilar, ceder, revelar, difundir, poner a disposición, transferir o comunicar de cualquier otro modo oralmente, por escrito o por medios electrónicos o de otro tipo) a un tercero para publicidad conductual contextual cruzada.

1.1.12 "Subprocesador" se refiere a cualquier Procesador (incluido cualquier tercero y cualquier Afiliado de Sycomp) designado por Sycomp para Procesar los Datos Personales de la Empresa. Esto incluye (sin limitación) entidades que se definen como Proveedores de Servicios sujetos a la Ley de Privacidad del Consumidor de California de 2018.

1.2 Autorización para el tratamiento de datos.

1.2.1 Las partes no tienen intención de que Sycomp procese Datos Personales de la Empresa en el curso ordinario de la ejecución del Contrato. Sin embargo, en caso de que Sycomp procese Datos Personales del Usuario, lo hará de conformidad con los términos de este Apéndice.

1.2.2 Sycomp no procesará los Datos Personales de la Empresa para fines distintos de los especificados en el Contrato, el presente Apéndice o las instrucciones documentadas de la Empresa. Sycomp informará inmediatamente a la Empresa si, en su opinión, alguna instrucción de procesamiento infringe alguna Ley Aplicable. Sycomp no accederá, conservará, utilizará ni revelará los Datos Personales del Usuario para fines comerciales distintos de los necesarios para proporcionar las Soluciones y prestar los servicios estipulados en el Contrato.

1.2.3 Anexo 1 de este Anexo establece cierta información relativa al Tratamiento de los Datos Personales de la Empresa por parte de Sycomp. La Empresa podrá introducir modificaciones razonables en Anexo 1 mediante notificación por escrito a Sycomp de vez en cuando.

1.3 Cumplimiento de la legislación aplicable. Tanto Sycomp como la Empresa declaran y garantizan que cumplirán la Legislación Aplicable, incluidos todos los reglamentos que se hayan promulgado o se promulguen en el futuro al respecto, y otras leyes y reglamentos similares. La Empresa declara que tiene todos los derechos necesarios para proporcionar Datos Personales de la Empresa a Sycomp en relación con el suministro de las Soluciones.

1.4 Confidencialidad y seguridad.

1.4.1 Sycomp implementará y mantendrá medidas técnicas y organizativas adecuadas en relación con el tratamiento de los Datos Personales del Usuario por parte de Sycomp de conformidad con la Legislación Aplicable. En concreto, durante la vigencia del Contrato, Sycomp cumplirá la norma ISO/IEC 27001:2013 y proporcionará un certificado que lo acredite a petición de la Empresa. Sycomp se asegurará de que sus agentes y representantes que procesen Datos Personales del Usuario en nombre de la Empresa hayan firmado acuerdos que les obliguen a mantener la confidencialidad de los Datos Personales del Usuario, y Sycomp tomará todas las medidas razonables para garantizar que los representantes de Sycomp que procesen Datos Personales del Usuario reciban la formación adecuada sobre el cumplimiento del presente Apéndice y las leyes pertinentes.

1.5 Derechos del interesado.

1.5.1 Sycomp ayudará a la Empresa a responder a las quejas, comunicaciones o solicitudes de un Interesado para ejercer un derecho en virtud de la Legislación Aplicable en relación con los Datos Personales de la Empresa conservados por Sycomp o sus Subencargados. Esto incluirá, como mínimo, que Sycomp y sus Subprocesadores mantengan la capacidad de acceder, modificar, retirar del procesamiento o eliminar o destruir irrevocablemente, corregir, transportar (es decir, el derecho a la portabilidad de datos), restringir o limitar el uso de Datos Personales Sensibles (según la definición de esta expresión en la Legislación Aplicable), o no Vender o Compartir (según la definición de estos términos en la Legislación Aplicable) los datos de un Titular individual cuando lo solicite la Empresa ("Solicitud del Titular").

1.5.2 En caso de que Sycomp, un subprocesador u otro subcontratista recopile directamente datos de los Interesados en relación con las instrucciones de la Empresa, Sycomp se asegurará de que los Interesados reciban la Política de confidencialidad de la Empresa en el momento de recopilar cualquier información sobre el Interesado o antes.

1.5.3 Sycomp notificará sin demora a la Empresa si recibe una solicitud del Sujeto de los Datos. Si así lo exige la Legislación Aplicable, Sycomp informará al Interesado de que Sycomp es un Proveedor de Servicios o Encargado del Tratamiento (según la Legislación Aplicable) y de que el Interesado debe ponerse en contacto con la Empresa o el Socio de Reventa correspondiente. De lo contrario, Sycomp esperará instrucciones de la Empresa sobre si debe responder a dicha solicitud y cómo hacerlo. La Empresa proporcionará a Sycomp información de contacto actualizada para que Sycomp pueda dirigir las solicitudes del Interesado.

