NOTA: Para asegurarnos de que no se nos imponen términos inconsistentes o adicionales más allá de los que se reflejan en nuestro DPA estándar y cláusulas modelo, no podemos aceptar firmar los DPA de los clientes. Como un equipo pequeño, tampoco podemos hacer cambios individuales a nuestro DPA ya que no contamos con un equipo legal. Cualquier cambio al DPA estándar requeriría asesoría legal y muchas discusiones que serían prohibitivas para nuestro equipo.

Este Acuerdo de Procesamiento de Datos de la UE y el Reino Unido ("Acuerdo") complementa los Términos de Servicio (el "Acuerdo") celebrado entre el cliente que firma este Acuerdo ("Cliente") y Logike ("Compañía"). Al ejecutar el Acuerdo de acuerdo con la Sección 11 del presente documento, el Cliente entra en este Acuerdo en nombre de sí mismo y, en la medida en que sea necesario bajo las leyes de protección de datos aplicables (definidas a continuación), en nombre y representación de sus Afiliados (definidos a continuación), si los hubiera. Este Acuerdo incorpora los términos del Acuerdo, y cualquier término no definido en este Acuerdo tendrá el significado establecido en el Acuerdo.

1\. Definiciones

1.1 "Afiliado" significa (i) una entidad de la cual una parte posee directa o indirectamente el cincuenta por ciento (50%) o más de las acciones u otro interés patrimonial, (ii) una entidad que posee al menos el cincuenta por ciento (50%) o más de las acciones u otro interés patrimonial de una parte, o (iii) una entidad que está bajo control común con una parte al tener al menos el cincuenta por ciento (50%) o más de las acciones u otro interés patrimonial de dicha entidad y una parte propiedad de la misma persona, pero tal entidad solo se considerará un Afiliado mientras exista dicha propiedad.

1.2 "Subprocesador Autorizado" significa un tercero que tiene necesidad de conocer o acceder de otra manera a los Datos Personales del Cliente para permitir que la Compañía cumpla con sus obligaciones bajo este Acuerdo o el Acuerdo, y que está (1) listado en el Anexo B o (2) autorizado posteriormente bajo la Sección 4.2 de este Acuerdo.

1.3 "Datos de Cuenta del Cliente" significa datos personales que se relacionan con la relación del Cliente con la Compañía, incluyendo los nombres o la información de contacto de las personas autorizadas por el Cliente para acceder a la cuenta del Cliente e información de facturación de las personas que el Cliente ha asociado con su cuenta. Los Datos de Cuenta del Cliente también incluyen cualquier dato que la Compañía pueda necesitar recopilar con el propósito de gestionar su relación con el Cliente, verificación de identidad, o según lo requieran las leyes y regulaciones aplicables.

1.4 "Datos de Uso del Cliente" significa datos de uso del Servicio recopilados y procesados por la Compañía en relación con la provisión de los Servicios, incluyendo, sin limitación, datos utilizados para identificar la fuente y el destino de una comunicación, registros de actividad y datos utilizados para optimizar y mantener el rendimiento de los Servicios, y para investigar y prevenir abusos del sistema.

1.5 "Exportador de Datos" significa al Cliente.

1.6 "Importador de Datos" significa a la Compañía.

1.7 "Leyes de Protección de Datos" significa cualquier ley y regulación aplicable en cualquier jurisdicción relevante relacionada con el uso o procesamiento de Datos Personales, incluyendo: (i) la Ley de Privacidad del Consumidor de California ("CCPA"), (ii) el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) ("UE GDPR" o "GDPR"), (iii) la Ley Federal Suiza de Protección de Datos, (iv) el UE GDPR en la medida en que forma parte de la legislación de Inglaterra y Gales en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) 2018 (el "UK GDPR"); (v) la Ley de Protección de Datos del Reino Unido de 2018; y (vi) la Regulación de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003; en cada caso, conforme a su actualización, enmienda o reemplazo de vez en cuando. Los términos "Sujetos de Datos", "Datos Personales", "Incidencia de Datos Personales", "procesamiento", "procesador", "controlador" y "autoridad de supervisión" tendrán el significado establecido en el GDPR.

1.8 "SCC de la UE" significa las cláusulas contractuales estándar aprobadas por la Comisión Europea en la Decisión de la Comisión 2021/914 de 4 de junio de 2021, para transferencias de datos personales a países no reconocidos de otro modo como que ofrecen un nivel adecuado de protección para datos personales por la Comisión Europea (tal como se enmiendan y actualizan de vez en cuando).

1.9 "Transferencia ex-EEE" significa la transferencia de Datos Personales, que se procesan de conformidad con el GDPR, del Exportador de Datos al Importador de Datos (o a sus instalaciones) fuera del Espacio Económico Europeo (el "EEE"), y dicha transferencia no está regida por una decisión de adecuación tomada por la Comisión Europea de acuerdo con las disposiciones relevantes del GDPR.

1.10 "Transferencia ex-UK" significa la transferencia de Datos Personales, que se procesan de conformidad con el UK GDPR y la Ley de Protección de Datos de 2018, del Exportador de Datos al Importador de Datos (o a sus instalaciones) fuera del Reino Unido (el "UK"), y dicha transferencia no está regida por una decisión de adecuación tomada por el Secretario de Estado de acuerdo con las disposiciones relevantes del UK GDPR y la Ley de Protección de Datos de 2018.

1.11 "Servicios" tendrá el significado establecido en el Acuerdo.

1.12 "Cláusulas Contractuales Estándar" significa las SCC de la UE y las SCC del Reino Unido.

1.13 "SCC del Reino Unido" significa las cláusulas contractuales estándar aprobadas por la Comisión Europea para transferencias de datos personales a países no reconocidos de otro modo como que ofrecen un nivel adecuado de protección para datos personales por la Comisión Europea, siendo (i) cláusulas controlador-a-procesador aprobadas por la Comisión Europea en la Decisión de la Comisión 2010/87/UE, de 5 de febrero de 2010 (según se enmienda y actualiza de vez en cuando) ("SCC de Controlador a Procesador del Reino Unido"); o (ii) cláusulas controlador-a-controlador aprobadas por la Comisión Europea en la Decisión de la Comisión 2004/915/CE, de 27 de diciembre de 2004 (según se enmienda y actualiza de vez en cuando) ("SCC de Controlador a Controlador del Reino Unido").

