Última actualización: 15 de septiembre de 2023.
Este Anexo de Procesamiento de Datos (“DPA”) es un acuerdo entre usted y la entidad que representa (“Cliente”, “usted” o “su”) y Mapsly LLC (“MAPSLY”). Este DPA complementa los Términos de Servicio de MAPSLY disponibles en https://mapsly.com/terms, según se actualice de vez en cuando entre el Cliente y MAPSLY, u otros acuerdos entre el Cliente y MAPSLY que rigen el uso por parte del Cliente de los Servicios de MAPSLY (el “Acuerdo”).
Definiciones. Todos los términos en mayúsculas utilizados en este DPA tendrán los significados que se les asignan a continuación, salvo que se definan de otra manera en el Acuerdo:
“API” significa una interfaz de programación de aplicaciones.
“Ley Aplicable de Protección de Datos” significa todas las leyes y regulaciones aplicables y vinculantes sobre el procesamiento de Datos del Cliente por una parte, incluyendo, según corresponda, el RGPD.
“Reglas Corporativas Vinculantes” tiene el significado que se le da en el GDPR.
“Controlador” tiene el significado que se le da en el GDPR.
“Cláusulas de Controlador a Procesador” significa las cláusulas contractuales estándar entre los Controladores y Procesadores para Transferencias de Datos, según lo aprobado por la Decisión de Implementación de la Comisión Europea (UE) 2021/914 del 4 de junio de 2021.
“Datos del cliente” se refiere a los Datos Personales que se cargan en los Servicios bajo las cuentas MAPSLY del Cliente.
“Documentación” significa la documentación vigente en ese momento para los Servicios ubicados en https://help.mapsly.com (y cualquier ubicación sucesora designada por MAPSLY).
“EEE” significa el Espacio Económico Europeo.
“Usuarios finales” se refiere a los usuarios de la cuenta Mapsly del Cliente, incluidos los empleados y contratistas del Cliente que fueron asignados por el Cliente para usar Mapsly.
“GDPR” significa el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
“Red MAPSLY” significa los servidores, los equipos de red y los sistemas de software host (por ejemplo, cortafuegos virtuales) que están bajo el control de MAPSLY y se usan para proporcionar los Servicios.
“Consola de configuración MAPSLY” significa la sección Configuración en el servicio Mapsly disponible en “Configuración” en el menú principal.
“Datos personales” significa datos personales, información personal, información de identificación personal u otro término equivalente (cada uno según lo definido en la Ley de Protección de Datos Aplicable).
“Procesando” tiene el significado que se le da en el RGPD y “procesar”, “procesos” y “procesado” se interpretarán en consecuencia.
“Procesador” tiene el significado que se le da en el GDPR.
Cláusulas de Procesador a Procesador se refiere a las cláusulas contractuales estándar entre Procesadores para Transferencias de Datos, aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea del 4 de junio de 2021.
Incidente de seguridad significa una violación de la seguridad de MAPSLY que conduce a la destrucción, pérdida, alteración accidental o ilegal, divulgación no autorizada o acceso a los Datos del Cliente.
Controles de Servicio se refiere a los controles, incluidas las funciones y características de seguridad, que los Servicios proporcionan, tal como se describe en la Documentación.
Cláusulas Contractuales Estándar” significa (i) las Cláusulas de Controlador a Procesador, o (ii) las Cláusulas de Procesador a Procesador, según corresponda de acuerdo con las Secciones 9.2.1 y 9.2.2.
Tercer país significa un país fuera del EEE que no ha sido reconocido por la Comisión Europea como que proporciona un nivel adecuado de protección de datos personales (como se describe en el GDPR).
1. Procesamiento de datos.
1.1 Alcance y Roles. Este DPA se aplica cuando MAPSLY procesa los Datos del Cliente. En este contexto, MAPSLY actuará como Procesador para el Cliente, quien puede actuar como Controlador o Procesador de los Datos del Cliente.
