Apéndice sobre tratamiento internacional de datos

La presente Adenda relativa al tratamiento de datos, incluidos todos los anexos ("Anexo") con fecha 1 de enero de 2023 ("Fecha de entrada en vigor del apéndice") forma parte del contrato de bienes y servicios existente o contemporáneo ("Acuerdo") entre: Sycomp A Technology Company, Inc. ("Sycomp") y la empresa cliente ("Empresa") actuando en su propio nombre y/o como agente de sus Filiales corporativas al aceptar este Addendum.

La Empresa y Sycomp han suscrito un Acuerdo en virtud del cual Sycomp proporciona a la Empresa determinadas licencias de software y SaaS, servicios profesionales y hardware (denominados en el presente Anexo el "Soluciones"), ofrecidos por terceros fabricantes de equipos originales, licenciantes de software y SaaS y proveedores de servicios (los "Socios de reventa"). Sycomp recopila y procesa un mínimo de Datos Personales de la Empresa (definidos a continuación) según lo definido por las Leyes Aplicables (definidas a continuación) al proporcionar las Soluciones. Cuando sólo los Socios de Reventa tienen acceso a la información relacionada con los Datos Personales de la Empresa, incluyendo, sin limitación, información sobre los clientes, empleados, funcionarios, contratistas y agentes de la Empresa, incluyendo, sin limitación, información personal/datos personales según lo definido por las Leyes Aplicables y Sycomp no tiene acceso y no está involucrado en el procesamiento de los Datos Personales de la Empresa, la Empresa reconoce que su relación con los Socios de Reventa rige el procesamiento de los Datos Personales de la Empresa bajo las Leyes Aplicables y este Anexo no se aplica.

Los términos utilizados en el presente Addendum tendrán el significado que se establece en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente documento tendrán el significado que se les atribuye en el Acuerdo. Salvo en los casos en que se modifiquen a continuación, los términos del Acuerdo seguirán en pleno vigor y efecto.

Las partes acuerdan por la presente que los términos y condiciones que figuran a continuación se añadirán como Apéndice al Acuerdo.

1. Términos generales

1.1 Definiciones.

1.1.1 "Afiliado"se refiere a una entidad que posee o controla, es propiedad o está controlada por o está bajo control o propiedad común con la Empresa o Sycomp respectivamente, donde control se define como la posesión, directa o indirecta, del poder de dirigir o causar la dirección de la gestión y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otro modo.

1.1.2 "Legislación aplicable" se refiere a cualquier ley de privacidad o seguridad que se aplique a los Datos Personales de la Empresa. Esto incluye (sin limitación) el Reglamento General de Protección de Datos (UE 2016/679) ("GDPR"), la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE), la Ley de Protección de Datos del Reino Unido (DPA) y el GDPR del Reino Unido, la Ley Federal de Protección de Datos de Suiza, la Ley de Privacidad del Consumidor de California de 2018, (California Civil Code §§ 1798.100 et seq.,) y la Ley de Derechos de Privacidad de California de 2020, la Ley de Protección de Datos de los Consumidores de Virginia (Va. Code Ann. tit. 59.1, Ch. 53 et seq.), la Ley de Privacidad de Colorado (Colo. Rev. Stat. Ann. §§ 6-1-1302 et seq.), la Ley de Privacidad de los Consumidores de Utah (Utah Code Ann. §§ 13-61-101 et seq.), cualquier otra legislación estatal de privacidad de los Estados Unidos de ámbito similar a las leyes antes mencionadas, y cualquier normativa de aplicación adoptada en virtud de las mismas (todas las cuales pueden ser modificadas de vez en cuando.

1.1.3 "Datos personales de la empresa". se refiere a la información procesada por Sycomp, o recopilada por Sycomp, en nombre de la empresa, que identifica, se refiere a, describe, puede asociarse o podría vincularse razonablemente, de forma directa o indirecta, con una persona u hogar identificados o identificables.

1.1.4 "Sujeto de los datos" cualquier persona física o jurídica identificable incluida, o previamente incluida, en los Datos Personales de la Empresa.

1.1.5 "Violación de datos personales" se entenderá la destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilícito a Datos Personales de la Empresa transmitidos, almacenados o tratados de otra forma. En caso de que cualquier otra definición de "violación", "violación de datos" o "violación de datos personales" que aparezca en cualquier Ley Aplicable tenga un alcance más amplio que la definición aquí proporcionada, prevalecerá la definición de dicha Ley.

1.1.6 "Proceso" cualquier operación o conjunto de operaciones que se realicen con los Datos Personales de la Empresa.

1.1.7 "Procesando Registros" significa registros escritos completos, precisos y actualizados de todas las actividades de Tratamiento realizadas en nombre de la Empresa.

1.1.8 "Procesador" se refiere a cualquier entidad que realice el Procesamiento de los Datos Personales de la Empresa. A los efectos del presente Acuerdo y Addendum, Sycomp y cualquier subcontratista autorizado son Procesadores.

1.1.9 "Regulador" se refiere a cualquier organismo gubernamental responsable de hacer cumplir la Legislación Aplicable.

1.1.10 "Vender"/"Venta" tiene el significado que pueda establecerse en la Legislación Aplicable (por ejemplo, la Ley de Privacidad del Consumidor de California de 2018). A modo de ejemplo, y no a modo de limitación, "Vender" puede significar vender, alquilar, ceder, revelar, difundir, poner a disposición o transferir la información personal de un consumidor por parte de la empresa a otra empresa o a un tercero a cambio de una contraprestación monetaria u otra contraprestación de valor.

1.1.11 "Compartir" tiene el significado que pueda establecerse en la legislación aplicable (por ejemplo, la Ley de Derechos de Privacidad de California de 2020). A modo de ejemplo, y no a modo de limitación, "Compartir" puede significar cualquier divulgación de Datos Personales de la Empresa (alquilar, ceder, revelar, difundir, poner a disposición, transferir o comunicar de cualquier otro modo oralmente, por escrito o por medios electrónicos o de otro tipo) a un tercero para publicidad conductual contextual cruzada.

