Última actualización: 15 de septiembre de 2023.
Este Anexo de procesamiento de datos (“DPA”) es un acuerdo entre usted y la entidad que representa (“Cliente”, “usted” o “su”) y Mapsly LLC (“MAPSLY”). Este DPA complementa los Términos de servicio de MAPSLY disponibles en https://mapsly.com/terms, actualizado periódicamente entre el Cliente y MAPSLY, u otros acuerdos entre el Cliente y MAPSLY que rigen el uso de los Servicios MAPSLY por parte del Cliente (el “Acuerdo”).
Definiciones. Todos los términos en mayúscula utilizados en este DPA tendrán los significados que se les atribuyen a continuación, a menos que se defina lo contrario en el Acuerdo:
“API" significa una interfaz de programación de aplicaciones.
“Ley de Protección de Datos Aplicable" significa todas las leyes y regulaciones aplicables y vinculantes al procesamiento de Datos del Cliente por parte de una parte, incluido, según corresponda, el RGPD.
“Normas corporativas vinculantes" tiene el significado que se le atribuye en el RGPD.
“Controlador" tiene el significado que se le atribuye en el RGPD.
“Cláusulas de controlador a procesador" significa las cláusulas contractuales tipo entre Responsables y Encargados del tratamiento para las Transferencias de Datos, aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021.
“Datos de los clientes" significa los Datos personales que se cargan en los Servicios en las cuentas MAPSLY del Cliente.
“Documentación" significa la documentación vigente en ese momento para los Servicios ubicados en https://help.mapsly.com (y cualquier ubicación sucesora designada por MAPSLY).
“EEE" significa el Espacio Económico Europeo.
“Los usuarios finales" significa usuarios de la cuenta de Mapsly del Cliente, incluidos los empleados y contratistas del Cliente que fueron asignados por el Cliente para usar Mapsly.
“RGPD" significa el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (General Reglamento de Protección de Datos).
“Red MAPSLY" significa los servidores, equipos de red y sistemas de software host (por ejemplo, firewalls virtuales) que están bajo el control de MAPSLY y se utilizan para proporcionar los Servicios.
“Consola de configuración MAPSLY" significa la sección Configuración en el Servicio Mapsly disponible en "Configuración" en el menú principal.
“Información personal" significa datos personales, información personal, información de identificación personal u otro término equivalente (cada uno según se define en la Ley de Protección de Datos Aplicable).
“Procesando" tiene el significado que se le atribuye en el RGPD y “proceso”, “procesos” y “procesado” se interpretarán en consecuencia.
“Procesador" tiene el significado que se le atribuye en el RGPD.
“Cláusulas de procesador a procesador” significa las cláusulas contractuales tipo entre Encargados del Tratamiento para Transferencias de Datos, aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021.
“Incidente de seguridad” significa una violación de la seguridad de MAPSLY que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos del Cliente.
“Controles de servicio” significa los controles, incluidas las características y funcionalidades de seguridad, que proporcionan los Servicios, como se describe en la Documentación.
“Cláusulas contractuales tipo" significa (i) las Cláusulas de Controlador a Procesador, o (ii) las Cláusulas de Procesador a Procesador, según corresponda de conformidad con las Secciones 9.2.1 y 9.2.2.
"Tercer país" significa un país fuera del EEE no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales (como se describe en el RGPD).
1. Procesamiento de datos.
1.1 Alcance y funciones. Este DPA se aplica cuando MAPSLY procesa Datos del Cliente. En este contexto, MAPSLY actuará como Procesador del Cliente, quien puede actuar como Responsable o Procesador de los Datos del Cliente.
1.2 Controles del cliente. El Cliente puede utilizar los Controles del Servicio para ayudarle con sus obligaciones según la Ley de Protección de Datos Aplicable, incluidas sus obligaciones de responder a las solicitudes de los interesados. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es poco probable que MAPSLY se dé cuenta de que los Datos del Cliente transferidos según las Cláusulas Contractuales Tipo son inexactos o están desactualizados. No obstante, si MAPSLY tiene conocimiento de que los Datos del Cliente transferidos en virtud de las Cláusulas Contractuales Tipo son inexactos o están desactualizados, informará al Cliente sin demora indebida. MAPSLY cooperará con el Cliente para borrar o rectificar los Datos del Cliente inexactos u obsoletos transferidos según las Cláusulas Contractuales Estándar proporcionando los Controles de Servicio que el Cliente puede utilizar para borrar o rectificar los Datos del Cliente.