1.2 Controles del cliente El Cliente puede usar los Controles de Servicio para ayudarle con sus obligaciones bajo la Ley de Protección de Datos Aplicable, incluyendo sus obligaciones de responder solicitudes de los titulares de datos. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acuerda que es poco probable que MAPSLY se dé cuenta de que los Datos del Cliente transferidos bajo las Cláusulas Contractuales Estándar sean inexactos o estén desactualizados. No obstante, si MAPSLY se da cuenta de que los Datos del Cliente transferidos bajo las Cláusulas Contractuales Estándar son inexactos o están desactualizados, informará al Cliente sin demora indebida. MAPSLY cooperará con el Cliente para borrar o rectificar Datos del Cliente inexactos o desactualizados transferidos bajo las Cláusulas Contractuales Estándar proporcionando los Controles de Servicio que el Cliente puede usar para borrar o rectificar los Datos del Cliente.
1.3 Detalles del Procesamiento de Datos.
1.3.1 Asunto. El objeto del procesamiento de datos bajo este DPA son los Datos del Cliente.
1.3.2 Duración. Entre MAPSLY y el Cliente, la duración del procesamiento de datos bajo este DPA está determinada por el Cliente.
1.3.3 Propósito. El propósito del procesamiento de datos bajo este DPA es la provisión de los Servicios iniciados por el Cliente de vez en cuando.
1.3.4 Naturaleza del procesamiento. Servicios de computación, almacenamiento y otros Servicios descritos en la Documentación e iniciados por el Cliente de vez en cuando.
1.3.5 Tipo de datos del cliente. Datos del Cliente cargados en los Servicios bajo las cuentas MAPSLY del Cliente.
1.3.6 Categorías de sujetos de datos. Los sujetos de datos podrían incluir a los clientes del Cliente, empleados, proveedores y Usuarios Finales.
1.4 Cumplimiento de leyes. Cada parte cumplirá con todas las leyes, normas y regulaciones que le sean aplicables y vinculantes en el cumplimiento de este DPA, incluyendo la Ley de Protección de Datos Aplicable.
1.5 Mapsly como Controlador. El Cliente reconoce que Mapsly puede recopilar información específica sobre los Usuarios Finales del Cliente descrita en el Política de privacidad de MAPSLY (actualmente publicada en https://mapsly.com/privacy-policy)En la medida en que dichos datos se consideren Información Personal según las Leyes de Protección de Datos, Mapsly es el Controlador de dichos datos y los procesará como parte de los Datos del Cliente de acuerdo con este DPA. El Cliente también otorga a MAPSLY el derecho de divulgar dichos datos internamente y a sus Subprocesadores para fines comerciales legítimos relacionados con la operación, soporte y uso de los Servicios, tales como facturación, gestión de cuentas, soporte técnico, desarrollo de productos, ventas y marketing.
2. Instrucciones del cliente. Las partes acuerdan que este DPA y el Acuerdo (incluyendo las instrucciones del Cliente proporcionadas a través de herramientas de configuración como la consola MAPSLY Setup y las API puestas a disposición por MAPSLY para los Servicios) constituyen las instrucciones documentadas del Cliente respecto al procesamiento de los Datos del Cliente por parte de MAPSLYInstrucciones DocumentadasMAPSLY procesará los Datos del Cliente únicamente de acuerdo con las Instrucciones Documentadas (que, si el Cliente actúa como Procesador, podrían basarse en las instrucciones de sus Controladores). Las instrucciones adicionales fuera del alcance de las Instrucciones Documentadas (si las hubiera) requieren un acuerdo previo por escrito entre MAPSLY y el Cliente, incluido el acuerdo sobre cualquier tarifa adicional que el Cliente deba pagar a MAPSLY por llevar a cabo dichas instrucciones. El Cliente tiene derecho a rescindir este DPA y el Acuerdo si MAPSLY se niega a seguir las instrucciones solicitadas por el Cliente que estén fuera del alcance o hayan cambiado respecto a las dadas o acordadas en este DPA. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es poco probable que MAPSLY pueda formarse una opinión sobre si las Instrucciones Documentadas infringen la Ley de Protección de Datos Aplicable. Si MAPSLY formara dicha opinión, informará inmediatamente al Cliente, en cuyo caso el Cliente tiene derecho a retirar o modificar sus Instrucciones Documentadas.