2.Relación de las Partes; Procesamiento de Datos

2.1 Las partes reconocen y acuerdan que respecto al procesamiento de Datos Personales, el Cliente puede actuar ya sea como controlador o procesador y, excepto por lo expresamente establecido en este Acuerdo o el Acuerdo, la Compañía es un procesador. El Cliente deberá, en su uso de los Servicios, en todo momento procesar Datos Personales y proporcionar instrucciones para el procesamiento de Datos Personales, en cumplimiento de las Leyes de Protección de Datos. El Cliente deberá asegurarse de que el procesamiento de Datos Personales de acuerdo con las instrucciones del Cliente no causará que la Compañía incurra en incumplimiento de las Leyes de Protección de Datos. El Cliente es el único responsable de la precisión, calidad y legalidad de (i) los Datos Personales proporcionados a la Compañía por o en nombre del Cliente, (ii) los medios por los cuales el Cliente adquirió dichos Datos Personales, y (iii) las instrucciones que proporciona a la Compañía con respecto al procesamiento de tales Datos Personales. El Cliente no deberá proporcionar o poner a disposición de la Compañía ningún Datos Personales en violación del Acuerdo o de otra manera inapropiado para la naturaleza de los Servicios, y deberá indemnizar a la Compañía de todas las reclamaciones y pérdidas en relación con ello.

2.2 La Compañía no deberá procesar Datos Personales (i) para fines diferentes de los establecidos en el Acuerdo y/o el Anexo A, (ii) de una manera inconsistente con los términos y condiciones establecidos en este Acuerdo o cualquier otra instrucción documentada proporcionada por el Cliente, incluyendo en lo que respecta a transferencias de datos personales a un tercer país o a una organización internacional, a menos que esté obligada a hacerlo por una Autoridad de Supervisión a la que la Compañía esté sujeta; en tal caso, la Compañía informará al Cliente de dicha obligación legal antes del procesamiento, a menos que esa ley prohíba dicha información por razones de interés público, o (iii) en violación de las Leyes de Protección de Datos. El Cliente por la presente instruye a la Compañía a procesar Datos Personales de acuerdo con lo anterior y como parte de cualquier procesamiento iniciado por el Cliente en su uso de los Servicios. Estas instrucciones siempre deberán ser documentadas.

2.3 El objeto, la naturaleza, el propósito y la duración de este procesamiento, así como los tipos de Datos Personales recopilados y las categorías de Sujetos de Datos, están descritos en el Anexo A de este Acuerdo.

2.4 Tras la finalización de los Servicios, a elección del Cliente, la Compañía deberá devolver o eliminar los Datos Personales del Cliente, a menos que un almacenamiento adicional de dichos Datos Personales sea necesario o esté autorizado por la ley aplicable. Si la devolución o destrucción es impracticable o está prohibida por ley, norma o regulación, la Compañía deberá tomar medidas para bloquear dichos Datos Personales de cualquier procesamiento adicional (excepto en la medida necesaria para su alojamiento o procesamiento requerido por ley, norma o regulación) y deberá seguir protegiendo adecuadamente los Datos Personales que permanecen en su posesión, custodia o control. Si el Cliente y la Compañía han celebrado Cláusulas Contractuales Estándar como se describe en la Sección 6 (Transferencias de Datos Personales), las partes acuerdan que la certificación de eliminación de Datos Personales que se describe en la Cláusula 12(1) de las SCC del Reino Unido y en la Cláusula 8.1(d) y en la Cláusula 8.5 de las SCC de la UE (según corresponda) será proporcionada por la Compañía al Cliente solo a solicitud del Cliente.

2.5 CCPA. Excepto en lo que respecta a los Datos de Cuenta del Cliente y los Datos de Uso del Cliente, las partes reconocen y acuerdan que la Compañía es un proveedor de servicios a los efectos de la CCPA (en la medida en que aplique) y está recibiendo información personal del Cliente con el fin de proporcionar los Servicios de acuerdo con el Acuerdo, lo que constituye un propósito comercial. La Compañía no venderá ninguna información personal. La Compañía no retendrá, utilizará ni divulgará ninguna información personal proporcionada por el Cliente de conformidad con el Acuerdo, excepto en la medida necesaria para el propósito específico de desempeñar los Servicios para el Cliente de acuerdo con el Acuerdo, o de otra manera según lo establecido en el Acuerdo o según lo permitido por la CCPA. Los términos "información personal", "proveedor de servicios", "venta" y "vender" se definen como en la Sección 1798.140 de la CCPA. La Compañía certifica que comprende las restricciones de esta Sección 2.5.

Confidencialidad

La Compañía deberá asegurar que cualquier persona que autorice a procesar Datos Personales haya acordado proteger los Datos Personales de acuerdo con las obligaciones de confidencialidad de la Compañía en el Acuerdo. El Cliente acuerda que la Compañía puede divulgar Datos Personales a sus asesores, auditores u otros terceros según sea razonablemente necesario en relación con el cumplimiento de sus obligaciones bajo este Acuerdo, el Acuerdo, o la provisión de Servicios al Cliente.

Subprocesadores Autorizados

4.1 El Cliente reconoce y acuerda que la Compañía puede (1) involucrar a sus afiliados y a los Subprocesadores Autorizados en la Lista (definida a continuación) para acceder y procesar Datos Personales en relación con los Servicios y (2) de vez en cuando contratar a terceros adicionales con el propósito de proporcionar los Servicios, incluyendo, sin limitación, el procesamiento de Datos Personales. Por la presente, el Cliente proporciona autorización escrita general a la Compañía para contratar subprocesadores según sea necesario para realizar los Servicios.

4.2. Una lista de los Subprocesadores Autorizados actuales de la Compañía (la "Lista") estará disponible para el Cliente (Anexo D). Tal Lista puede ser actualizada por la Compañía de vez en cuando. El Cliente reconoce que ciertos subprocesadores son esenciales para proporcionar los Servicios y que objetar el uso de un subprocesador puede impedir que la Compañía ofrezca los Servicios al Cliente.