1.3 Detalles del Tratamiento de Datos.
1.3.1 Tema en cuestion. El objeto del procesamiento de datos bajo este DPA son los Datos del Cliente.
1.3.2 Duración. Entre MAPSLY y el Cliente, la duración del procesamiento de datos bajo este DPA la determina el Cliente.
1.3.3 Objetivo. El propósito del procesamiento de datos bajo este DPA es la prestación de los Servicios iniciados por el Cliente de vez en cuando.
1.3.4 Naturaleza del procesamiento. Computación, almacenamiento y otros Servicios descritos en la Documentación e iniciados por el Cliente de vez en cuando.
1.3.5 Tipo de Datos del Cliente. Datos del Cliente cargados en los Servicios bajo las cuentas MAPSLY del Cliente.
1.3.6 Categorías de interesados. Los interesados podrían incluir clientes, empleados, proveedores y Usuarios finales del Cliente.
1.4 De acuerdo con las leyes. Cada parte cumplirá con todas las leyes, normas y regulaciones que le sean aplicables y vinculantes en el desempeño de este DPA, incluida la Ley de Protección de Datos Aplicable.
1.5 Mapsly como controlador. El Cliente reconoce que Mapsly puede recopilar información específica sobre los Usuarios finales del Cliente descritos en el Política de privacidad de MAPSLY (actualmente publicada en https://mapsly.com/privacy-policy). En la medida en que dichos datos se consideren Información personal según las Leyes de protección de datos, Mapsly es el Controlador de dichos datos y los procesará como parte de los Datos del cliente de acuerdo con este DPA. El Cliente también otorga a MAPSLY el derecho de divulgar dichos datos internamente y a sus Subprocesadores para sus fines comerciales legítimos relacionados con la operación, soporte y uso de los Servicios, como facturación, administración de cuentas, soporte técnico, desarrollo de productos, ventas y marketing.
2. Instrucciones para el cliente. Las partes acuerdan que este DPA y el Acuerdo (incluido el suministro de instrucciones por parte del Cliente a través de herramientas de configuración como la consola de configuración de MAPSLY y las API puestas a disposición por MAPSLY para los Servicios) constituyen instrucciones documentadas del Cliente con respecto al procesamiento de Datos del Cliente por parte de MAPSLY (“Instrucciones documentadas”). MAPSLY procesará los Datos del Cliente únicamente de acuerdo con las Instrucciones Documentadas (que, si el Cliente actúa como Procesador, podrían basarse en las instrucciones de sus Controladores). Las instrucciones adicionales fuera del alcance de las Instrucciones Documentadas (si las hubiera) requieren un acuerdo previo por escrito entre MAPSLY y el Cliente, incluido el acuerdo sobre cualquier tarifa adicional pagadera por el Cliente a MAPSLY por llevar a cabo dichas instrucciones. El Cliente tiene derecho a rescindir este DPA y el Acuerdo si MAPSLY se niega a seguir las instrucciones solicitadas por el Cliente que están fuera del alcance de, o han cambiado, aquellas dadas o acordadas que se darán en este DPA. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es poco probable que MAPSLY pueda formarse una opinión sobre si las Instrucciones Documentadas infringen la Ley de Protección de Datos Aplicable. Si MAPSLY forma tal opinión, informará inmediatamente al Cliente, en cuyo caso, el Cliente tiene derecho a retirar o modificar sus Instrucciones Documentadas.