3. Confidencialidad de los datos del cliente. MAPSLY no accederá, usará ni divulgará a ningún tercero ningún Dato del Cliente, excepto, en cada caso, según sea necesario para mantener o proporcionar los Servicios, o según sea necesario para cumplir con la ley o una orden válida y vinculante de un organismo gubernamental (como una citación o una orden judicial). Si un organismo gubernamental envía a MAPSLY una solicitud de Datos del Cliente, MAPSLY intentará redirigir al organismo gubernamental para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, MAPSLY podrá proporcionar al organismo gubernamental la información de contacto básica del Cliente. Si se ve obligado a divulgar Datos del Cliente a un organismo gubernamental, MAPSLY dará al Cliente un aviso razonable de la solicitud para permitir que el Cliente busque una orden de protección u otro remedio apropiado, a menos que MAPSLY tenga prohibido legalmente hacerlo.
4. Obligaciones de confidencialidad del personal de MAPSLY. MAPSLY restringe a su personal de procesar Datos de Clientes sin autorización por parte de MAPSLY. MAPSLY impone obligaciones contractuales apropiadas a su personal, incluidas las obligaciones relevantes relativas a la confidencialidad, la protección de datos y la seguridad de los datos.
5. Seguridad en el procesamiento de datos
5.1 MAPSLY ha implementado y mantendrá las medidas técnicas y organizativas adecuadas para garantizar la seguridad y confidencialidad de los Datos del Cliente, de acuerdo con los estándares de seguridad de Mapsly descritos en este PDA y en la Política de Privacidad de MAPSLY..
5.2 Responsabilidades del cliente y características de seguridad opcionales. MAPSLY pone a disposición muchos Controles de Servicio que el Cliente puede elegir usar para fortalecer aún más la seguridad de los Datos del Cliente. El Cliente es responsable de (a) usar los Servicios de manera segura, incluyendo asegurar las credenciales de autenticación de su cuenta, (b) proteger la seguridad de los Datos del Cliente mientras están en tránsito hacia y desde los Servicios, (c) tomar las medidas adecuadas para cifrar o respaldar de manera segura los Datos del Cliente cargados en los Servicios, (d) configurar correctamente los Servicios y los Controles de Servicio, y (e) tomar otras medidas que el Cliente considere adecuadas para asegurar la seguridad, protección y eliminación de los Datos del Cliente.
5.3. Notificación de incidente de seguridad.
5.3.1. Incidente de seguridad. MAPSLY (a) notificará al Cliente sobre un Incidente de Seguridad sin demora indebida después de tener conocimiento del Incidente de Seguridad, y (b) tomará las medidas adecuadas para abordar el Incidente de Seguridad, incluyendo medidas para mitigar cualquier efecto adverso resultante del Incidente de Seguridad.
5.3.2. Asistencia MAPSLY. Para permitir que el Cliente notifique un Incidente de Seguridad a las autoridades supervisoras o a los sujetos de datos (según corresponda), MAPSLY cooperará con el Cliente y le asistirá incluyendo en la notificación la información sobre el Incidente de Seguridad que MAPSLY pueda revelar al Cliente, teniendo en cuenta la naturaleza del procesamiento, la información disponible para MAPSLY y cualquier restricción para divulgar la información, como la confidencialidad. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es el más capacitado para determinar las posibles consecuencias de un Incidente de Seguridad.
5.3.3. Incidentes de seguridad no exitosos. El cliente acepta que:
(i) Un incidente de seguridad no exitoso no estará sujeto a esta Sección 5.3. Un incidente de seguridad no exitoso es aquel que no resulta en acceso no autorizado a los Datos del Cliente o a cualquiera de los equipos o instalaciones de MAPSLY que almacenan los Datos del Cliente, e incluye, sin limitación, pings y otros ataques de difusión a firewalls o servidores de borde, escaneos de puertos, intentos de inicio de sesión no exitosos, ataques de denegación de servicio, análisis de paquetes (u otro acceso no autorizado a datos de tráfico que no resulte en acceso más allá de los encabezados) o incidentes similares;
(ii) La obligación de MAPSLY de reportar o responder a un Incidente de Seguridad bajo esta Sección 5.3 no se considera ni se interpretará como un reconocimiento por parte de MAPSLY de cualquier culpa o responsabilidad de MAPSLY con respecto al Incidente de Seguridad.