1.6 Vulneración de datos personales.

1.6.1 En caso de que un tercero no autorizado acceda o adquiera, real o supuestamente, Datos Personales de la Empresa, Sycomp notificará inmediatamente a la Empresa la posible violación de los Datos Personales sin demora indebida (pero en ningún caso después de 48 horas laborables de haber tenido conocimiento de la posible violación de los Datos Personales) y proporcionará a la Empresa, por escrito o por correo electrónico, sin demora indebida (siempre que sea posible, dentro de los 10 días laborables de haber tenido conocimiento de la posible violación de los Datos Personales) los detalles que la Empresa razonablemente requiera, reconociendo que esto puede complementarse a medida que se descubran detalles adicionales con el tiempo. Además, Sycomp investigará y remediará la posible violación de datos personales y, en la medida en que la violación de datos personales dé lugar a una obligación legal para la Empresa o Sycomp de notificar a las autoridades pertinentes o a los interesados afectados, o ponga en peligro a los interesados afectados, Sycomp proporcionará a la Empresa garantías satisfactorias de que la violación de datos personales no se repetirá. Sycomp garantiza que, en caso de producirse una filtración de datos personales de la Empresa, se documentarán todas las medidas de respuesta y se realizará una revisión posterior al incidente tanto de los hechos como de las medidas correctivas adoptadas, si las hubiera, para evitar que se repita. Sycomp se compromete a cooperar plenamente con la Empresa en la gestión del asunto, incluyendo, sin limitación, cualquier investigación, notificación u otras obligaciones exigidas por la legislación o normativa aplicable, incluida la respuesta a consultas o investigaciones reglamentarias, o según requiera la Empresa, y colaborará con la Empresa para responder y mitigar los daños causados por la violación de datos personales. Sycomp no notificará a terceros la violación de datos personales sin la autorización previa y por escrito de la Empresa.

1.6.2 Sycomp cooperará con la Empresa y las Filiales de la Empresa, y exigirá a cualquier Subprocesador que lo haga, y tomará las medidas comerciales razonables para ayudar en la investigación, mitigación y reparación de cualquier Violación de Datos Personales.

1.7 Supresión o devolución de datos personales de la empresa. Sycomp borrará de forma segura o devolverá a la Empresa, sin demora y en papel o formato electrónico, los Datos Personales de la Empresa que ésta solicite por escrito. Tan pronto como sea razonablemente posible tras la finalización de los servicios previstos en el Contrato, Sycomp eliminará de forma segura todas las copias existentes de los Datos Personales del Usuario, en formato electrónico e impreso, a menos que la Legislación Aplicable u otras leyes pertinentes exijan su conservación. En caso de que los Datos Personales del Usuario se almacenen en soportes de copia de seguridad, sólo será necesario eliminarlos cuando dichos soportes se utilicen para restaurar los sistemas de Sycomp.

1.8 Evaluación de impacto sobre la privacidad de los datos y consulta previa. Sycomp proporcionará asistencia razonable a la Empresa con cualquier evaluación de impacto sobre la protección de datos que se requiera en virtud de la Legislación Aplicable en relación con el Tratamiento por Sycomp de los Datos Personales de la Empresa.

1.9 Indemnización. Sycomp acepta reembolsar e indemnizar a la Empresa por todos los gastos en que incurra para responder y/o mitigar los daños causados por el incumplimiento de este Apéndice, incluidas las violaciones de seguridad que afecten a los Datos Personales de la Empresa mantenidos por Sycomp o sus Subprocesadores o cualquier incumplimiento material por parte de Sycomp de sus obligaciones de protección de datos y privacidad en virtud de este Apéndice.

1.10 Rendimiento a cargo exclusivo de Sycomp. El cumplimiento de este Apéndice por parte de Sycomp, así como las medidas que se le exijan para cumplir la Legislación Aplicable en relación con el Contrato, correrán a cargo exclusivo de Sycomp y no darán lugar a honorarios adicionales para las Soluciones (salvo que ya se hayan estipulado en el Contrato). Cualquier medida que deba tomar la Empresa para cumplir la legislación aplicable en relación con el Contrato correrá a cargo exclusivo de la Empresa (salvo que ya se haya estipulado en el Contrato).

1.11 Modificaciones de este apéndice. Sycomp puede actualizar los términos de este Apéndice de vez en cuando; no obstante, Sycomp no debilitará sustancialmente las protecciones de este Apéndice a menos que lo notifique por escrito a la Empresa con al menos 30 días de antelación y le dé la oportunidad de cancelar el Contrato en un plazo de 7 días tras recibir dicha notificación si la Empresa no está de acuerdo con los cambios sustanciales.

1.12 Cambios en la legislación aplicable. En caso de que alguna de las Leyes Aplicables cambie sustancialmente en algún aspecto de forma que ponga en peligro la adecuación del presente Addendum a cualquier Ley Aplicable nueva o modificada ("Nuevas leyes"), la Sociedad podrá proponer modificaciones al presente Anexo que la Sociedad considere razonablemente necesarias para cumplir los requisitos de cualquier Nueva Ley ("Enmiendas propuestas"). Tanto Sycomp como la Empresa negociarán de buena fe las Modificaciones Propuestas, con el consentimiento por escrito de Sycomp, que no se denegará injustificadamente.