3. Confidencialidad de los datos del cliente. MAPSLY no accederá ni utilizará, ni divulgará a ningún tercero, ningún Dato del Cliente, excepto, en cada caso, según sea necesario para mantener o proporcionar los Servicios, o según sea necesario para cumplir con la ley o una orden válida y vinculante de una autoridad gubernamental. organismo (como una citación u orden judicial). Si un organismo gubernamental envía a MAPSLY una solicitud de Datos del Cliente, MAPSLY intentará redirigir al organismo gubernamental para solicitar esos datos directamente al Cliente. Como parte de este esfuerzo, MAPSLY puede proporcionar la información de contacto básica del Cliente al organismo gubernamental. Si se ve obligado a revelar Datos del Cliente a un organismo gubernamental, MAPSLY le dará al Cliente un aviso razonable de la demanda para permitirle buscar una orden de protección u otro recurso apropiado, a menos que MAPSLY tenga prohibido legalmente hacerlo.
4. Obligaciones de Confidencialidad del Personal de MAPSLY. MAPSLY restringe a su personal el procesamiento de Datos del Cliente sin la autorización de MAPSLY. MAPSLY impone obligaciones contractuales apropiadas a su personal, incluidas obligaciones relevantes en materia de confidencialidad, protección de datos y seguridad de los datos.
5. Seguridad del procesamiento de datos
5.1 MAPSLY ha implementado y mantendrá las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los Datos del Cliente, de acuerdo con los estándares de seguridad de Mapsly descritos en esta PDA y dentro de la Política de Privacidad de MAPSLY..
5.2 Responsabilidades del cliente y características de seguridad opcionales. MAPSLY pone a disposición muchos controles de servicio que el Cliente puede optar por utilizar para fortalecer aún más la seguridad de los Datos del Cliente. El Cliente es responsable de (a) el uso seguro de los Servicios, incluida la seguridad de las credenciales de autenticación de su cuenta, (b) proteger la seguridad de los Datos del Cliente cuando están en tránsito hacia y desde los Servicios, (c) tomar las medidas adecuadas para cifrar o hacer una copia de seguridad de los Datos del Cliente cargados en los Servicios, (d) configurar adecuadamente los Servicios y los Controles del Servicio, y (e) tomar otras medidas que el Cliente considere adecuadas para garantizar la seguridad, la protección y la eliminación de los Datos del Cliente.
5.3. Notificación de incidentes de seguridad.
5.3.1. Incidente de seguridad. MAPSLY (a) notificará al Cliente sobre un Incidente de seguridad sin demora indebida después de tener conocimiento del Incidente de seguridad, y (b) tomará las medidas adecuadas para abordar el Incidente de seguridad, incluidas medidas para mitigar cualquier efecto adverso resultante del Incidente de seguridad.
5.3.2. Asistencia MAPSLY. Para permitir que el Cliente notifique un Incidente de seguridad a las autoridades supervisoras o a los interesados (según corresponda), MAPSLY cooperará y ayudará al Cliente incluyendo en la notificación la información sobre el Incidente de seguridad que MAPSLY pueda revelar al Cliente, teniendo en cuenta la la naturaleza del procesamiento, la información disponible para MAPSLY y cualquier restricción a la divulgación de la información, como la confidencialidad. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es el que está en mejores condiciones para determinar las probables consecuencias de un Incidente de Seguridad.
5.3.3. Incidentes de seguridad fallidos. El cliente acepta que:
(i) un Incidente de Seguridad fallido no estará sujeto a esta Sección 5.3. Un incidente de seguridad fallido es aquel que no da como resultado un acceso no autorizado a los datos del cliente o a cualquiera de los equipos o instalaciones de MAPSLY que almacenan datos del cliente, y podría incluir, entre otros, pings y otros ataques de transmisión en firewalls o servidores perimetrales, escaneos de puertos, registros fallidos. -en intentos, ataques de denegación de servicio, rastreo de paquetes (u otro acceso no autorizado a datos de tráfico que no resulte en un acceso más allá de los encabezados) o incidentes similares; y
(ii) La obligación de MAPSLY de informar o responder a un Incidente de seguridad según esta Sección 5.3 no se interpretará ni se interpretará como un reconocimiento por parte de MAPSLY de cualquier falla o responsabilidad de MAPSLY con respecto al Incidente de seguridad.
5.3.4. Comunicación. Las notificaciones de incidentes de seguridad, si las hubiera, se entregarán a uno o más administradores del Cliente por cualquier medio que MAPSLY seleccione, incluido el correo electrónico. Es responsabilidad exclusiva del Cliente garantizar que los administradores del Cliente mantengan información de contacto precisa en la consola de configuración de MAPSLY y una transmisión segura en todo momento.