4.3. Si el Cliente objeta razonablemente a una contratación de acuerdo con la Sección 4.2, y la Compañía no puede proporcionar una alternativa comercialmente razonable dentro de un período de tiempo razonable, el Cliente puede interrumpir el uso del Servicio afectado proporcionando un aviso por escrito a la Compañía. La interrupción no liberará al Cliente de ninguna tarifa adeudada a la Compañía bajo el Acuerdo.

4.4. Si el Cliente no objeta la contratación de un tercero de acuerdo con la Sección 4.2 dentro de diez (10) días después del cambio por parte de la Compañía, ese tercero se considerará un Subprocesador Autorizado a los efectos de este Acuerdo.

4.5 La Compañía celebrará un acuerdo por escrito con el Subprocesador Autorizado imponiendo al Subprocesador Autorizado obligaciones de protección de datos comparables a las impuestas a la Compañía bajo este Acuerdo con respecto a la protección de Datos Personales. En caso de que un Subprocesador Autorizado no cumpla con sus obligaciones de protección de datos bajo dicho acuerdo escrito con la Compañía, la Compañía seguirá siendo responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador Autorizado bajo dicho acuerdo.

4.6 Si el Cliente y la Compañía han celebrado Cláusulas Contractuales Estándar como se describe en la Sección 6 (Transferencias de Datos Personales), (i) las autorizaciones anteriores constituirán el consentimiento escrito previo del Cliente para la subcontratación por parte de la Compañía del procesamiento de Datos Personales si dicho consentimiento es requerido bajo las Cláusulas Contractuales Estándar, y (ii) las partes acuerdan que las copias de los acuerdos con Subprocesadores Autorizados que deben ser proporcionadas por la Compañía al Cliente de conformidad con la Cláusula 5(j) de las SCC del Reino Unido o la Cláusula 9(c) de las SCC de la UE pueden tener información comercial, o información no relacionada con las Cláusulas Contractuales Estándar o su equivalente, eliminadas por la Compañía con anterioridad, y que tales copias serán proporcionadas por la Compañía solo a solicitud del Cliente.

4.7 La Compañía acordará una cláusula a favor de un tercero con el Subprocesador Autorizado por la cual, en caso de que la Compañía haya desaparecido en la práctica, dejado de existir en la ley o se haya vuelto insolvente, el Cliente tendrá el derecho a rescindir el contrato con el Subprocesador Autorizado e instruir al Subprocesador Autorizado a borrar o devolver los datos personales.

5.Seguridad de los Datos Personales.

Tomando en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de variaciones en la probabilidad y gravedad para los derechos y libertades de las personas naturales, la Compañía deberá mantener medidas técnicas y organizativas apropiadas para asegurar un nivel de seguridad adecuado al riesgo de procesamiento de Datos Personales. Esto incluye la protección de los datos contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los datos (incidencia de Datos Personales). Al evaluar el nivel de seguridad apropiado, las Partes deberán tener debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los propósitos del procesamiento, y los riesgos involucrados para los sujetos de datos. El Anexo B establece información adicional sobre las medidas de seguridad técnicas y organizativas de la Compañía.

Transferencias de Datos Personales

 6.1 Las partes acuerdan que la Compañía puede transferir Datos Personales procesados bajo este Acuerdo fuera del EEE, el Reino Unido o Suiza según sea necesario para proporcionar los Servicios. El Cliente reconoce que las operaciones de procesamiento primarias de la Compañía tienen lugar en los Estados Unidos y que la transferencia de los Datos Personales del Cliente a los Estados Unidos es necesaria para la provisión de los Servicios al Cliente. Si la Compañía transfiere Datos Personales protegidos bajo este Acuerdo a una jurisdicción para la cual la Comisión Europea no ha emitido una decisión de adecuación, la Compañía garantizará que se han implementado salvaguardias adecuadas para la transferencia de Datos Personales de acuerdo con las Leyes de Protección de Datos.

6.2 Transferencias Ex-EEE. Las partes acuerdan que las Transferencias ex-EEE se realizan de conformidad con las SCC de la UE, que se consideran celebradas (y incorporadas en este Acuerdo por esta referencia) y completadas de la siguiente manera:

6.2.1 El Módulo Uno (Controlador a Controlador) de las SCC de la UE se aplica cuando la Compañía está procesando Datos Personales como controlador de acuerdo con la Sección 9 de este Acuerdo.

6.2.2 El Módulo Dos (Controlador a Procesador) de las SCC de la UE se aplica cuando el Cliente es un controlador y la Compañía está procesando Datos Personales para el Cliente como un procesador de acuerdo con la Sección 2 de este Acuerdo.

6.2.3 El Módulo Tres (Procesador a Subprocesador) de las SCC de la UE se aplica cuando el Cliente es un procesador y la Compañía está procesando Datos Personales en nombre del Cliente como un subprocesador.

6.3 Para cada módulo, donde sea aplicable lo siguiente se aplica:

6.3.1 La cláusula de acoplamiento opcional en la Cláusula 7 no se aplica.

6.3.2 En la Cláusula 9, se aplica la Opción 2 (autorización escrita general), y el período mínimo de aviso previo para cambios de subprocesador será el establecido en la Sección 4.2 de este Acuerdo;

6.3.3 En la Cláusula 11, el lenguaje opcional no se aplica;

6.3.4 Se eliminan todos los corchetes en la Cláusula 13. Las disposiciones aplicables serán aquellas correspondientes a la situación del exportador de datos descrita en los corchetes;

6.3.5 En la Cláusula 17 (Opción 1), las SCC de la UE estarán regidas por la ley francesa;

6.3.6 En la Cláusula 18(b), las disputas se resolverán ante los tribunales de Francia;

6.3.7 El Anexo B de este Acuerdo contiene la información requerida en el Anexo I de las SCC de la UE;

6.3.8 El Anexo C de este Acuerdo contiene la información requerida en el Anexo II de las SCC de la UE; y

6.3.9 Al celebrar este Acuerdo, las partes se considerarán haber firmado las SCC de la UE incorporadas en el presente documento, incluyendo sus Anexos.