1.13 Condiciones generales. Cualquier obligación impuesta a Sycomp en virtud de este Apéndice en relación con el Tratamiento de Datos Personales sobrevivirá a cualquier rescisión o expiración de este Apéndice mientras se traten Datos Personales. Si alguna disposición de este Apéndice fuera inválida o inaplicable, el resto del Apéndice seguirá siendo válido y vigente. La disposición inválida o inaplicable será: (a) modificada en la medida necesaria para garantizar su validez y aplicabilidad, preservando en la medida de lo posible la intención de la disposición o, si esto no fuera posible, (b) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en ella. La Empresa y Sycomp reconocen y aceptan expresamente que este Apéndice incluye disposiciones tratadas en otras partes del Contrato. Por la presente, la Empresa y Sycomp acuerdan que los términos y condiciones aquí expuestos se añadirán como Apéndice al Contrato. Este Apéndice y las demás partes del Contrato se leerán conjuntamente y se interpretarán, en la medida de lo posible, de forma concertada. En caso de conflicto entre el Contrato y el presente Apéndice, prevalecerán las disposiciones que ofrezcan mayor protección de los Datos Personales de la Empresa; no obstante, en ningún caso se considerará que el presente Apéndice elimina, limita o disminuye las obligaciones o compromisos de Sycomp para con la Empresa en virtud de las partes del Contrato.

2. Términos internacionales. En caso de que la Empresa notifique a Sycomp que los datos personales de residentes en el Espacio Económico Europeo, Suiza, Reino Unido, Brasil u otra jurisdicción aplicable fuera de Estados Unidos pueden ser Procesados en virtud del Contrato, las disposiciones de esta Sección 2 se aplicarán a todas las partes y al Procesamiento de los Datos Personales de la Empresa en relación con la prestación de las Soluciones.

2.1 Subprocesamiento.

2.1.1 La Empresa autoriza a Sycomp a contratar a Subprocesadores de la lista que se presenta en el Anexo 1, Sección C. a continuación. Sycomp informará por escrito a la Empresa de cualquier incorporación de un Subencargado del Tratamiento a esta lista. Al recibir esta notificación, la Empresa tendrá 30 días para oponerse, por motivos razonables, a la incorporación de un Subencargado del Tratamiento, cuando así lo exija la legislación aplicable. En caso de que Sycomp decida contratar a un Subencargado del Tratamiento a pesar de la objeción razonable de la Empresa, ésta tendrá derecho a rescindir el Contrato de conformidad con la cláusula de Rescisión del mismo.

2.1.2 Con respecto a cada Subprocesador, Sycomp deberá:

2.1.2.1 llevar a cabo la diligencia debida con respecto a cada Subencargado del Tratamiento para garantizar que es capaz de proporcionar el nivel de protección de los Datos Personales de la Empresa exigido por el presente Anexo y aportar pruebas de dicha diligencia debida si así lo solicita un Regulador;

2.1.2.2 suscribir un contrato vinculante por escrito e incluir en el contrato entre Sycomp y cada Subprocesador condiciones materialmente similares a las estipuladas en el presente Apéndice;

2.1.2.3 asegurarse de que los Subprocesadores aprobados han aceptado utilizar la información únicamente para los fines comerciales de la Empresa y de conformidad con todas las Leyes, normas y reglamentos aplicables, así como con las instrucciones de la Empresa; y

2.1.2.4 seguirá siendo plenamente responsable ante la Empresa de las acciones de los Subprocesadores en relación con los Datos Personales de la Empresa.

2.2 Transferencias internacionales de datos.

2.2.1 Sycomp debe contar con el consentimiento previo por escrito o instrucciones del Usuario para transferir sus Datos Personales a nivel internacional o, en el caso de los Datos Personales recibidos del Usuario dentro del Espacio Económico Europeo ("EEE"), Suiza o el Reino Unido ("RU"), para transferir dichos datos fuera del EEE o a cualquier organización internacional (una "Transferencia Internacional"). Si la Empresa consiente dicha transferencia internacional, Sycomp se asegurará de que dicha transferencia (y cualquier transferencia posterior) (i) se realice en virtud de un contrato escrito que incluya las disposiciones adecuadas en materia de seguridad y confidencialidad de los Datos Personales de la Empresa; (ii) se realice en virtud de un mecanismo legalmente aplicable para dichas transferencias transfronterizas de Datos Personales de la Empresa conforme a la legislación pertinente (cuya forma y contenido estarán sujetos a la aprobación por escrito de la Empresa); (iii) se realice de conformidad con el presente Apéndice; y (iv) cumpla por lo demás la legislación pertinente en materia de privacidad. A menos que las partes puedan acogerse a un mecanismo de transferencia alternativo basado en un mecanismo de adecuación aprobado por el EEE, Suiza y el Reino Unido ("Mecanismo de Adecuación", por ejemplo, un mecanismo de transferencia basado en la Orden Ejecutiva 14086 que debe facilitar el Marco de Privacidad de Datos UE-EE.UU. entre los Estados Unidos y la Unión Europea), las partes ejecutarán y adjuntarán al presente Addendum, según sea necesario, Cláusulas Contractuales Tipo ("CEC") aprobadas u otras disposiciones contractuales legalmente aceptables para facilitar las transferencias de Datos Personales de la Empresa.

2.2.2 Territorio.

2.2.2.1 Espacio Económico Europeo. Con respecto a la facilitación de las transferencias internacionales de Datos Personales de la Empresa de residentes en el EEE, se considerará que las partes han ejecutado los CCE del EEE que se incorporan a este Addendum en el Anexo 2.

2.2.2.2 Ambos Espacio Económico Europeo y Reino Unido. Con respecto a la facilitación de las transferencias internacionales de Datos Personales de la Empresa de residentes en el EEE y residentes en el Reino Unido, se considerará que las partes han ejecutado los CCE del EEE y el Anexo de Transferencia Internacional de Datos del Reino Unido, que se incorporan al presente Anexo en el Anexo 2 y el Anexo 3.