1.1.12 "Subprocesador" significa cualquier Procesador (incluido cualquier tercero y cualquier Afiliado de Sycomp) designado por Sycomp para Procesar los Datos Personales de la Empresa. Esto incluye (sin limitación) entidades que se definen como Proveedores de Servicios sujetos a la Ley de Privacidad del Consumidor de California de 2018.

1.2 Autorización para el tratamiento de datos.

1.2.1 Las partes no tienen la intención de que Sycomp procese los Datos Personales de la Compañía en el curso ordinario de la ejecución del Acuerdo. No obstante, en caso de que Sycomp procese los datos personales de la empresa, lo hará de conformidad con los términos del presente apéndice.

1.2.2 Sycomp no tratará los datos personales de la empresa para fines distintos de los especificados en el Acuerdo, el presente apéndice o las instrucciones documentadas de la empresa. Sycomp informará inmediatamente a la Empresa si, en su opinión, cualquier instrucción de procesamiento viola cualquier Ley Aplicable. Sycomp no accederá, retendrá, utilizará o divulgará los Datos Personales de la Compañía para fines comerciales distintos de los necesarios para proporcionar las Soluciones y prestar los servicios previstos en el Acuerdo.

1.2.3 Anexo 1 del presente apéndice establece determinada información relativa al tratamiento de los datos personales de la empresa por parte de Sycomp. La Compañía puede hacer enmiendas razonables a Anexo 1 mediante notificación por escrito a Sycomp cada cierto tiempo.

1.3 Cumplimiento de la legislación aplicable. Sycomp y la Compañía declaran y garantizan que cumplirán con las Leyes Aplicables, incluyendo todos los reglamentos que hayan sido o sean promulgados en el futuro en relación con las mismas, y otras leyes y reglamentos similares. La Empresa declara que tiene todos los derechos necesarios para proporcionar los Datos Personales de la Empresa a Sycomp en relación con el suministro de las Soluciones.

1.4 Confidencialidad y seguridad.

1.4.1 Sycomp implementará y mantendrá las medidas técnicas y organizativas apropiadas en relación con el procesamiento de los Datos Personales de la Compañía por parte de Sycomp en cumplimiento con las Leyes Aplicables. Específicamente, Sycomp mantendrá durante la vigencia del Acuerdo el cumplimiento de la norma ISO/IEC 27001:2013 y proporcionará un certificado que evidencie lo anterior a solicitud de la Compañía. Sycomp se asegurará de que sus agentes y representantes que procesen los Datos Personales de la Compañía en nombre de la Compañía hayan firmado acuerdos que les exijan mantener la confidencialidad de los Datos Personales de la Compañía, y Sycomp tomará todas las medidas razonables para garantizar que los representantes de Sycomp que procesen los Datos Personales de la Compañía reciban la formación adecuada sobre el cumplimiento de este Addendum y las leyes pertinentes.

1.5 Derechos del interesado.

1.5.1 Sycomp ayudará a la Compañía a responder a las quejas, comunicaciones o solicitudes de un Sujeto de Datos para ejercer un derecho bajo las Leyes Aplicables relacionadas con los Datos Personales de la Compañía mantenidos por Sycomp o sus Subprocesadores. Esto incluirá, como mínimo, que Sycomp y sus subprocesadores mantengan la capacidad de acceder, modificar, retirar del procesamiento, o eliminar o destruir irrevocablemente, corregir, transportar (es decir, el derecho a la portabilidad de datos), restringir o limitar el uso de Información Personal Sensible (como esta frase puede definirse en las Leyes Aplicables), o no Vender o Compartir (como estos términos pueden definirse en las Leyes Aplicables) los datos de un Sujeto de Datos individual cuando lo solicite la Compañía ("Solicitud del Sujeto de Datos").

1.5.2 En caso de que Sycomp o cualquier subprocesador u otro subcontratista realice directamente cualquier recopilación de datos de los Sujetos de datos en relación con las instrucciones de la Empresa, Sycomp se asegurará de que los Sujetos de datos reciban la Política de privacidad de la Empresa en el momento en que se recopile cualquier información sobre el Sujeto de datos, o antes.

1.5.3 Sycomp notificará de inmediato a la Compañía si recibe una Solicitud del Sujeto de Datos. Si las Leyes Aplicables lo requieren, Sycomp informará al Sujeto de Datos que Sycomp es un Proveedor de Servicios o Procesador (basado en las Leyes Aplicables) y que el Sujeto de Datos debe contactar a la Compañía o al Socio de Reventa apropiado. De lo contrario, Sycomp esperará las instrucciones de la Compañía con respecto a si, y cómo, responder a dicha solicitud. La Compañía proporcionará a Sycomp información de contacto actualizada para que Sycomp pueda dirigir las solicitudes del Sujeto de Datos.

1.6 Vulneración de datos personales.

1.6.1 En caso de cualquier acceso o adquisición real o sospechada de datos personales de la empresa por un tercero no autorizado, Sycomp notificará inmediatamente a la empresa de la posible violación de datos personales sin demora indebida (pero en ningún caso más tarde de 48 horas hábiles después de tener conocimiento de la posible violación de datos personales) y proporcionará a la empresa, por escrito o por correo electrónico, sin demora indebida (siempre que sea posible, dentro de los 10 días hábiles de tener conocimiento de la posible violación de datos personales) los detalles que la empresa razonablemente requiera, reconociendo que esto puede ser complementado a medida que se descubran detalles adicionales con el tiempo. Además, Sycomp investigará y reparará la posible infracción de datos personales y, en la medida en que una infracción de datos personales dé lugar a una obligación legal para la empresa o Sycomp de notificar a las autoridades pertinentes o a los interesados afectados o ponga en riesgo a los interesados afectados, Sycomp proporcionará a la empresa garantías satisfactorias para la empresa de que no se volverá a producir una infracción de datos personales. Sycomp garantiza que si se ha producido una violación de los datos personales de la empresa, se documentarán todas las medidas de respuesta y se realizará una revisión posterior al incidente tanto de los acontecimientos como de las medidas correctivas adoptadas, en su caso, para evitar que se repita. Sycomp se compromete a cooperar plenamente con la empresa en la gestión del asunto por parte de ésta, incluyendo, sin limitación, cualquier investigación, notificación u otras obligaciones exigidas por la legislación o normativa aplicable, incluida la respuesta a consultas o investigaciones reglamentarias, o según lo exija la empresa, y colaborará con la empresa para responder y mitigar los daños causados por la violación de los datos personales. Sycomp no notificará a terceros la violación de datos personales sin la autorización previa y por escrito de la empresa.