6.4 Transferencias Ex-UK. Las partes acuerdan que las Transferencias Ex-UK se realizan de conformidad con las SCC del Reino Unido, que se consideran celebradas e incorporadas en este Acuerdo por referencia, y completadas de la siguiente manera:

6.4.1 Las referencias al GDPR se considerarán referencias al UK GDPR y a la Ley de Protección de Datos del Reino Unido de 2018, las referencias a "autoridades de supervisión" se considerarán referencias al Comisionado de Información del Reino Unido, y las referencias a "Estado(s) Miembro(s)" o la UE se considerarán referencias al Reino Unido.

6.4.2 Las SCC de Controlador a Procesador del Reino Unido se aplican cuando la Compañía procesa los Datos Personales del Cliente como un procesador. La cláusula de indemnización ilustrativa no se aplica. En la Cláusula 4(f) se elimina el lenguaje" protección adecuada en el sentido de la Directiva 95/46/CE " y se reemplaza con "un nivel de protección de datos que se considera adecuado bajo, o equivalente a, la ley de protección de datos aplicable." La Cláusula 9, Ley Aplicable, dirá "Las Cláusulas estarán bajo la ley del Estado Miembro en el cual el exportador de datos está establecido, pero sin perjuicio de los derechos y libertades que los sujetos de datos pueden disfrutar bajo sus leyes nacionales de protección de datos." En la Cláusula 11(3), el lenguaje ", a saber..." al final de la oración se elimina por la presente. El Anexo B de este Acuerdo sirve como Anexo I de las SCC de Controlador a Procesador del Reino Unido. El Anexo C de este Acuerdo sirve como Anexo II de las SCC de Controlador a Procesador del Reino Unido.

6.4.3 Las SCC de Controlador a Controlador del Reino Unido se aplican cuando la Compañía procesa los Datos Personales del Cliente como un controlador de acuerdo con la Sección 9 de este Acuerdo. La Cláusula II(h) de las SCC de Controlador a Controlador del Reino Unido se considerará que establece que la Compañía procesará los Datos Personales de conformidad con los principios de procesamiento de datos establecidos en el Anexo A de las SCC de Controlador a Controlador del Reino Unido. La cláusula comercial ilustrativa no se aplica. La Cláusula IV (Ley Aplicable) dirá "Las Cláusulas estarán bajo la ley del Estado Miembro en el cual el exportador de datos está establecido, pero sin perjuicio de los derechos y libertades que los sujetos de datos pueden disfrutar bajo sus leyes nacionales de protección de datos." El Anexo B de este Acuerdo sirve como Anexo B de las SCC de Controlador a Controlador del Reino Unido.

6.4.4 Las partes reconocen y acuerdan que si alguna de las SCC del Reino Unido son reemplazadas o superadas por nuevas cláusulas contractuales estándar emitidas y aprobadas de conformidad con el Artículo 46 del UK GDPR y disposiciones relacionadas de la Ley de Protección de Datos del Reino Unido de 2018 ("Nuevas SCC del Reino Unido"), el Importador de Datos puede notificar al Exportador de Datos y, con efecto a partir de la fecha establecida en dicha notificación, la aplicación de las SCC del Reino Unido establecidas en este Acuerdo se modificará para que las SCC del Reino Unido dejen de aplicar a las Transferencias Ex-UK, y las Nuevas SCC del Reino Unido especificadas en dicha notificación aplicarán en adelante. En la medida en que el uso de las Nuevas SCC del Reino Unido requiera que las partes completen información adicional, las partes deberán trabajar simultáneamente y de manera razonable para completar dicha información adicional.

6.5 Transferencias de Suiza. Las partes acuerdan que las transferencias de Suiza se realizan de conformidad con las SCC de la UE con las siguientes modificaciones:

6.5.1 Los términos "Reglamento General de Protección de Datos" o "Reglamento (UE) 2016/679" según se utiliza en las SCC de la UE se interpretarán para incluir la Ley Federal sobre Protección de Datos de 19 de junio de 1992 (la "FADP," y según se revise a partir del 25 de septiembre de 2020, la "FADP Revisada") con respecto a las transferencias de datos sujetas a la FADP.

6.5.2 Los términos de las SCC de la UE se interpretarán para proteger los datos de entidades legales hasta la fecha de entrada en vigor de la FADP Revisada.

6.5.3 La Cláusula 13 de las SCC de la UE se modifica para proporcionar que el Comisionado Federal de Protección de Datos e Información ("FDPIC") de Suiza tendrá autoridad sobre las transferencias de datos reguladas por la FADP y la autoridad supervisora adecuada de la UE tendrá autoridad sobre las transferencias de datos reguladas por el GDPR. Sujeto a lo anterior, se deberán observar todos los demás requisitos de la Sección 13.

6.5.4 El término "Estado Miembro de la UE" según se utiliza en las SCC de la UE no se interpretará de manera que excluya a los Sujetos de Datos en Suiza de ejercer sus derechos en su lugar de residencia habitual de acuerdo con la Cláusula 18(c) de las SCC de la UE.