2.2.2.3 Sólo Reino Unido. Con respecto a la facilitación de transferencias internacionales de Datos Personales de la Empresa de residentes en el Reino Unido ("RU") y no de Datos Personales de la Empresa de residentes en el EEE, se considerará que las partes han suscrito el Acuerdo de Transferencia Internacional de Datos del RU, que se incorpora al presente Anexo en el Anexo 4.

2.2.2.4 Brasil. Con respecto a la facilitación de las transferencias internacionales de Datos Personales de la Empresa de residentes en Brasil, se considerará que las partes han ejecutado y anexado al presente Acuerdo los CCE de Brasil, siempre y cuando estén disponibles.

2.2.2.5 En caso de conflicto, dichos anexos con los CEC, el Acuerdo Internacional de Transferencia de Datos del Reino Unido/Adenda u otras disposiciones específicas tendrán prioridad, cuando proceda, sobre los términos de la presente Adenda.

2.2.2.6 A efectos de cualquier transferencia de datos personales también sujeta a la Ley Federal de Protección de Datos de Suiza de 19 de junio de 1992 ("FADP"): (i) el término "Estado miembro" no debe interpretarse de forma que excluya a los interesados en Suiza de la posibilidad de entablar acciones legales para hacer valer sus derechos en su lugar de residencia habitual de conformidad con la cláusula 18(c) y (ii) las cláusulas también protegen los datos de las personas jurídicas hasta la entrada en vigor de la FADP revisada.

2.2.2.7 En caso de que las partes puedan basarse en un Mecanismo de Adecuación para facilitar una Transferencia Internacional, las partes acuerdan que el mecanismo de transferencia apropiado será dicho Mecanismo de Adecuación y no las Cláusulas Contractuales Tipo o el Acuerdo/Adenda de Transferencia Internacional de Datos del Reino Unido.

2.3 Registros pertinentes y derechos de auditoría.

2.3.1 Sycomp mantendrá Registros de Procesamiento y pondrá a disposición de la Empresa, a petición de ésta y de manera oportuna, la información (incluidos los Registros de Procesamiento) que la Empresa razonablemente necesite para demostrar el cumplimiento por parte de Sycomp de sus obligaciones en virtud de la Legislación Aplicable y el presente Apéndice, que la Empresa podrá revelar a las autoridades reguladoras. Los Registros de Procesamiento contendrán, como mínimo, una descripción de todos los Datos Personales de la Empresa procesados por Sycomp en nombre de la Empresa, el tipo de procesamiento, los fines del procesamiento, un registro del consentimiento (si lo hubiera) y cualquier otra información que la Empresa requiera razonablemente.

2.3.2 Sycomp proporcionará asistencia, información y cooperación adicionales razonables a la Empresa, a expensas de ésta, para cumplir las obligaciones contraídas por la Empresa en virtud de la Legislación Aplicable en relación con: (i) seguridad de los datos; (ii) notificación de violaciones de datos; (iii) respuesta a solicitudes de reguladores o particulares en relación con los datos personales de la Empresa y/o sus prácticas de privacidad o seguridad de datos; y (iv) realización de evaluaciones de impacto sobre la privacidad de los datos. Sycomp implementará y mantendrá medidas técnicas y organizativas adecuadas para ayudar a la Empresa en el cumplimiento de sus obligaciones de responder a las solicitudes de los Interesados en relación con los Datos Personales de la Empresa. Esto incluye garantizar que todas las solicitudes relacionadas con los datos personales se registren y se remitan a la Empresa en un plazo de tres (3) días a partir de la recepción de la solicitud. Por lo demás, Sycomp cooperará con la Empresa en sus esfuerzos por supervisar el cumplimiento de sus obligaciones.

3. Estados Unidos Términos. En caso de que la Empresa notifique a Sycomp que los datos personales de residentes en Estados Unidos pueden ser objeto de Tratamiento en virtud del Contrato, las disposiciones de esta Sección 3 se aplicarán a todas las partes y al Tratamiento de los Datos Personales de la Empresa en relación con la prestación de las Soluciones.

3.1 Relación entre las partes. En la medida en que Sycomp procese Datos Personales de la Empresa sujetos a las Leyes de Protección de Datos, Sycomp es un "Proveedor de Servicios" según la definición de la Ley de Privacidad del Consumidor de California de 2018 y la Ley de Derechos de Privacidad de California de 2020, un "Encargado del Tratamiento" según la definición de la Ley de Protección de Datos del Consumidor de Virginia y la Ley de Privacidad de Colorado, y cualquier otro término de significado similar según dichos términos se entiendan de conformidad con las Leyes Aplicables.

3.2 Finalidad del tratamiento de los datos personales de la empresa. Cualquier Dato Personal de la Empresa que Sycomp reciba, acceda, transfiera o recopile en relación con las Soluciones se hace exclusivamente con el fin de que Sycomp proporcione las Soluciones, como se describe con más detalle en el Anexo 5 más adelante, y no constituirá una Venta de dichos datos ni será a cambio de ninguna contraprestación monetaria o de otro tipo. Además, no se compartirá ningún Dato Personal de la Empresa con fines de publicidad dirigida o contextual cruzada.