1.6.2 Sycomp deberá, y exigirá a cualquier Subprocesador, cooperar con la Empresa y cada Filial de la Empresa y tomar las medidas comerciales razonables para ayudar en la investigación, mitigación y reparación de cualquier Violación de Datos Personales.

1.7 Supresión o devolución de datos personales de la empresa. Sycomp, sin demora, borrará de forma segura o devolverá a la Compañía los Datos Personales de la Compañía en forma impresa o electrónica a solicitud escrita de la Compañía. Tan pronto como sea razonablemente posible tras la finalización de los servicios previstos en el Acuerdo, Sycomp eliminará de forma segura todas las copias existentes de los datos personales de la empresa, en formato electrónico e impreso, a menos que el almacenamiento de cualquier dato sea requerido por las leyes aplicables u otras leyes pertinentes. En caso de que los datos personales de la empresa se almacenen en soportes de copia de seguridad, la eliminación de los datos personales de la empresa sólo será necesaria cuando los soportes de copia de seguridad se utilicen para restaurar los sistemas de Sycomp.

1.8 Evaluación de impacto sobre la privacidad de los datos y consulta previa. Sycomp proporcionará asistencia razonable a la Empresa con cualquier evaluación de impacto de protección de datos que se requiera bajo la Ley Aplicable en relación con el Procesamiento de Datos Personales de la Empresa por parte de Sycomp.

1.9 Indemnización. Sycomp acuerda que reembolsará e indemnizará a la Compañía por todos los costos incurridos para responder y/o mitigar los daños causados por el incumplimiento de este Addendum, incluyendo las violaciones de seguridad que involucren los Datos Personales de la Compañía mantenidos por Sycomp o sus Subprocesadores o cualquier incumplimiento material por parte de Sycomp de sus obligaciones de protección de datos y privacidad bajo este Addendum.

1.10 Rendimiento a cargo exclusivo de Sycomp. El cumplimiento por parte de Sycomp del presente apéndice, así como cualquier acción que se exija a Sycomp para cumplir con la legislación aplicable en relación con el contrato, correrá a cargo único y exclusivo de Sycomp y no dará lugar a honorarios adicionales para las soluciones (salvo que ya se haya establecido en el contrato). Cualquier acción que deba emprender la empresa para cumplir la legislación aplicable en relación con el contrato correrá a cargo exclusivo de la empresa (salvo que ya se haya establecido en el contrato).

1.11 Modificaciones de este apéndice. Sycomp podrá actualizar periódicamente los términos del presente apéndice; no obstante, Sycomp no debilitará sustancialmente las protecciones del presente apéndice a menos que lo notifique por escrito a la empresa con al menos 30 días de antelación y le ofrezca la oportunidad de cancelar el contrato en un plazo de 7 días a partir de la recepción de dicha notificación si la empresa no está de acuerdo con los cambios sustanciales.

1.12 Cambios en la legislación aplicable. En caso de que alguna de las Leyes Aplicables cambie sustancialmente en algún aspecto de forma que ponga en peligro la adecuación del presente Addendum a cualquier Ley Aplicable nueva o modificada ("Nuevas leyes"), la Sociedad podrá proponer modificaciones al presente Anexo que la Sociedad considere razonablemente necesarias para cumplir los requisitos de cualquier Nueva Ley ("Enmiendas propuestas"). Tanto Sycomp como la Compañía negociarán de buena fe cualquier Propuesta de Enmienda, con el consentimiento por escrito de Sycomp que no será denegado injustificadamente.

1.13 Condiciones generales. Cualquier obligación impuesta a Sycomp en virtud del presente apéndice en relación con el tratamiento de datos personales sobrevivirá a la terminación o expiración del presente apéndice mientras se sigan tratando datos personales. Si alguna de las disposiciones del presente apéndice fuera inválida o inaplicable, el resto del apéndice seguirá siendo válido y vigente. La disposición inválida o inaplicable será: (a) modificada según sea necesario para garantizar su validez y aplicabilidad, preservando al mismo tiempo la intención de la disposición en la medida de lo posible o, si esto no es posible, (b) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en la misma. La Compañía y Sycomp reconocen y acuerdan expresamente que este Addendum incluye disposiciones tratadas en otras partes del Acuerdo. Por la presente, la Empresa y Sycomp acuerdan que los términos y condiciones establecidos en el presente documento se añadirán como Apéndice al Acuerdo. El presente Addendum y las demás partes del Acuerdo se leerán conjuntamente y se interpretarán, en la medida de lo posible, de forma concertada. En caso de conflicto entre el Acuerdo y el presente apéndice, prevalecerán las disposiciones que proporcionen la mayor protección de los datos personales de la empresa; no obstante, en ningún caso se considerará que el presente apéndice elimina, limita o disminuye las obligaciones o compromisos de Sycomp con la empresa en virtud de las partes del Acuerdo.

2. Términos internacionales. En caso de que la Empresa notifique a Sycomp que la información personal de los residentes del Espacio Económico Europeo, Suiza, Reino Unido, Brasil u otra jurisdicción aplicable fuera de los Estados Unidos puede ser tratada en virtud del Contrato, las disposiciones de esta Sección 2 se aplicarán a todas las partes y al tratamiento de los datos personales de la Empresa en relación con la prestación de las Soluciones.