6.6 Medidas Suplementarias. En lo que respecta a cualquier Transferencia ex-EEE o Transferencia ex-UK, se aplicarán las siguientes medidas suplementarias:

6.6.1 A partir de la fecha de este Acuerdo, el Importador de Datos no ha recibido ninguna solicitud legal formal de parte de ninguna agencia de inteligencia o de seguridad del gobierno del país al que se exportan los Datos Personales, para acceder a (o para copias de) los Datos Personales del Cliente ("Solicitudes de Agencias Gubernamentales");

6.6.2 Si, después de la fecha de este Acuerdo, el Importador de Datos recibe alguna Solicitud de Agencia Gubernamental, la Compañía intentará redirigir la agencia de aplicación de la ley o agencia gubernamental para solicitar que los datos directamente al Cliente. Como parte de este esfuerzo, la Compañía puede proporcionar la información de contacto básica del Cliente a la agencia gubernamental. Si se ve obligada a divulgar los Datos Personales del Cliente ante una agencia de aplicación de la ley o agencia gubernamental, la Compañía dará al Cliente un aviso razonable de la demanda y colaborará para permitir que el Cliente busque una orden de protección u otro remedio apropiado, a menos que la Compañía esté legalmente prohibida de hacerlo. La Compañía no divulgará voluntariamente Datos Personales a ninguna agencia de aplicación de la ley o agencia gubernamental. El Exportador de Datos y el Importador de Datos deberán (tan pronto como sea razonablemente posible) discutir y determinar si todas o cualquiera de las transferencias de Datos Personales de conformidad con este Acuerdo deberían suspenderse a la luz de tales Solicitudes de Agencia Gubernamental; y

6.6.3 El Exportador de Datos y el Importador de Datos se reunirán según sea necesario para considerar si:

(i) la protección otorgada por las leyes del país del Importador de Datos a los sujetos de datos cuyos Datos Personales se están transfiriendo es suficiente para proporcionar una protección equivalente en general a la que se ofrece en el EEE o el Reino Unido, según corresponda;

(ii) se requieren medidas adicionales razonablemente necesarias para que la transferencia sea compatible con las Leyes de Protección de Datos; y

(iii) sigue siendo apropiado transferir Datos Personales al Importador de Datos relevante, teniendo en cuenta toda la información relevante disponible para las partes, junto con la orientación proporcionada por las autoridades de supervisión.

6.6.4 Si las Leyes de Protección de Datos requieren que el Exportador de Datos firme las Cláusulas Contractuales Estándar aplicables a una transferencia particular de Datos Personales a un Importador de Datos como un acuerdo separado, el Importador de Datos deberá, a solicitud del Exportador de Datos, firmar prontamente dichas Cláusulas Contractuales Estándar incorporando las enmiendas que el Exportador de Datos pueda requerir razonablemente para reflejar los anexos y apéndices aplicables, los detalles de la transferencia y los requisitos de las Leyes de Protección de Datos aplicables.

6.6.5 Si (i) cualquiera de los medios de legitimación de las transferencias de Datos Personales fuera del EEE o del Reino Unido establecidos en este Acuerdo deja de ser válido o (ii) cualquier autoridad de supervisión exige que las transferencias de Datos Personales de conformidad con esos medios se suspendan, entonces el Importador de Datos puede notificar al Exportador de Datos, con efecto a partir de la fecha establecida en dicho aviso, enmiendar o poner en marcha arreglos alternativos respecto de tales transferencias, según lo requieran las Leyes de Protección de Datos. 

7.Derechos de los Sujetos de Datos

7.1 La Compañía deberá, en la medida permitida por la ley, notificar al Cliente al recibir una solicitud por parte de un Sujeto de Datos para ejercer el derecho del Sujeto de Datos de: acceso, rectificación, eliminación, portabilidad de datos, restricción o cese del procesamiento, retirada del consentimiento al procesamiento, y/o objeción a estar sujeto a un procesamiento que constituye la toma de decisiones automatizada (tales solicitudes individualmente y colectivamente "Solicitud(es) de Sujeto de Datos"). Si la Compañía recibe una Solicitud de Sujeto de Datos en relación con los datos del Cliente, la Compañía aconsejará al Sujeto de Datos que presente su solicitud al Cliente y el Cliente será responsable de responder a dicha solicitud, incluyendo, cuando sea necesario, utilizando la funcionalidad de los Servicios. El Cliente es el único responsable de garantizar que las Solicitudes de Sinfo de Datos para la eliminación, restricción o cese del procesamiento, o retirada del consentimiento para el procesamiento de cualquier Datos Personales se comuniquen a la Compañía y, si corresponde, de garantizar que se mantenga un registro de consentimiento para el procesamiento con respecto a cada Sujeto de Datos.

7.2 La Compañía deberá, a solicitud del Cliente, y tomando en cuenta la naturaleza del procesamiento aplicable a cualquier Solicitud de Sujeto de Datos, aplicar medidas técnicas y organizativas apropiadas para ayudar al Cliente a cumplir con su obligación de responder a dicha Solicitud de Sujeto de Datos y/o en demostrar dicho cumplimiento, cuando sea posible, siempre que (i) el Cliente no pueda responder sin la asistencia de la Compañía y (ii) la Compañía pueda hacerlo de conformidad con todas las leyes, normas y regulaciones aplicables. El Cliente será responsable en la medida permitida legalmente de cualquier costo y gasto que surja de cualquier asistencia de la Compañía.

8.Acciones y Solicitudes de Acceso; Auditorías

8.1 La Compañía deberá, tomando en cuenta la naturaleza del procesamiento y la información disponible para la Compañía, proporcionar al Cliente cooperación y asistencia razonables cuando sea necesario para que el Cliente cumpla con sus obligaciones bajo el GDPR para llevar a cabo una evaluación de impacto sobre la protección de datos y/o demostrar dicho cumplimiento. El Cliente será responsable en la medida permitida legalmente de cualquier costo y gasto que surja de dicha asistencia por parte de la Compañía.

8.2 La Compañía deberá, tomando en cuenta la naturaleza del procesamiento y la información disponible para la Compañía, proporcionar al Cliente cooperación y asistencia razonables con respecto a la cooperación del Cliente y/o la consulta previa con cualquier Autoridad de Supervisión, cuando sea necesario y donde sea requerido por el GDPR. El Cliente será responsable en la medida permitida legalmente de cualquier costo y gasto que surja de dicha asistencia por parte de la Compañía.

8.3 La Compañía deberá mantener registros suficientes para demostrar su cumplimiento con sus obligaciones bajo este Acuerdo, y conservar dichos registros por un período de cinco (5) años después de la terminación del Acuerdo. El Cliente, con un aviso razonable a la Compañía, tendrá el derecho de revisar, auditar y copiar dichos registros en las oficinas de la Compañía durante el horario comercial habitual.