3.3 Sycomp Tratamiento de datos personales de la empresa. En el curso de la prestación de las Soluciones a la Empresa y en relación con la Información de Usuario de la Empresa que reciba, acceda, transfiera o recopile en relación con las Soluciones, Sycomp:

3.3.1 no realizar ninguna acción que pueda provocar que la Empresa no cumpla con la Legislación Aplicable u otras leyes de privacidad;

3.3.2 no recopilará más Datos Personales de la Empresa de ningún Sujeto de Datos que los estrictamente necesarios para proporcionar las Soluciones a la Empresa;

3.3.3 tratar todos los Datos Personales de la Empresa como "Información Confidencial" en virtud de las disposiciones de confidencialidad del Acuerdo;

3.3.4 no intentar identificar o reidentificar a ningún Sujeto de Datos y no asociar ninguna información personal con ningún Sujeto de Datos o actividad en línea de ningún Sujeto de Datos, salvo en la medida estrictamente necesaria para proporcionar las Soluciones a la Empresa;

3.3.5 no mezclar los Datos Personales de la Empresa con los datos de terceros, salvo en la medida estrictamente necesaria para proporcionar las Soluciones a la Empresa;

3.3.6 en ningún caso Vender, Compartir o conceder licencias a terceros, ni utilizar en beneficio de terceros, ningún Dato Personal de la Empresa; y

3.3.7 notificar inmediatamente a la Empresa si determina que ya no puede cumplir sus obligaciones en virtud de la Legislación Aplicable.

3.4 Subcontratistas. En caso de que Sycomp contrate a subcontratistas para el tratamiento de los Datos Personales de la Empresa, Sycomp incluirá en el contrato entre Sycomp y cada subcontratista condiciones sustancialmente similares a las estipuladas en el presente Apéndice.

3.5 Registros pertinentes y derechos de auditoría. Cuando así lo exija la Legislación Aplicable, y a petición de la Empresa, Sycomp pondrá a disposición de la Empresa los Datos Personales razonablemente necesarios para demostrar el cumplimiento del presente Apéndice y/o de la Legislación Aplicable.

3.6 Certificación. Sycomp certifica que comprende y cumplirá las restricciones sobre el uso de los Datos Personales de la Empresa en relación con el suministro de las Soluciones.

El presente apéndice se celebra y se convierte en parte vinculante de cada Acuerdo con la Empresa con efecto a partir de la fecha de entrada en vigor del apéndice indicada anteriormente.

ANEXO 1: TRATAMIENTO DE DATOS

A. Detalles del tratamiento de datos de la empresa

1. Categorías de interesados cuyos datos personales se transfieren

Empleados y subcontratistas de la empresa

2. Categorías de datos personales transferidos

Información de contacto: nombre, dirección profesional o particular, correo electrónico profesional y número de teléfono.

3. Datos sensibles transferidos y restricciones y garantías aplicables

La empresa no transferirá datos personales sensibles.

4. Frecuencia de transferencia

Continua durante la entrega de Soluciones

5. Naturaleza del tratamiento

Los Datos Personales de la Empresa se tratarán de la forma establecida en el Acuerdo y según lo que las partes modifiquen en una Declaración de Trabajo u otro escrito. En particular, los Datos Personales de la Empresa se utilizarán y divulgarán para los siguientes fines:

Contacto y comunicaciones relativas a la venta y entrega de soluciones a la empresa, incluida la entrega de hardware y software a empleados remotos.

6. Finalidad(es) de la transferencia y tratamiento posterior

Los Datos Personales de la Empresa se tratarán para los fines establecidos en el Acuerdo y según puedan modificarlos las partes en una Declaración de Trabajo u otro escrito.

Venta y entrega de soluciones a la empresa, incluida la entrega de hardware y software a empleados remotos

7. Período de conservación de los datos personales

Durante la venta, entrega y soporte de Soluciones y según lo permitido legalmente para corroborar el historial de las mismas

B. Medidas técnicas y organizativas

El programa de seguridad del SGSI de Sycomp incluye políticas comercialmente razonables y técnicamente apropiadas para proteger la información de la empresa y de terceros contra el acceso, la adquisición, el uso o uso indebido, la divulgación, la destrucción y la modificación no autorizados. La información se protege en función de su sensibilidad y riesgo de pérdida. Aunque no todas las medidas son aplicables a todos los tipos de información, el programa de seguridad incluye las siguientes políticas y prácticas básicas:

Este documento de Política de Seguridad de la Información proporciona a las partes interesadas externas una visión general de las políticas, prácticas y procedimientos del Sistema de Gestión de la Seguridad de la Información (SGSI) de Sycomp. La seguridad es clave para el éxito de cualquier organización y Sycomp colabora continuamente con sus socios y clientes para optimizar y mejorar la integridad de sus operaciones.