2.1 Subprocesamiento.

2.1.1 La empresa autoriza a Sycomp a contratar subprocesadores de la lista presentada en el Anexo 1, Sección C. a continuación. Sycomp informará por escrito a la empresa de cualquier adición de un subprocesador a esta lista. Una vez recibida esta notificación, la empresa dispondrá de 30 días para oponerse, por motivos razonables, a la adición de un subprocesador, cuando así lo exija la legislación aplicable. En caso de que Sycomp decida contratar a un subprocesador a pesar de la objeción razonable de la empresa, ésta tendrá derecho a rescindir el contrato de conformidad con la cláusula de rescisión del mismo.

2.1.2 Con respecto a cada Subprocesador, Sycomp deberá:

2.1.2.1 llevar a cabo la diligencia debida con respecto a cada Subencargado del Tratamiento para garantizar que es capaz de proporcionar el nivel de protección de los Datos Personales de la Empresa exigido por el presente Anexo y aportar pruebas de dicha diligencia debida si así lo solicita un Regulador;

2.1.2.2 celebrar un contrato vinculante por escrito e incluir términos en el contrato entre Sycomp y cada Subprocesador que sean materialmente similares a los términos establecidos en este Anexo;

2.1.2.3 asegurarse de que los Subprocesadores aprobados han aceptado utilizar la información únicamente para los fines comerciales de la Empresa y de conformidad con todas las Leyes, normas y reglamentos aplicables, así como con las instrucciones de la Empresa; y

2.1.2.4 seguirá siendo plenamente responsable ante la Empresa de las acciones de los Subprocesadores en relación con los Datos Personales de la Empresa.

2.2 Transferencias internacionales de datos.

2.2.1 Sycomp debe contar con el consentimiento previo por escrito o las instrucciones de la empresa para transferir cualquier dato personal de la empresa a nivel internacional o, en el caso de los datos personales de la empresa recibidos de la empresa dentro del Espacio Económico Europeo ("EEE"), Suiza o el Reino Unido ("RU"), para transferir dichos datos fuera del EEE o a cualquier organización internacional (una "transferencia internacional"). Si la Empresa consiente dicha transferencia internacional, Sycomp se asegurará de que dicha transferencia (y cualquier transferencia posterior) (i) se realice en virtud de un contrato escrito que incluya disposiciones adecuadas relativas a la seguridad y confidencialidad de los datos personales de la empresa; (ii) se realice en virtud de un mecanismo legalmente aplicable para dichas transferencias transfronterizas de datos personales de la empresa en virtud de las leyes pertinentes (cuya forma y contenido estarán sujetos a la aprobación por escrito de la empresa); (iii) se realice de conformidad con el presente apéndice; y (iv) cumpla con las leyes de privacidad pertinentes. A menos que las partes puedan acogerse a un mecanismo de transferencia alternativo basado en un mecanismo de adecuación aprobado por el EEE, Suiza y el Reino Unido ("Mecanismo de Adecuación", por ejemplo, un mecanismo de transferencia basado en la Orden Ejecutiva 14086 que debe facilitar el Marco de Privacidad de Datos UE-EE.UU. entre los Estados Unidos y la Unión Europea), las partes ejecutarán y adjuntarán al presente Addendum, según sea necesario, Cláusulas Contractuales Tipo ("CEC") aprobadas u otras disposiciones contractuales legalmente aceptables para facilitar las transferencias de Datos Personales de la Empresa.

2.2.2 Territorio.

2.2.2.1 Espacio Económico Europeo. Con respecto a la facilitación de las transferencias internacionales de Datos Personales de la Empresa de residentes en el EEE, se considerará que las partes han ejecutado los CCE del EEE que se incorporan a este Addendum en el Anexo 2.

2.2.2.2 Ambos Espacio Económico Europeo y Reino Unido. Con respecto a la facilitación de las transferencias internacionales de Datos Personales de la Empresa de residentes en el EEE y residentes en el Reino Unido, se considerará que las partes han ejecutado los CCE del EEE y el Anexo de Transferencia Internacional de Datos del Reino Unido, que se incorporan al presente Anexo en el Anexo 2 y el Anexo 3.

2.2.2.3 Sólo Reino Unido. Con respecto a la facilitación de transferencias internacionales de Datos Personales de la Empresa de residentes en el Reino Unido ("RU") y no de Datos Personales de la Empresa de residentes en el EEE, se considerará que las partes han suscrito el Acuerdo de Transferencia Internacional de Datos del RU, que se incorpora al presente Anexo en el Anexo 4.

2.2.2.4 Brasil. Con respecto a la facilitación de las transferencias internacionales de Datos Personales de la Empresa de residentes en Brasil, se considerará que las partes han ejecutado y anexado al presente Acuerdo los CCE de Brasil, siempre y cuando estén disponibles.

2.2.2.5 En caso de conflicto, dichos anexos con los CEC, el Acuerdo Internacional de Transferencia de Datos del Reino Unido/Adenda u otras disposiciones específicas tendrán prioridad, cuando proceda, sobre los términos de la presente Adenda.

2.2.2.6 A efectos de cualquier transferencia de datos personales también sujeta a la Ley Federal de Protección de Datos de Suiza de 19 de junio de 1992 ("FADP"): (i) el término "Estado miembro" no debe interpretarse de forma que excluya a los interesados en Suiza de la posibilidad de entablar acciones legales para hacer valer sus derechos en su lugar de residencia habitual de conformidad con la cláusula 18(c) y (ii) las cláusulas también protegen los datos de las personas jurídicas hasta la entrada en vigor de la FADP revisada.

2.2.2.7 En caso de que las partes puedan basarse en un Mecanismo de Adecuación para facilitar una Transferencia Internacional, las partes acuerdan que el mecanismo de transferencia apropiado será dicho Mecanismo de Adecuación y no las Cláusulas Contractuales Tipo o el Acuerdo/Adenda de Transferencia Internacional de Datos del Reino Unido.