8.4 A solicitud por escrito del Cliente a intervalos razonables, y sujeta a controles de confidencialidad razonables, la Compañía deberá, ya sea (i) poner a disposición para revisión del Cliente copias de certificaciones o informes que demuestren el cumplimiento de la Compañía con los estándares de seguridad de datos prevalecientes aplicables al procesamiento de los Datos Personales del Cliente, o (ii) si la provisión de informes o certificaciones de conformidad con (i) no es razonablemente suficiente bajo las Leyes de Protección de Datos, permitir que el representante independiente de terceros del Cliente realice una auditoría o inspección de la infraestructura y procedimientos de seguridad de datos de la Compañía que sea suficiente para demostrar el cumplimiento de la Compañía con sus obligaciones bajo las Leyes de Protección de Datos, siempre que (a) el Cliente proporcione un aviso por escrito razonable de cualquier solicitud de auditoría y dicha inspección no interrumpa de manera irrazonable los negocios de la Compañía; (b) dicha auditoría se realice solo durante el horario laboral y no ocurra más de una vez al año calendario; y (c) dicha auditoría se limite a datos relevantes para el Cliente. El Cliente será responsable de los costos de cualquier auditoría o inspección, incluidos, sin limitación, un reembolso a la Compañía por cualquier tiempo dedicado a auditorías in situ. Si el Cliente y la Compañía han celebrado Cláusulas Contractuales Estándar como se describe en la Sección 6 (Transferencias de Datos Personales), las partes acuerdan que las auditorías descritas en la Cláusula 5(f) y la Cláusula 12(2) de las SCC del Reino Unido y la Cláusula 8.9 de las SCC de la UE se llevarán a cabo de acuerdo con esta Sección 8.4.

8.5 La Compañía deberá notificar de inmediato al Cliente si una instrucción, en opinión de la Compañía, infringe las Leyes de Protección de Datos o la Autoridad de Supervisión. Las partes deberán poner la información mencionada en el Artículo 8, incluyendo los resultados de cualquier auditoría, a disposición de la Autoridad de Supervisión a solicitud.

8.6 En caso de una Incidencia de Datos Personales, la Compañía deberá, sin demora indebida y no más tarde de 72 horas después de haber tomado conocimiento de la misma, informar al Cliente de la Incidencia de Datos Personales y tomar las medidas que la Compañía, a su exclusivo criterio, considere necesarias y razonables para remediar dicha violación (en la medida en que la remediación esté dentro del control razonable de la Compañía). En particular, la notificación deberá al menos:

(i) describir la naturaleza de la violación de datos personales incluyendo, donde sea posible, las categorías y número aproximado de sujetos de datos afectados y las categorías y número aproximado de registros de datos personales afectados;

(ii) comunicar el nombre y los datos de contacto del responsable de protección de datos u otro punto de contacto donde se pueda obtener más información;

(iii) describir las posibles consecuencias de la violación de datos personales; describir las medidas tomadas o que se proponen ser tomadas por el controlador para abordar la violación de datos personales, incluyendo, cuando sea apropiado, medidas para mitigar sus posibles efectos adversos.

Donde, y en la medida en que, no sea posible proporcionar la información al mismo tiempo, la información puede proporcionarse en fases sin más demora indebida.

8.7 En caso de una Incidencia de Datos Personales, la Compañía deberá, tomando en cuenta la naturaleza del procesamiento y la información disponible para la Compañía, proporcionar al Cliente la cooperación y asistencia razonables necesarias para que el Cliente cumpla con sus obligaciones bajo el GDPR con respecto a notificar (i) a la Autoridad de Supervisión relevante y (ii) a los Sujetos de Datos afectados por dicha Incidencia de Datos Personales sin demora indebida.

8.8 Las obligaciones descritas en las Secciones 8.5 y 8.6 no se aplicarán en caso de que una Incidencia de Datos Personales resulte de las acciones u omisiones del Cliente. La obligación de la Compañía de informar o responder a una Incidencia de Datos Personales bajo las Secciones 8.5 y 8.6 no se interpretará como un reconocimiento por parte de la Compañía de ninguna falta o responsabilidad con respecto a la Incidencia de Datos Personales.

9\. Rol de la Compañía como Controlador

Las partes reconocen y acuerdan que respecto a los Datos de Cuenta del Cliente y Datos de Uso del Cliente, la Compañía es un controlador independiente, no un controlador conjunto con el Cliente. La Compañía procesará los Datos de Cuenta del Cliente y Datos de Uso del Cliente como un controlador (i) para gestionar la relación con el Cliente; (ii) para llevar a cabo las operaciones comerciales centrales de la Compañía, tales como contabilidad, auditorías, preparación y presentación de impuestos y propósitos de cumplimiento; (iii) para monitorear, investigar, prevenir y detectar fraudes, incidentes de seguridad y otros abusos de los Servicios, y para prevenir daños al Cliente; (iv) para propósitos de verificación de identidad; (v) para cumplir con las obligaciones legales o regulatorias aplicables al procesamiento y retención de Datos Personales a los que la Compañía esté sujeta; y (vi) según lo permitido de otra manera bajo las Leyes de Protección de Datos y de acuerdo con este Acuerdo y el Acuerdo. La Compañía también puede procesar Datos de Uso del Cliente como un controlador para proporcionar, optimizar y mantener los Servicios, en la medida permitida por las Leyes de Protección de Datos. Cualquier procesamiento por parte de la Compañía como controlador se llevará a cabo de acuerdo con la política de privacidad de la Compañía establecida en [https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy).

10.Conflicto

En caso de cualquier conflicto o inconsistencia entre los siguientes documentos, el orden de prelación será: (1) los términos aplicables en las Cláusulas Contractuales Estándar; (2) los términos de este Acuerdo; (3) el Acuerdo; y (4) la política de privacidad de la Compañía. Cualquier reclamación presentada en conexión con este Acuerdo estará sujeta a los términos y condiciones, incluidas, entre otros, las exclusiones y limitaciones establecidas en el Acuerdo.

11.No cumplimiento con el Acuerdo y terminación.