Medidas técnicas y organizativas mínimas
El programa de seguridad del SGSI de Sycomp incluye políticas comercialmente razonables y técnicamente apropiadas para proteger la información de la empresa y de terceros contra el acceso, la adquisición, el uso o uso indebido, la divulgación, la destrucción y la modificación no autorizados. La información se protege en función de su sensibilidad y riesgo de pérdida. Aunque no todas las medidas son aplicables a todos los tipos de información, el programa de seguridad incluye las siguientes políticas y prácticas básicas:

Uso aceptable
Las políticas de Uso Aceptable establecen los requisitos mínimos aceptables para el uso de datos, activos y recursos dentro del ámbito de registro del SGSI por parte de todo el personal autorizado para dicho uso, incluyendo:

- Formación anual de los empleados sobre concienciación en materia de seguridad y revisión de la política del SGSI
- Controles de supervisión del sistema
- Gestión y protección adecuadas de los recursos dentro y fuera de las instalaciones

Control de acceso
Las políticas de control de acceso incluyen medidas adecuadas para impedir el acceso no autorizado a los sistemas en los que se procesa o almacena "información", entre ellas:

- Proceso formal de control de acceso para la aprobación, creación y cancelación de cuentas de usuario.
- Gestión de contraseñas y autenticación multifactor
- Zonas seguras establecidas con controles físicos y vigilancia continua
- Protección y restricción de acceso y autorizaciones de acceso para empleados y terceros autorizados
- Revisión anual de las cuentas de usuario y de acceso privilegiado

Dispositivos para usuarios finales
Las políticas de seguridad de ordenadores de sobremesa y dispositivos móviles establecen un marco para la gestión de los dispositivos informáticos de los usuarios finales. Las directivas se aplican a todas las estaciones de trabajo y a dispositivos móviles como portátiles, tabletas y smartphones, entre otros:

- Proceso formal de aprobación y registro de hardware y software
- Normas de configuración coherentes y documentadas
- Implantación de mecanismos de protección contra software malintencionado y filtrado de correo electrónico en tiempo real
- Uso de tecnologías de cifrado estándar del sector, incluidos los datos en reposo y en tránsito.
- Bloqueo temporal automático de los dispositivos de usuario si se dejan inactivos, con identificación y contraseña necesarias para volver a abrirlos.
- Bloqueo temporal automático del ID de usuario cuando se introducen varias contraseñas erróneas, archivo de registro de eventos y supervisión de intentos de intrusión.

Recursos Humanos
Las políticas de Recursos Humanos garantizan que los empleados y terceros subcontratados comprendan sus responsabilidades y sean aptos para las funciones para las que se les considere, lo que incluye:

- Los procesos de incorporación incluyen acuerdos de empleo, subcontratación y confidencialidad, investigación de antecedentes y comprobaciones de antecedentes penales, si procede.
- Proceso disciplinario por violación o infracción de la seguridad de la información
- El proceso de baja incluye el cese de los privilegios de acceso y la devolución de los activos.

Seguridad de redes y sistemas
Las políticas de red y seguridad garantizan el funcionamiento seguro y la protección de redes y sistemas mediante su aplicación:

- Proceso formal de aprobación y registro de hardware y software
- Autorización basada en funciones, acceso seguro mediante autenticación multifactor
- Bloqueo de puertos y protección por contraseña
- Restricciones y controles de acceso remoto
- Supervisión y registro para la detección de amenazas y anomalías
- Segregación de funciones para la gestión del cambio
- Cumplimiento de normas de cifrado aceptables

Gestión de riesgos, incidentes y vulnerabilidades
Las políticas de Gestión de Riesgos, Incidentes y Vulnerabilidades establecen el flujo de trabajo, las tareas, las responsabilidades y las funciones para informar, responder y gestionar los riesgos de seguridad de la información, los incidentes y las vulnerabilidades conocidas o descubiertas:

- Evaluación anual de riesgos para identificar las amenazas a los activos del SGSI, las vulnerabilidades que podrían ser explotadas por esas amenazas, la asignación de un responsable de riesgos, y establecer opciones de tratamiento de riesgos, si es necesario.

- Exploración anual de vulnerabilidades y resolución oportuna de vulnerabilidades críticas y elevadas
- Proceso formal de notificación, registro y resolución de incidentes de seguridad, que incluya las lecciones aprendidas.
- Proceso de comunicación con partes externas, según sea necesario

Continuidad y disponibilidad
Sycomp ha implantado y mantendrá medidas razonables y apropiadas para garantizar que los sistemas y datos críticos estén protegidos frente a la destrucción o pérdida accidental, incluyendo:

- Redundancia de infraestructuras
- Mantenimiento de los procedimientos de continuidad y recuperación de la actividad, incluidos los procesos de replicación de datos y copia de seguridad en cinta.
- Eliminación de registros que contengan información personal de acuerdo con las políticas de privacidad y cuando ya no exista base legal para su tratamiento.

Política de privacidad
La Política de privacidad de Sycomp describe nuestras prácticas en relación con la información de usuario que recopilamos, utilizamos y compartimos. Esta Política de Privacidad se aplica a la información que recopilamos cuando usted interactúa con nosotros, incluso a través de nuestros sitios web, comunicaciones por correo electrónico, productos u otras funciones o servicios (los "Servicios"), a menos que se acuerde específicamente lo contrario en un contrato u otro escrito entre usted y nosotros o la empresa para la que trabaja y en cuyo nombre interactúa con nosotros. Para más información, visite https://sycomp.com/privacy-policy/

C. Subtransformadores autorizados

SYCOMP A TECHNOLOGY COMPANY INC

LISTA DE SUBPROCESADORES

A. Contactos de empleados de terceros Subprocesadores
Nombre del subprocesador	Contacto y dirección	Descripción del tratamiento
Fuerza de Ventas punto Com, Inc.	Torre Salesforce
415 Mission Street, 3rd Floor San Francisco, CA 94105 EE.UU.	Registros de cuentas de socios comerciales
ABSYZ, Inc.	6th Floor, Shanta Sriram Techpark, DLF Cyber City, Gachibowli, Telangana 500032, India	Administración de SFDC
Corporación Microsoft	700 Bellevue Way NE - Piso 22
Bellevue, WA, 98004 EE.UU.	MS 365: correo electrónico, SharePoint y otras aplicaciones empresariales