2.3 Registros pertinentes y derechos de auditoría.

2.3.1 Sycomp mantendrá Registros de Procesamiento, y pondrá a disposición de la Compañía, a solicitud y de manera oportuna, la información (incluyendo los Registros de Procesamiento) que sea razonablemente requerida por la Compañía para demostrar el cumplimiento de Sycomp con sus obligaciones bajo las Leyes Aplicables y este Anexo, que la Compañía puede revelar a las autoridades reguladoras. Los Registros de Procesamiento contendrán, como mínimo, una descripción de todos los Datos Personales de la Compañía Procesados por Sycomp en nombre de la Compañía, el tipo de Procesamiento, los fines del Procesamiento, un registro del consentimiento (si lo hubiere), y cualquier otra información razonablemente requerida por la Compañía.

2.3.2 Sycomp proporcionará asistencia, información y cooperación adicionales razonables a la Empresa, a expensas de ésta, para cumplir con las obligaciones de la Empresa en virtud de la Legislación Aplicable con respecto a: (i) seguridad de los datos; (ii) notificación de violaciones de datos; (iii) respuesta a solicitudes relacionadas con los datos personales de la empresa y/o las prácticas de privacidad o seguridad de los datos de la empresa por parte de reguladores o particulares; y (iv) realización de evaluaciones de impacto sobre la privacidad de los datos. Sycomp implementará y mantendrá las medidas técnicas y organizativas adecuadas para ayudar a la empresa en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados en relación con los datos personales de la empresa. Esto incluye garantizar que todas las solicitudes relacionadas con los datos personales de la empresa se registren y se remitan a la empresa en un plazo de tres (3) días a partir de la recepción de la solicitud. Por lo demás, Sycomp cooperará con la empresa en sus esfuerzos por supervisar el cumplimiento de Sycomp.

3. Estados Unidos Términos. En caso de que la Empresa notifique a Sycomp que la información personal de los residentes de los Estados Unidos puede ser tratada en virtud del Contrato, las disposiciones de esta Sección 3 se aplicarán a todas las partes y al tratamiento de los datos personales de la Empresa en relación con la prestación de las Soluciones.

3.1 Relación entre las partes. En la medida en que Sycomp procesa Datos Personales de la Empresa sujetos a las Leyes de Protección de Datos, Sycomp es un "Proveedor de Servicios" según la definición de la Ley de Privacidad del Consumidor de California de 2018 y la Ley de Derechos de Privacidad de California de 2020, un "Procesador" según la definición de la Ley de Protección de Datos del Consumidor de Virginia y la Ley de Privacidad de Colorado, y cualquier otro término de significado similar según se entiendan dichos términos de conformidad con las Leyes Aplicables.

3.2 Finalidad del tratamiento de los datos personales de la empresa. Cualquier dato personal de la empresa que Sycomp reciba, acceda, transfiera o recopile en relación con las soluciones se realiza únicamente con el fin de que Sycomp proporcione las soluciones, tal y como se describe con mayor detalle en el Anexo 5 a continuación, y no constituirá una venta de dichos datos ni se realizará a cambio de ninguna contraprestación monetaria o de otro tipo. Además, no se compartirá ningún Dato Personal de la Empresa con fines de publicidad dirigida o contextual cruzada.

3.3 Tratamiento por Sycomp de los datos personales de la empresa. Durante la prestación de las Soluciones a la Empresa y en relación con la Información de usuario de la Empresa que reciba, acceda, transfiera o recopile en relación con las Soluciones, Sycomp:

3.3.1 no realizar ninguna acción que pueda provocar que la Empresa no cumpla con la Legislación Aplicable u otras leyes de privacidad;

3.3.2 no recopilará más Datos Personales de la Empresa de ningún Sujeto de Datos que los estrictamente necesarios para proporcionar las Soluciones a la Empresa;

3.3.3 tratar todos los Datos Personales de la Empresa como "Información Confidencial" en virtud de las disposiciones de confidencialidad del Acuerdo;

3.3.4 no intentar identificar o reidentificar a ningún Sujeto de Datos y no asociar ninguna información personal con ningún Sujeto de Datos o actividad en línea de ningún Sujeto de Datos, salvo en la medida estrictamente necesaria para proporcionar las Soluciones a la Empresa;

3.3.5 no mezclar los Datos Personales de la Empresa con los datos de terceros, salvo en la medida estrictamente necesaria para proporcionar las Soluciones a la Empresa;

3.3.6 en ningún caso Vender, Compartir o conceder licencias a terceros, ni utilizar en beneficio de terceros, ningún Dato Personal de la Empresa; y

3.3.7 notificar inmediatamente a la Empresa si determina que ya no puede cumplir sus obligaciones en virtud de la Legislación Aplicable.

3.4 Subcontratistas. En caso de que Sycomp contrate a subcontratistas que procesarán los datos personales de la empresa, Sycomp incluirá en el contrato entre Sycomp y cada subcontratista términos que sean materialmente similares a los términos establecidos en el presente apéndice.

3.5 Registros pertinentes y derechos de auditoría. Cuando así lo exijan las Leyes Aplicables, y a petición de la Empresa, Sycomp pondrá a disposición de la Empresa los Datos Personales razonablemente necesarios para demostrar el cumplimiento del presente Addendum y/o de las Leyes Aplicables.

3.6 Certificación. Sycomp certifica que comprende y cumplirá las restricciones sobre el uso de los Datos Personales de la Empresa en relación con la prestación de las Soluciones.

El presente apéndice se celebra y se convierte en parte vinculante de cada Acuerdo con la Empresa con efecto a partir de la fecha de entrada en vigor del apéndice indicada anteriormente.

ANEXO 1: TRATAMIENTO DE DATOS

A. Detalles del tratamiento de datos de la empresa

1. Categorías de interesados cuyos datos personales se transfieren

Empleados y subcontratistas de la empresa

2. Categorías de datos personales transferidos

Información de contacto: nombre, dirección profesional o particular, correo electrónico profesional y número de teléfono.

3. Datos sensibles transferidos y restricciones y garantías aplicables

La empresa no transferirá datos personales sensibles.

4. Frecuencia de transferencia

Continua durante la entrega de Soluciones

5. Naturaleza del tratamiento

Los Datos Personales de la Empresa se tratarán de la forma establecida en el Acuerdo y según lo que las partes modifiquen en una Declaración de Trabajo u otro escrito. En particular, los Datos Personales de la Empresa se utilizarán y divulgarán para los siguientes fines:

Contacto y comunicaciones relativas a la venta y entrega de soluciones a la empresa, incluida la entrega de hardware y software a empleados remotos.