(a) Sin perjuicio de cualquier disposición del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725, en el caso de que la Compañía incumpla sus obligaciones bajo el presente Acuerdo, el Cliente podrá instruir a la Compañía a suspender el procesamiento de datos personales hasta que esta cumpla con este Acuerdo o el contrato sea rescindido. La Compañía informará de inmediato al Cliente en caso de que no pueda cumplir con este Acuerdo, por cualquier motivo.

(b) El Cliente tendrá derecho a rescindir el contrato en la medida en que se refiere al procesamiento de datos personales de acuerdo con este Acuerdo si: (1) el procesamiento de datos personales por parte de la Compañía ha sido suspendido por el Cliente de conformidad con el punto (a) y si el cumplimiento de este Acuerdo no se restablece dentro de un período razonable y en cualquier caso dentro de un mes después de la suspensión; (2) la Compañía está en incumplimiento sustancial o persistente de este Acuerdo o sus obligaciones bajo el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725; (3) la Compañía no cumple con una decisión vinculante de un tribunal competente o de las Autoridades de Supervisión competentes con respecto a sus obligaciones bajo este Acuerdo o bajo el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.

(c) La Compañía tendrá derecho a rescindir el contrato en la medida en que se refiere al procesamiento de datos personales bajo este Acuerdo cuando, después de haber informado al Cliente que sus instrucciones infringen los requisitos legales aplicables, el Cliente insiste en el cumplimiento de las instrucciones.

(d) Tras la terminación del contrato, la Compañía deberá, a elección del Cliente, eliminar todos los datos personales procesados en nombre del Cliente y certificar al Cliente que ha hecho esto, o devolver todos los datos personales al Cliente y eliminar copias existentes a menos que la ley de la Unión o del Estado Miembro exija el almacenamiento de los datos personales. Hasta que los datos sean eliminados o devueltos, la Compañía deberá continuar asegurando el cumplimiento de este Acuerdo.

Anexo A

---------

Detalles del Procesamiento

Naturaleza y Propósito del Procesamiento

La Compañía procesará los Datos Personales del Cliente según sea necesario para proporcionar los Servicios bajo el Acuerdo, para los propósitos especificados en el Acuerdo y en este Acuerdo, y de acuerdo con las instrucciones del Cliente como se establece en este Acuerdo.

Duración del Procesamiento

La Compañía procesará los Datos Personales del Cliente mientras sea necesario (i) para proporcionar los Servicios al Cliente bajo el Acuerdo; (ii) para las necesidades comerciales legítimas de la Compañía; o (iii) por ley o regulación aplicable. Los Datos de Cuenta del Cliente y los Datos de Uso del Cliente serán procesados y almacenados como se establece en la política de privacidad de la Compañía.

Categorías de Sujetos de Datos

Empleados, consultores, contratistas y/o agentes del Cliente.

Categorías de Datos Personales

La Compañía procesa Datos Personales contenidos en los Datos de Cuenta del Cliente, Datos de Uso del Cliente, y cualesquiera Datos Personales proporcionados por el Cliente o recopilados por la Compañía con el fin de proporcionar los Servicios o según lo establecido en el Acuerdo o este Acuerdo. Las categorías de Datos Personales incluyen nombre, correo electrónico, título del puesto, nombre de usuario, identificadores de dispositivos de la Compañía (por ejemplo, número de serie), dirección IP para el dispositivo de la compañía.

Datos Sensibles o Categorías Especiales de Datos

Se prohíbe a los Clientes proporcionar datos personales sensibles o categorías especiales de datos a la Compañía, incluyendo cualquier dato que revele la historia criminal de cualquier persona.

Anexo B

Lo siguiente incluye la información requerida por el Anexo I y el Anexo III de las SCC de la UE, y el Apéndice 1 de las SCC del Reino Unido.

1.Las Partes

Exportador(es) de datos

Nombre: La parte en los Términos de Servicio con Logike o su Afiliado (según corresponda).

Dirección: La dirección del Exportador de Datos.

Nombre de la persona de contacto, puesto y datos de contacto: El nombre, puesto y datos de contacto proporcionados por el Exportador de Datos.

Actividades relevantes para los datos transferidos bajo estas Cláusulas: Como se describe en la Sección 2 del Acuerdo.

Firma y fecha: Al utilizar los Servicios para transferir Datos Personales al Importador de Datos, se considerará que el Exportador de Datos ha firmado este Anexo B.

Rol (controlador/procesador): Controlador

Importador(es) de datos:

Nombre: Logike

Dirección: 128 rue de la Boétie, 75008 París, FRANCIA

Email: contact@breakcold.com

Actividades relevantes para los datos transferidos bajo estas Cláusulas: Como se describe en la Sección 2 del Acuerdo.

Firma y fecha: Se considerará que el importador de datos ha firmado este Anexo B en la transferencia de Datos Personales por parte del Exportador de Datos en relación con los Servicios.

Rol (controlador/procesador): Procesador

2.Descripción de la Transferencia

Sujetos de Datos

El exportador de datos puede enviar datos personales al importador de datos a través de su software, servicios, sistemas, productos y/o tecnologías, la extensión de los cuales está determinada y controlada por el exportador de datos en cumplimiento de las leyes y regulaciones de protección de datos aplicables, y que pueden incluir, pero no se limitan a datos personales relacionados con las siguientes categorías de sujetos de datos: empleados, consultores, contratistas y/o agentes del Exportador de Datos.

Categorías de Datos Personales

Los datos personales transferidos conciernen a las siguientes categorías de datos: Cualquier dato personal que esté incluido en todos los datos e información presentados por el Exportador de Datos a los software, servicios, sistemas, productos y/o tecnologías del Importador de Datos, que pueden incluir nombre, información de contacto y datos sobre prácticas de seguridad y cumplimiento.

Datos Personales de Categoría Especial (si corresponde)

Se prohíbe a los Exportadores de Datos proporcionar datos sensibles o categorías especiales al Importador de Datos.

Naturaleza del Procesamiento

Los datos se procesan para que el Cliente gestione su información de seguridad y programas de privacidad de datos y evidencie dichos programas para auditoría de terceros.

Propósitos del Procesamiento

Para cumplir con las obligaciones de cada parte bajo el Acuerdo.