B. Subprocesadores del proveedor Managed Services (MSP)
País	Servicios de mensajería	Guante blanco
ANZ	DHL
	Auspost
Japón	Sagawa	EDCOM
Taiwán	ZerOne
Singapur	TCK (Envíos locales)
	Adcom (Internacional)
	DHL (cajas pequeñas)
	Mamgistics PTE Ltd (raramente)
Tailandia	DHL
India	Bluedart	NA
	IJetz
	JS Cargo (Envíos locales dentro de Bangalore)
	DTDC
EMEA	DHL (Toda la UE y Reino Unido)	ACS Francia
	DPD (REINO UNIDO)	CCS Alemania
	UPS (Bélgica)	Rhenus
	Tiger AG (CH)	ASL Carga
	Emerald Freight Express (CZ)	Carga rápida
	Bollore Logistics (CZ)	Carga Esmeralda
	Optys (CZ)	De puerta a puerta
	BDA Logistics (Países Bajos)	Michael Lynch Logística
	Emerald Freight (IR)
Israel	Conductores de ONE (S1)	NA
	Taxi (entrega en mano)
	UPS
	Graffiti virtual
EE.UU.	FedEx
	Adcom (rara vez)
EAU	DXB
Canadá	FedEx
	Purolator
	UPS
Sudáfrica	The Courier Guy Worldwide Express.

ANEXO 2: CLÁUSULAS CONTRACTUALES TIPO DE LA UE

Las Cláusulas Contractuales Tipo del EEE se completan del siguiente modo:
1. En caso de que la Empresa sea un Controlador, se aplicará el Módulo 2 (Controlador a Procesador).
2. En caso de que la Empresa sea un Procesador, se aplicará el Módulo 3 (Procesador a Procesador).
3. En la cláusula 7, se aplicará el acoplamiento opcional.
4. En la cláusula 9, se aplicará la opción 2, y el plazo de notificación previa a los subencargados del tratamiento será de 30 días.
5. En la cláusula 11(a), no se aplicará la cláusula opcional
6. En la Cláusula 13, la Opción 1 se aplicará si la Empresa tiene un establecimiento en la Unión Europea; la Opción 2 se aplicará si la Empresa no está establecida en la Unión Europea y tiene un representante designado; y la Opción 3 se aplicará si la Empresa no tiene ni un establecimiento ni un representante en la Unión Europea.
7. En la cláusula 17 (opción 2), se aplicará la legislación de la República de Irlanda.
8. En la cláusula 18(b), los litigios se resolverán en los tribunales de la República de Irlanda.
El Anexo I, Parte A, de las Cláusulas Contractuales Tipo del EEE se completa del siguiente modo:
1. Exportador de datos: Empresa
2. Datos de contacto: Dirección de la empresa, persona de contacto de la empresa y dirección de correo electrónico que figuran en cada componente del Acuerdo o Acuerdos.
3. Rol de exportador de datos: Controlador
4. Firma y fecha: Firma registrada en la fecha del Acuerdo o Acuerdos pertinentes
5. Actividades relacionadas con los datos transferidos en virtud de las Cláusulas Contractuales Tipo: Prestar los Servicios descritos en el Contrato.
6. Importador de datos: Sycomp, Inc.
7. Datos de contacto: 950 Tower Lane, Suite 1785, Foster City, CA 94404, [email protected]
8. Importador de datos Función: Procesador
9. Firma y fecha: Firma registrada en la fecha del/de los Acuerdo(s) correspondiente(s)
10. Actividades relacionadas con los datos transferidos en virtud de las Cláusulas Contractuales Tipo: Prestar los Servicios descritos en el Contrato.
El Anexo I, Parte B, de las Cláusulas Contractuales Tipo del EEE se completa del siguiente modo:
1. Categorías de interesados cuyos datos personales se transfieren: Según lo establecido en el Anexo 1.
2. Categorías de datos personales transferidos: Según lo establecido en el Anexo 1.
3. Datos sensibles transferidos: Según lo establecido en el Anexo 1. Las salvaguardias se enumeran con arreglo al Anexo II.
4. La frecuencia de transferencia: Los datos se transfieren de forma continua.
5. Naturaleza del tratamiento: La naturaleza del tratamiento es la establecida en el Anexo 1.
6. Finalidad(es) de la transferencia y el tratamiento posterior de los datos: La finalidad de la transferencia y el tratamiento de los datos es la establecida en el Anexo 1.
7. El periodo durante el cual se conservarán los datos personales o, si ello no fuera posible, los criterios utilizados para determinar dicho periodo: La duración del tratamiento es la establecida en el Anexo 1.
8. Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento: El objeto, la naturaleza y la duración del Tratamiento realizado por los Subencargados del Tratamiento serán los mismos que los establecidos en el presente Anexo 1.B con respecto a Sycomp.
Las Cláusulas Contractuales Tipo del EEE, Anexo I, Parte C se completan como sigue: La autoridad de control competente es la República de Irlanda.
Las Cláusulas Contractuales Tipo del EEE, Anexo II. Las Medidas Técnicas y Organizativas se describen en el Anexo 1, Sección B.