6. Finalidad(es) de la transferencia y tratamiento posterior

Los Datos Personales de la Empresa se tratarán para los fines establecidos en el Acuerdo y según puedan modificarlos las partes en una Declaración de Trabajo u otro escrito.

Venta y entrega de soluciones a la empresa, incluida la entrega de hardware y software a empleados remotos

7. Período de conservación de los datos personales

Durante la venta, entrega y soporte de Soluciones y según lo permitido legalmente para corroborar el historial de las mismas

B. Medidas técnicas y organizativas

El programa de seguridad SGSI de Sycomp incluye políticas comercialmente razonables y técnicamente apropiadas para proteger la información de la empresa y de terceros del acceso, adquisición, uso o mal uso, divulgación, destrucción y modificación no autorizados. La información se protege en función de su sensibilidad y riesgo de pérdida. Aunque no todas las medidas son aplicables a todos los tipos de información, el programa de seguridad incluye las siguientes políticas y prácticas básicas:

Este documento de Política de Seguridad de la Información proporciona a las partes interesadas externas una visión general de las políticas, prácticas y procedimientos del Sistema de Gestión de Seguridad de la Información (SGSI) de Sycomp. La seguridad es clave para el éxito de cualquier organización y Sycomp colabora continuamente con sus socios y clientela para optimizar y mejorar la integridad de sus operaciones.

Medidas técnicas y organizativas mínimas
El programa de seguridad SGSI de Sycomp incluye políticas comercialmente razonables y técnicamente apropiadas para proteger la información de la empresa y de terceros del acceso, adquisición, uso o mal uso, divulgación, destrucción y modificación no autorizados. La información se protege en función de su sensibilidad y riesgo de pérdida. Aunque no todas las medidas son aplicables a todos los tipos de información, el programa de seguridad incluye las siguientes políticas y prácticas básicas:

Uso aceptable
Las políticas de Uso Aceptable establecen los requisitos mínimos aceptables para el uso de datos, activos y recursos dentro del ámbito de registro del SGSI por parte de todo el personal autorizado para dicho uso, incluyendo:

- Formación anual de los empleados sobre concienciación en materia de seguridad y revisión de la política del SGSI
- Controles de supervisión del sistema
- Gestión y protección adecuadas de los recursos dentro y fuera de las instalaciones

Control de acceso
Las políticas de control de acceso incluyen medidas adecuadas para impedir el acceso no autorizado a los sistemas en los que se procesa o almacena "información", entre ellas:

- Proceso formal de control de acceso para la aprobación, creación y cancelación de cuentas de usuario.
- Gestión de contraseñas y autenticación multifactor
- Zonas seguras establecidas con controles físicos y vigilancia continua
- Protección y restricción de acceso y autorizaciones de acceso para empleados y terceros autorizados
- Revisión anual de las cuentas de usuario y de acceso privilegiado

Dispositivos para usuarios finales
Las políticas de seguridad de ordenadores de sobremesa y dispositivos móviles establecen un marco para la gestión de los dispositivos informáticos de los usuarios finales. Las directivas se aplican a todas las estaciones de trabajo y a dispositivos móviles como portátiles, tabletas y smartphones, entre otros:

- Proceso formal de aprobación y registro de hardware y software
- Normas de configuración coherentes y documentadas
- Implantación de mecanismos de protección contra software malintencionado y filtrado de correo electrónico en tiempo real
- Uso de tecnologías de cifrado estándar del sector, incluidos los datos en reposo y en tránsito.
- Bloqueo temporal automático de los dispositivos de usuario si se dejan inactivos, con identificación y contraseña necesarias para volver a abrirlos.
- Bloqueo temporal automático del ID de usuario cuando se introducen varias contraseñas erróneas, archivo de registro de eventos y supervisión de intentos de intrusión.

Recursos Humanos
Las políticas de Recursos Humanos garantizan que los empleados y terceros subcontratados comprendan sus responsabilidades y sean aptos para las funciones para las que se les considere, lo que incluye:

- Los procesos de incorporación incluyen acuerdos de empleo, subcontratación y confidencialidad, investigación de antecedentes y comprobaciones de antecedentes penales, si procede.
- Proceso disciplinario por violación o infracción de la seguridad de la información
- El proceso de baja incluye el cese de los privilegios de acceso y la devolución de los activos.

Seguridad de redes y sistemas
Las políticas de red y seguridad garantizan el funcionamiento seguro y la protección de redes y sistemas mediante su aplicación:

- Proceso formal de aprobación y registro de hardware y software
- Autorización basada en funciones, acceso seguro mediante autenticación multifactor
- Bloqueo de puertos y protección por contraseña
- Restricciones y controles de acceso remoto
- Supervisión y registro para la detección de amenazas y anomalías
- Segregación de funciones para la gestión del cambio
- Cumplimiento de normas de cifrado aceptables

Gestión de riesgos, incidentes y vulnerabilidades
Las políticas de Gestión de Riesgos, Incidentes y Vulnerabilidades establecen el flujo de trabajo, las tareas, las responsabilidades y las funciones para informar, responder y gestionar los riesgos de seguridad de la información, los incidentes y las vulnerabilidades conocidas o descubiertas:

- Evaluación anual de riesgos para identificar las amenazas a los activos del SGSI, las vulnerabilidades que podrían ser explotadas por esas amenazas, la asignación de un responsable de riesgos, y establecer opciones de tratamiento de riesgos, si es necesario.