5.3.4. Comunicación. La(s) notificación(es) de incidentes de seguridad, si las hubiera, se entregarán a uno o más administradores del Cliente por cualquier medio que MAPSLY seleccione, incluido el correo electrónico. Es exclusiva responsabilidad del Cliente asegurarse de que los administradores mantengan información de contacto precisa en la consola de configuración de MAPSLY y una transmisión segura en todo momento.
5.3.5. Obligaciones de notificación. Si MAPSLY notifica al Cliente sobre un Incidente de Seguridad, o si el Cliente se entera de cualquier destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente, el Cliente será responsable de (a) determinar si existe alguna obligación de notificación u otra obligación conforme a la Ley de Protección de Datos Aplicable y (b) tomar las medidas necesarias para cumplir con dichas obligaciones. Esto no limita las obligaciones de MAPSLY según esta Sección 5.3.
6. Subprocesamiento.
6.1 Subprocesadores autorizados. El Cliente proporciona autorización general a MAPSLY para el uso de subprocesadores para realizar actividades de procesamiento sobre los Datos del Cliente en nombre del ClienteSubprocesadores") de conformidad con esta Sección. El sitio web de MAPSLY (actualmente publicado en https://mapsly.com/sub-processors/) lista los subprocesadores que actualmente están siendo contratados por MAPSLY. Al menos 30 días antes de que MAPSLY contrate a un subprocesador, MAPSLY actualizará el sitio web correspondiente y proporcionará al Cliente un mecanismo para recibir aviso de dicha actualización. Para objetar a un subprocesador, el Cliente puede: (i) dejar de usar la funcionalidad del Servicio MAPSLY para la cual MAPSLY contrató al subprocesador, o (ii) rescindir el Acuerdo conforme a sus términos.
6.2 Obligaciones del subprocesador. Cuando MAPSLY autoriza a un Subprocesador como se describe en la Sección 6.1:
(i) MAPSLY limitará el acceso del subprocesador a los datos del cliente solo a lo necesario para proporcionar o mantener los servicios de acuerdo con la documentación, y MAPSLY prohibirá al subprocesador acceder a los datos del cliente con cualquier otro propósito;
(ii) MAPSLY celebrará un acuerdo por escrito con el Subprocesador y, en la medida en que el Subprocesador realice los mismos servicios de procesamiento de datos provistos por MAPSLY bajo este DPA, MAPSLY impondrá al Subprocesador las mismas obligaciones contractuales que MAPSLY tiene bajo este DPA; y
(iii) MAPSLY seguirá siendo responsable del cumplimiento de sus obligaciones en virtud de este DPA y de cualquier acto u omisión del subprocesador que cause a MAPSLY incumplir cualquiera de sus obligaciones bajo este DPA.
7. Asistencia de MAPSLY con Solicitudes de Sujetos de Datos. Teniendo en cuenta la naturaleza del procesamiento, los Controles del Servicio son las medidas técnicas y organizativas mediante las cuales MAPSLY asistirá al Cliente para cumplir con sus obligaciones de responder a las solicitudes de los sujetos de datos conforme a la Ley de Protección de Datos Aplicable. Si un sujeto de datos realiza una solicitud a MAPSLY, MAPSLY reenviará dicha solicitud al Cliente una vez que MAPSLY haya identificado que la solicitud proviene de un sujeto de datos por el cual el Cliente es responsable. El Cliente autoriza en su nombre, y en nombre de sus controladores cuando actúa como Procesador, a MAPSLY para responder a cualquier sujeto de datos que realice una solicitud a MAPSLY, para confirmar que MAPSLY ha reenviado la solicitud al Cliente. Las partes acuerdan que el uso por parte del Cliente de los Controles del Servicio y el reenvío por parte de MAPSLY de las solicitudes de los sujetos de datos al Cliente de conformidad con esta sección representan el alcance y la extensión de la asistencia requerida por el Cliente.
8. Verificación de cumplimiento.
8.1 Auditorías MAPSLY. MAPSLY utiliza auditores externos para verificar la adecuación de sus medidas de seguridad. Esta auditoría: (a) se realizará al menos una vez al año; (b) se realizará según un estándar ampliamente reconocido; (c) será realizada por profesionales de seguridad independientes de terceros seleccionados y pagados por MAPSLY; y (d) resultará en la generación de un informe de auditoría.Informe“), que serán Información Confidencial de MAPSLY.