5.3.5. Obligaciones de Notificación. Si MAPSLY notifica al Cliente sobre un Incidente de Seguridad, o el Cliente se da cuenta de alguna destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos del Cliente, el Cliente será responsable de (a) determinar si hay algún incidente de seguridad resultante notificación u otra obligación según la Ley de Protección de Datos Aplicable y (b) tomar las medidas necesarias para cumplir con esas obligaciones. Esto no limita las obligaciones de MAPSLY según esta Sección 5.3.
6. Subprocesamiento.
6.1 Subprocesadores autorizados. El Cliente otorga autorización general para que MAPSLY utilice subprocesadores para realizar actividades de procesamiento de Datos del Cliente en nombre del Cliente (“Subprocesadores”) de conformidad con esta Sección. El sitio web de MAPSLY (actualmente publicado en https://mapsly.com/sub-processors/) enumera los subprocesadores que actualmente están contratados por MAPSLY. Al menos 30 días antes de que MAPSLY contrate a un Subprocesador, MAPSLY actualizará el sitio web correspondiente y proporcionará al Cliente un mecanismo para obtener notificación de esa actualización. Para oponerse a un Subprocesador, el Cliente puede: (i) dejar de utilizar la funcionalidad del Servicio MAPSLY para el cual MAPSLY ha contratado al Subprocesador, o (ii) rescindir el Acuerdo de conformidad con sus términos.
6.2 Obligaciones del subencargado. Cuando MAPSLY autoriza a un Subprocesador como se describe en la Sección 6.1:
(i) MAPSLY restringirá el acceso del Subprocesador a los Datos del Cliente solo a lo que sea necesario para proporcionar o mantener los Servicios de acuerdo con la Documentación, y MAPSLY prohibirá al Subprocesador acceder a los Datos del Cliente para cualquier otro propósito;
(ii) MAPSLY celebrará un acuerdo escrito con el Subprocesador y, en la medida en que el Subprocesador realice los mismos servicios de procesamiento de datos proporcionados por MAPSLY en virtud de este DPA, MAPSLY impondrá al Subprocesador las mismas obligaciones contractuales que MAPSLY tiene. bajo este DPA; y
(iii) MAPSLY seguirá siendo responsable del cumplimiento de las obligaciones de este DPA y de cualquier acto u omisión del Subencargado que haga que MAPSLY incumpla cualquiera de las obligaciones de MAPSLY en virtud de este DPA.
7. Asistencia de MAPSLY con solicitudes de interesados. Teniendo en cuenta la naturaleza del procesamiento, los Controles del Servicio son las medidas técnicas y organizativas mediante las cuales MAPSLY ayudará al Cliente a cumplir con sus obligaciones de responder a las solicitudes de los interesados según la Ley de Protección de Datos Aplicable. Si un interesado realiza una solicitud a MAPSLY, MAPSLY enviará de inmediato dicha solicitud al Cliente una vez que MAPSLY haya identificado que la solicitud proviene de un interesado del cual el Cliente es responsable. El Cliente autoriza en su nombre, y en nombre de sus controladores cuando el Cliente actúa como Procesador, a MAPSLY a responder a cualquier interesado que realice una solicitud a MAPSLY, para confirmar que MAPSLY ha enviado la solicitud al Cliente. Las partes acuerdan que el uso por parte del Cliente de los Controles del Servicio y el envío por parte de MAPSLY de las solicitudes de los interesados al Cliente de acuerdo con esta sección representan el alcance y la extensión de la asistencia requerida por el Cliente.
8. Verificación de Cumplimiento.
8.1 Auditorías MAPSLY. MAPSLY utiliza auditores externos para verificar la adecuación de sus medidas de seguridad. Esta auditoría: (a) se realizará al menos una vez al año; (b) se realizará de acuerdo con una norma ampliamente reconocida; (c) será realizado por profesionales de seguridad externos independientes a cargo y selección de MAPSLY; y (d) dará lugar a la generación de un informe de auditoría (“Informe”), que será Información Confidencial de MAPSLY.