- Exploración anual de vulnerabilidades y resolución oportuna de vulnerabilidades críticas y elevadas
- Proceso formal de notificación, registro y resolución de incidentes de seguridad, que incluya las lecciones aprendidas.
- Proceso de comunicación con partes externas, según sea necesario

Continuidad y disponibilidad
Sycomp ha implantado y mantendrá medidas razonables y apropiadas para garantizar que los sistemas y datos críticos estén protegidos frente a la destrucción o pérdida accidental, incluyendo:

- Redundancia de infraestructuras
- Mantenimiento de los procedimientos de continuidad y recuperación de la actividad, incluidos los procesos de replicación de datos y copia de seguridad en cinta.
- Eliminación de registros que contengan información personal de acuerdo con las políticas de privacidad y cuando ya no exista base legal para su tratamiento.

Política de privacidad
La política de confidencialidad de Sycomp describe nuestras prácticas en relación con la información que recopilamos, utilizamos y compartimos con los usuarios. Esta Política de Privacidad se aplica a la información que recopilamos cuando usted interactúa con nosotros, incluso a través de nuestros sitios web, comunicaciones por correo electrónico, productos u otras funciones o servicios (los "Servicios"), a menos que se acuerde específicamente lo contrario en un contrato u otro escrito entre nosotros y usted o la empresa para la que trabaja y en cuyo nombre interactúa con nosotros. Para más información, visite https://sycomp.com/privacy-policy/

C. Subtransformadores autorizados

SYCOMP A TECHNOLOGY COMPANY INC

LISTA DE SUBPROCESADORES

A. Contactos de empleados de terceros Subprocesadores
Nombre del subprocesador	Contacto y dirección	Descripción del tratamiento
Fuerza de Ventas punto Com, Inc.	Torre Salesforce
415 Mission Street, 3rd Floor San Francisco, CA 94105 EE.UU.	Registros de cuentas de socios comerciales
ABSYZ, Inc.	6th Floor, Shanta Sriram Techpark, DLF Cyber City, Gachibowli, Telangana 500032, India	Administración de SFDC
Corporación Microsoft	700 Bellevue Way NE - Piso 22
Bellevue, WA, 98004 EE.UU.	MS 365: correo electrónico, SharePoint y otras aplicaciones empresariales

B. Subprocesadores de proveedores de servicios gestionados (MSP)
País	Servicios de mensajería	Guante blanco
ANZ	DHL
	Auspost
Japón	Sagawa	EDCOM
Taiwán	ZerOne
Singapur	TCK (Envíos locales)
	Adcom (Internacional)
	DHL (cajas pequeñas)
	Mamgistics PTE Ltd (raramente)
Tailandia	DHL
India	Bluedart	NA
	IJetz
	JS Cargo (Envíos locales dentro de Bangalore)
	DTDC
EMEA	DHL (Toda la UE y Reino Unido)	ACS Francia
	DPD (REINO UNIDO)	CCS Alemania
	UPS (Bélgica)	Rhenus
	Tiger AG (CH)	ASL Carga
	Emerald Freight Express (CZ)	Carga rápida
	Bollore Logistics (CZ)	Carga Esmeralda
	Optys (CZ)	De puerta a puerta
	BDA Logistics (Países Bajos)	Michael Lynch Logística
	Emerald Freight (IR)
Israel	Conductores de ONE (S1)	NA
	Taxi (entrega en mano)
	UPS
	Graffiti virtual
EE.UU.	FedEx
	Adcom (rara vez)
EAU	DXB
Canadá	FedEx
	Purolator
	UPS
Sudáfrica	The Courier Guy Worldwide Express.

ANEXO 2: CLÁUSULAS CONTRACTUALES TIPO DE LA UE

Las Cláusulas Contractuales Tipo del EEE se completan del siguiente modo:
1. En caso de que la Empresa sea un Controlador, se aplicará el Módulo 2 (Controlador a Procesador).
2. En caso de que la Empresa sea un Procesador, se aplicará el Módulo 3 (Procesador a Procesador).
3. En la cláusula 7, se aplicará el acoplamiento opcional.
4. En la cláusula 9, se aplicará la opción 2, y el plazo de notificación previa a los subencargados del tratamiento será de 30 días.
5. En la cláusula 11(a), no se aplicará la cláusula opcional
6. En la Cláusula 13, la Opción 1 se aplicará si la Empresa tiene un establecimiento en la Unión Europea; la Opción 2 se aplicará si la Empresa no está establecida en la Unión Europea y tiene un representante designado; y la Opción 3 se aplicará si la Empresa no tiene ni un establecimiento ni un representante en la Unión Europea.
7. En la cláusula 17 (opción 2), se aplicará la legislación de la República de Irlanda.
8. En la cláusula 18(b), los litigios se resolverán en los tribunales de la República de Irlanda.
El Anexo I, Parte A, de las Cláusulas Contractuales Tipo del EEE se completa del siguiente modo:
1. Exportador de datos: Empresa
2. Datos de contacto: Dirección de la empresa, persona de contacto de la empresa y dirección de correo electrónico que figuran en cada componente del Acuerdo o Acuerdos.
3. Rol de exportador de datos: Controlador
4. Firma y fecha: Firma registrada en la fecha del Acuerdo o Acuerdos pertinentes
5. Actividades relacionadas con los datos transferidos en virtud de las Cláusulas Contractuales Tipo: Prestar los Servicios descritos en el Contrato.
6. Importador de datos: Sycomp, Inc.
7. Datos de contacto: 950 Tower Lane, Suite 1785, Foster City, CA 94404, [email protected]
8. Importador de datos Función: Procesador
9. Firma y fecha: Firma registrada en la fecha del/de los Acuerdo(s) correspondiente(s)
10. Actividades relacionadas con los datos transferidos en virtud de las Cláusulas Contractuales Tipo: Prestar los Servicios descritos en el Contrato.
El Anexo I, Parte B, de las Cláusulas Contractuales Tipo del EEE se completa del siguiente modo:
1. Categorías de interesados cuyos datos personales se transfieren: Según lo establecido en el Anexo 1.
2. Categorías de datos personales transferidos: Según lo establecido en el Anexo 1.
3. Datos sensibles transferidos: Según lo establecido en el Anexo 1. Las salvaguardias se enumeran con arreglo al Anexo II.
4. La frecuencia de transferencia: Los datos se transfieren de forma continua.
5. Naturaleza del tratamiento: La naturaleza del tratamiento es la establecida en el Anexo 1.
6. Finalidad(es) de la transferencia y el tratamiento posterior de los datos: La finalidad de la transferencia y el tratamiento de los datos es la establecida en el Anexo 1.
7. El periodo durante el cual se conservarán los datos personales o, si ello no fuera posible, los criterios utilizados para determinar dicho periodo: La duración del tratamiento es la establecida en el Anexo 1.
8. Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento: El objeto, naturaleza y duración del Tratamiento realizado por los Subprocesadores será el mismo que el establecido en este Anexo 1.B con respecto a Sycomp.
Las Cláusulas Contractuales Tipo del EEE, Anexo I, Parte C se completan como sigue: La autoridad de control competente es la República de Irlanda.
Las Cláusulas Contractuales Tipo del EEE, Anexo II. Las Medidas Técnicas y Organizativas se describen en el Anexo 1, Sección B.