8.2 Informes de auditoría. A solicitud escrita del Cliente, y siempre que las partes tengan un NDA aplicable en vigor, MAPSLY proporcionará al Cliente una copia del Informe para que el Cliente pueda verificar razonablemente el cumplimiento de MAPSLY con sus obligaciones bajo este DPA.
8.3 Evaluación de Impacto en la Privacidad y Consulta Previa. Teniendo en cuenta la naturaleza del tratamiento y la información disponible para MAPSLY, MAPSLY ayudará al Cliente a cumplir con sus obligaciones en relación con las evaluaciones de impacto en la protección de datos y la consulta previa proporcionando la información que MAPSLY pone a disposición en virtud de esta Sección 8.
9. Transferencias de Datos Personales.
9.1 Ubicaciones. MAPSLY puede transferir y procesar Datos del Cliente dentro de la Red MAPSLY en EE. UU. o en el EEE. MAPSLY no transferirá Datos del Cliente fuera del EEE y EE. UU., salvo que sea necesario para proporcionar los Servicios iniciados por el Cliente, o para cumplir con la ley o una orden válida y vinculante de un organismo gubernamental.
9.2 Aplicación de las Cláusulas Contractuales Estándar. Sujeto a la Sección 9.3, las Cláusulas Contractuales Estándar solo se aplicarán a los Datos del Cliente sujetos al RGPD que se transfieran, ya sea directa o indirectamente, a cualquier Tercer País (cada uno “Transferencia de datos).
9.2.1 Cuando el Cliente actúa como Controlador, las Cláusulas de Controlador a Procesador se aplicarán a una Transferencia de Datos.
9.2.2 Cuando el Cliente actúa como Procesador, las Cláusulas de Procesador a Procesador se aplicarán a una Transferencia de Datos. Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es poco probable que MAPSLY conozca la identidad de los Controladores del Cliente porque MAPSLY no tiene una relación directa con los Controladores del Cliente y, por lo tanto, el Cliente cumplirá con las obligaciones de MAPSLY hacia los Controladores del Cliente en virtud de las Cláusulas de Procesador a Procesador.
9.3 Mecanismo de Transferencia Alternativo. Las Cláusulas Contractuales Tipo no se aplicarán a una Transferencia de Datos si MAPSLY ha adoptado Reglas Corporativas Vinculantes para Procesadores o un estándar de cumplimiento alternativo reconocido para Transferencias de Datos lícitas.
10. Terminación del DPA. Este DPA continuará en vigor hasta la terminación del Acuerdo (el “Fecha de finalización).
11. Eliminación de datos de clientes. Al terminar o Contrato o al expirar, MAPSLY eliminará los Datos del Cliente a petición de este, pero no más tarde de un período de 90 días, excepto y en la medida que MAPSLY esté obligado por la ley aplicable a conservar parte o la totalidad de los Datos del Cliente, los cuales MAPSLY aislará y almacenará de forma segura conforme a los períodos de retención aplicables. MAPSLY protegerá estos Datos de cualquier procesamiento adicional, excepto en la medida exigida por la ley aplicable.
12. Deberes de informar. Cuando los Datos del Cliente estén sujetos a confiscación durante procedimientos de quiebra, insolvencia o medidas similares por terceros mientras se procesan por MAPSLY, MAPSLY informará al Cliente sin demora indebida. MAPSLY notificará, sin demora indebida, a todas las partes relevantes en dicha acción (por ejemplo, acreedores, síndico de quiebra) que cualquier Dato del Cliente sujeto a dichos procedimientos es propiedad y responsabilidad del Cliente y que los Datos del Cliente están bajo la disposición exclusiva del Cliente.
13. Acuerdo completo; Conflicto. Este DPA incorpora las Cláusulas Contractuales Estándar por referencia. Salvo enmendado por este DPA, el Acuerdo permanecerá vigente en su totalidad. Si existe conflicto entre el Acuerdo y este DPA, prevalecerán los términos de este DPA, excepto que los Términos de Servicio prevalecerán sobre este DPA. Nada en este documento varía o modifica las Cláusulas Contractuales Estándar.
14. El uso de datos de usuario en bruto o derivados recibidos de APIs del área de trabajo se adherirá a la Política de Datos de Usuario de Google, incluyendo los requisitos de Uso Limitado