ANEXO 3: ADENDA SOBRE TRANSFERENCIA INTERNACIONAL DE DATOS AL REINO UNIDO

La adenda del Reino Unido se completa del siguiente modo:
1. Parte 1
  1. Cuadro 1: La Fecha de Inicio es la fecha de entrada en vigor del Acuerdo. Las Partes, tal y como se detallan en la Sección 2 del Anexo 2
  2. Cuadro 2: SCC, módulos y cláusulas seleccionados: según se detalla en la sección 1 del anexo 2
  3. Cuadro 3: Información del Apéndice: se refiere a la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las CEC (distintas de las Partes), y que se establece en las Secciones 2, 3 y 5 del Anexo 2.
  4. Cuadro 4: El Importador puede poner fin al Addendum RU según lo establecido en la Sección 19 del Addendum RU.
2. Parte 2
  1. Parte 2: Cláusulas Obligatorias de la Adenda Aprobada, siendo la plantilla de la Adenda B.1.0 emitida por la OIC y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 28 de enero de 2022, ya que se revisa en virtud de la Sección 18 de dichas Cláusulas Obligatorias.

ANEXO 4: ACUERDO INTERNACIONAL DE TRANSFERENCIA DE DATOS DEL REINO UNIDO

La adenda del Reino Unido se completa del siguiente modo:
1. Cuadro 1
  1. Fecha de inicio: Fecha de entrada en vigor del Acuerdo.
  2. Detalles de las Partes: <>
  3. Cuadro 2: SCC, módulos y cláusulas seleccionados: según se detalla en la sección 1 de este apéndice 2
2. Cuadro 2
  1. Legislación aplicable: Inglaterra y Gales
  2. Lugar principal para reclamaciones legales: Inglaterra y Gales
  3. Condición de exportador: Controlador
  4. Estatuto del importador: Transformador o Subtransformador del exportador
  5. Si se aplica el GDPR del Reino Unido: Se aplica el GDPR del Reino Unido
  6. Acuerdo Vinculado: El Addendum contiene las instrucciones del Exportador al Importador
  7. Vigencia: El periodo de vigencia del Acuerdo Vinculado (la Adenda).
  8. Finalización del IDTA antes del final del Periodo de Vigencia: El Importador podrá poner fin a la Adenda del Reino Unido según lo establecido en la Sección 29 de la IDTA del Reino Unido
  9. Las Partes podrán poner fin al IDTA antes de que finalice el Periodo de Vigencia: Exportador e Importador
  10. ¿Puede el importador realizar otras transferencias? El Importador PUEDE transferir sobre los Datos Transferidos a otra organización o persona (que sea una entidad legal diferente) de acuerdo con la Sección 16.1 (Transferencia sobre los Datos Transferidos).
  11. Requisitos específicos para la transferencia ulterior: a los receptores autorizados (o a las categorías de receptores autorizados) establecidos en: Sección 2.1 del Addendum
  12. Fechas de revisión: Las partes revisarán los requisitos de seguridad con una frecuencia no superior a la anual a petición del Exportador
3. Cuadro 3
  1. Datos transferidos: Las categorías de Datos Transferidos se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) al que se hace referencia.
  2. Datos de categorías especiales: Ninguna de las anteriores. Las categorías de datos de categoría especial y de antecedentes penales se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) mencionado.
  3. Sujetos de datos pertinentes: Las categorías de Sujetos de Datos se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) al que se hace referencia.
  4. Finalidad: El Importador podrá Tratar los Datos Transferidos para los fines establecidos en: la Adenda, el Acuerdo, o una Declaración de Trabajo sujeta al Acuerdo y a la Adenda. Los fines se actualizarán automáticamente si la información se actualiza en el Acuerdo vinculado (el Addendum) al que se hace referencia.
4. Cuadro 4
  1. Requisitos de seguridad: Los requisitos de seguridad se describen en el Anexo 1, Sección B.
  2. Actualizaciones de los Requisitos de Seguridad: Los Requisitos de Seguridad se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) al que se hace referencia.
5. Parte 2
  1. Cláusulas adicionales de protección: No hay cláusulas de protección extra
6. Parte 3
  1. Cláusulas comerciales: No existen cláusulas comerciales más allá de los términos del Acuerdo y del Addendum.

ANEXO 5: FINES COMERCIALES

Sycomp puede procesar los Datos Personales de la Empresa en nombre de la Empresa para los siguientes fines comerciales (marque todos los que correspondan):

Proporcionar soluciones en nombre de la Empresa, incluido el mantenimiento o la administración de cuentas, la prestación de servicios de atención al cliente, la tramitación o el cumplimiento de pedidos y transacciones, la verificación de la información del cliente, la tramitación de pagos, la financiación, la prestación de servicios analíticos, la prestación de servicios de almacenamiento o la prestación de servicios similares en nombre de la Empresa.

Ayudar a garantizar la seguridad e integridad en la medida en que el uso de los Datos Personales de la Empresa sea razonablemente necesario y proporcionado para tal fin.

Depuración para identificar y reparar errores que afecten a la funcionalidad prevista de las soluciones.

Emprender investigaciones internas para el desarrollo tecnológico y la demostración.