ANEXO 3: ADENDA SOBRE TRANSFERENCIA INTERNACIONAL DE DATOS AL REINO UNIDO

La adenda del Reino Unido se completa del siguiente modo:
1. Parte 1
  1. Cuadro 1: La Fecha de Inicio es la fecha de entrada en vigor del Acuerdo. Las Partes, tal y como se detallan en la Sección 2 del Anexo 2
  2. Cuadro 2: SCC, módulos y cláusulas seleccionados: según se detalla en la sección 1 del anexo 2
  3. Cuadro 3: Información del Apéndice: se refiere a la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las CEC (distintas de las Partes), y que se establece en las Secciones 2, 3 y 5 del Anexo 2.
  4. Cuadro 4: El Importador puede poner fin al Addendum RU según lo establecido en la Sección 19 del Addendum RU.
2. Parte 2
  1. Parte 2: Cláusulas Obligatorias de la Adenda Aprobada, siendo la plantilla de la Adenda B.1.0 emitida por la OIC y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 28 de enero de 2022, ya que se revisa en virtud de la Sección 18 de dichas Cláusulas Obligatorias.

ANEXO 4: ACUERDO INTERNACIONAL DE TRANSFERENCIA DE DATOS DEL REINO UNIDO

La adenda del Reino Unido se completa del siguiente modo:
1. Cuadro 1
  1. Fecha de inicio: Fecha de entrada en vigor del Acuerdo.
  2. Detalles de las Partes: <>
  3. Cuadro 2: SCC, módulos y cláusulas seleccionados: según se detalla en la sección 1 de este apéndice 2
2. Cuadro 2
  1. Legislación aplicable: Inglaterra y Gales
  2. Lugar principal para reclamaciones legales: Inglaterra y Gales
  3. Condición de exportador: Controlador
  4. Estatuto del importador: Transformador o Subtransformador del exportador
  5. Si se aplica el GDPR del Reino Unido: Se aplica el GDPR del Reino Unido
  6. Acuerdo Vinculado: El Addendum contiene las instrucciones del Exportador al Importador
  7. Vigencia: El periodo de vigencia del Acuerdo Vinculado (la Adenda).
  8. Finalización del IDTA antes del final del Periodo de Vigencia: El Importador podrá poner fin a la Adenda del Reino Unido según lo establecido en la Sección 29 de la IDTA del Reino Unido
  9. Las Partes podrán poner fin al IDTA antes de que finalice el Periodo de Vigencia: Exportador e Importador
  10. ¿Puede el importador realizar otras transferencias? El Importador PUEDE transferir sobre los Datos Transferidos a otra organización o persona (que sea una entidad legal diferente) de acuerdo con la Sección 16.1 (Transferencia sobre los Datos Transferidos).
  11. Requisitos específicos para la transferencia ulterior: a los receptores autorizados (o a las categorías de receptores autorizados) establecidos en: Sección 2.1 del Addendum
  12. Fechas de revisión: Las partes revisarán los requisitos de seguridad con una frecuencia no superior a la anual a petición del Exportador
3. Cuadro 3
  1. Datos transferidos: Las categorías de Datos Transferidos se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) al que se hace referencia.
  2. Datos de categorías especiales: Ninguna de las anteriores. Las categorías de datos de categoría especial y de antecedentes penales se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) mencionado.
  3. Sujetos de datos pertinentes: Las categorías de Sujetos de Datos se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) al que se hace referencia.
  4. Finalidad: El Importador podrá Tratar los Datos Transferidos para los fines establecidos en: la Adenda, el Acuerdo, o una Declaración de Trabajo sujeta al Acuerdo y a la Adenda. Los fines se actualizarán automáticamente si la información se actualiza en el Acuerdo vinculado (el Addendum) al que se hace referencia.
4. Cuadro 4
  1. Requisitos de seguridad: Los requisitos de seguridad se describen en el Anexo 1, Sección B.
  2. Actualizaciones de los Requisitos de Seguridad: Los Requisitos de Seguridad se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado (la Adenda) al que se hace referencia.
5. Parte 2
  1. Cláusulas adicionales de protección: No hay cláusulas de protección extra
6. Parte 3
  1. Cláusulas comerciales: No existen cláusulas comerciales más allá de los términos del Acuerdo y del Addendum.

ANEXO 5: FINES COMERCIALES

Sycomp puede tratar los datos personales de la empresa en nombre de ésta para los siguientes fines comerciales (marque todos los que procedan):

Proporcionar soluciones en nombre de la Empresa, incluido el mantenimiento o la administración de cuentas, la prestación de servicios de atención al cliente, la tramitación o el cumplimiento de pedidos y transacciones, la verificación de la información del cliente, la tramitación de pagos, la financiación, la prestación de servicios analíticos, la prestación de servicios de almacenamiento o la prestación de servicios similares en nombre de la Empresa.

Ayudar a garantizar la seguridad e integridad en la medida en que el uso de los Datos Personales de la Empresa sea razonablemente necesario y proporcionado para tal fin.

Depuración para identificar y reparar errores que afecten a la funcionalidad prevista de las soluciones.

Emprender investigaciones internas para el desarrollo tecnológico y la demostración.