8.2 Informes de auditoría. A solicitud por escrito del Cliente, y siempre que las partes tengan vigente un NDA aplicable, MAPSLY proporcionará al Cliente una copia del Informe para que pueda verificar razonablemente el cumplimiento de MAPSLY con sus obligaciones bajo este DPA.
8.3 Evaluación de Impacto en la Privacidad y Consulta Previa. Teniendo en cuenta la naturaleza del procesamiento y la información disponible para MAPSLY, MAPSLY ayudará al Cliente a cumplir con sus obligaciones con respecto a las evaluaciones de impacto de la protección de datos y la consulta previa proporcionando la información que MAPSLY pone a disposición en virtud de esta Sección 8.
9. Transferencias de Datos Personales.
9.1 Ubicaciones. MAPSLY puede transferir y procesar Datos del Cliente dentro de la Red MAPSLY en los EE. UU. o el EEE. MAPSLY no transferirá Datos del Cliente fuera del EEE y EE. UU., excepto cuando sea necesario para proporcionar los Servicios iniciados por el Cliente, o cuando sea necesario para cumplir con la ley o una orden válida y vinculante de un organismo gubernamental.
9.2 Aplicación de Cláusulas Contractuales Tipo. Sujeto a la Sección 9.3, las Cláusulas Contractuales Tipo solo se aplicarán a los Datos del Cliente sujetos al RGPD que se transfieran, ya sea directamente o mediante transferencia posterior, a cualquier Tercer País (cada uno un "Transferencia de datos”).
9.2.1 Cuando el Cliente actúa como Responsable, las Cláusulas de Responsable a Procesador se aplicarán a una Transferencia de Datos.
9.2.2 Cuando el Cliente actúa como Procesador, las Cláusulas de Procesador a Procesador se aplicarán a una Transferencia de Datos. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es poco probable que MAPSLY conozca la identidad de los Controladores del Cliente porque MAPSLY no tiene una relación directa con los Controladores del Cliente y, por lo tanto, el Cliente cumplirá con las obligaciones de MAPSLY hacia los Controladores del Cliente en virtud del Acuerdo de Procesador a- Cláusulas del procesador.
9.3 Mecanismo de transferencia alternativo. Las Cláusulas Contractuales Estándar no se aplicarán a una Transferencia de Datos si MAPSLY ha adoptado Reglas Corporativas Vinculantes para Procesadores o un estándar de cumplimiento alternativo reconocido para Transferencias de Datos legales.
10. Terminación del DPA. Este DPA continuará vigente hasta la terminación del Acuerdo (el “Fecha de conclusión”).
11. Eliminación de datos del cliente. Tras la terminación o vencimiento del Acuerdo, MAPSLY eliminará los Datos del Cliente a solicitud del Cliente, pero a más tardar dentro de un período de 90 días, excepto y en la medida en que la ley aplicable requiera que MAPSLY conserve algunos o todos los Datos del Cliente, que MAPSLY aislará y almacenará de forma segura estos Datos de acuerdo con los períodos de retención aplicables. MAPSLY protegerá estos Datos de cualquier procesamiento posterior, excepto en la medida requerida por la ley aplicable.
12. Deberes de informar. Cuando los Datos del Cliente estén sujetos a confiscación durante procedimientos de quiebra o insolvencia o medidas similares por parte de terceros mientras son procesados por MAPSLY, MAPSLY informará al Cliente sin demora indebida. MAPSLY, sin demora indebida, notificará a todas las partes relevantes en dicha acción (por ejemplo, acreedores, administrador de quiebras) que cualquier Dato del Cliente sujeto a esos procedimientos es propiedad del Cliente y área de responsabilidad y que los Datos del Cliente están a disposición exclusiva del Cliente.
13. Acuerdo completo; Conflicto. Este DPA incorpora las Cláusulas Contractuales Tipo por referencia. Excepto lo modificado por este DPA, el Acuerdo permanecerá en pleno vigor y efecto. Si hay un conflicto entre el Acuerdo y este DPA, prevalecerán los términos de este DPA, excepto que los Términos de Servicio prevalecerán sobre este DPA. Nada en este documento varía o modifica las Cláusulas Contractuales Tipo.