Duración del Procesamiento y Conservación (o los criterios para determinar dicho período)

Durante la vigencia del Acuerdo

Frecuencia de la transferencia | Durante la vigencia del Acuerdo de manera periódica a lo largo del día y/o a discreción del cliente.

Destinatarios de los Datos Personales Transferidos al Importador de Datos

La Compañía mantendrá una lista de Subprocesadores (Anexo D)

3\. Autoridad Supervisora Competente

La autoridad supervisora será la autoridad supervisora del Exportador de Datos, como se determina de conformidad con la Cláusula 13.

Anexo C

---------

Descripción de las Medidas de Seguridad Técnicas y Organizativas implementadas por el Importador de Datos

Lo siguiente incluye la información requerida por el Anexo II de las SCC de la UE y el Apéndice 2 de las SCC del Reino Unido.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento

Los acuerdos de los clientes de la Compañía contienen estrictas obligaciones de confidencialidad. Adicionalmente, la Compañía requiere que cada Subprocesador a montante firme disposiciones de confidencialidad que sean sustancialmente similares a las contenidas en los acuerdos de clientes de Segment.

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a datos personales de manera oportuna en caso de un incidente físico o técnico

Las bases de datos de copia de seguridad se almacenan en una infraestructura separada.. |

Medidas para la identificación y autorización de usuarios

La empresa ha establecido requisitos de contraseña estrictos y verifica que ninguna de las contraseñas utilizadas haya sido filtrada. Los usuarios configuran el inicio de sesión con Google que proporciona funciones de seguridad como la Autenticación multifactor.

Medidas para la protección de datos durante la transmisión

La Compañía ha implementado métodos y protocolos seguros para la transmisión de información confidencial o sensible a través de redes públicas. La Compañía utiliza solo conjuntos de cifrado y protocolos seguros recomendados para cifrar todo el tráfico en tránsito (es decir, TLS 1.2)

Medidas para garantizar la seguridad física de las ubicaciones donde se procesan datos personales

Las medidas de seguridad física incluyen cercas, patrullas de seguridad, cámaras de video, cámaras termográficas, autenticación biométrica, tarjetas de acceso, detectores de metales y más.

Medidas para garantizar el registro de eventos

Todas las solicitudes HTTP se registran. El monitoreo de los registros de seguridad es gestionado por el equipo de ingeniería. Las actividades de registro se investigan cuando sea necesario y se escalan apropiadamente.

Medidas para garantizar la configuración del sistema, incluyendo la configuración predeterminada

Todos los cambios de producción están automatizados a través de herramientas de integración y despliegue continuo para asegurar configuraciones consistentes.

Medidas para garantizar la minimización de datos

Los Clientes de la Compañía determinan unilateralmente qué Información de Identificación Personal (PII) del Cliente dirigen a través de los Servicios. Como tal, la Compañía opera bajo un modelo de responsabilidad compartida. La Compañía da a los Clientes control sobre exactamente qué datos de PII ingresan en la plataforma. Además, la Compañía ha incorporado funcionalidad de autoservicio en los Servicios que permite a los Clientes eliminar y suprimir PII a su discreción.

Medidas para garantizar la calidad de los datos

Todo el software que se utiliza para procesar los datos personales del Cliente pasa por pruebas automatizadas y una revisión manual por pares antes de entrar en producción. Los datos deben cumplir tanto con la estructura del esquema de base de datos como con las validaciones de formato definidas por la aplicación. Hay un canal de QA para los datos más críticos, con alertas apropiadas en caso de que los datos se alteren.

Medidas para garantizar la retención limitada de datos

Los Clientes de la Compañía determinan unilateralmente qué Datos del Cliente dirigen a través de los Servicios. Como tal, la Compañía opera bajo un modelo de responsabilidad compartida. Si un Cliente no puede eliminar los Datos PII del Cliente a través de la funcionalidad de autoservicio de los Servicios, entonces la Compañía elimina los Datos del Cliente a solicitud por escrito del Cliente, dentro del plazo especificado en el Acuerdo de Protección de Datos y de acuerdo con la Ley de Protección de Datos Aplicable.

Medidas para garantizar la responsabilidad

La Compañía ha adoptado medidas para garantizar la responsabilidad, tales como implementar políticas de protección de datos y seguridad de la información en toda la empresa, registrar e informar sobre Incidencias de Seguridad que involucren Datos Personales, y asignar formalmente roles y responsabilidades para funciones de seguridad de la información y privacidad de datos. Además, la Compañía realiza auditorías regulares de terceros para garantizar el cumplimiento de nuestros estándares de privacidad y seguridad.

Medidas para permitir la portabilidad de datos y garantizar la eliminación

Todos los PII en los Servicios pueden ser eliminados por el Cliente o a solicitud de este.

Medidas técnicas y organizativas de los subprocesadores

La Compañía celebra Acuerdos de Procesamiento de Datos con sus Subprocesadores Autorizados con obligaciones de protección de datos sustancialmente similares a las contenidas en este Acuerdo.

Anexo D

---------

Subprocesadores

Logike colabora con entidades de terceros para llevar a cabo actividades limitadas en relación con los Servicios de Logike.

Cuando Logike colabora con proveedores de servicios de terceros en nuestra calidad de procesador de datos para los datos personales de los usuarios de Logike, el Reglamento General de Protección de Datos ("GDPR") denomina a estos proveedores subprocesadores.

Nombre / Datos / Propósito del procesamiento / País

1°) Stripe Inc. / Correos electrónicos de los usuarios de Brekacold, dirección de facturación, información de pago, transacciones, direcciones IP "Proveedor de servicio en la nube " / EE.UU.

2°) AWS / Datos de los usuarios de Breakcold / "Proveedor de servicio en la nube/ Frankfurt

3°) Azure / Datos de los usuarios de Breakcold / "Proveedor de servicio en la nube " / Frankfurt

4°) Fly.io, Inc. / Datos de los usuarios de Breakcold / "Proveedor de servicio en la nube / Frankfurt

5°) Functional Software, Inc. (Sentry)/ Datos de los usuarios de Breakcold/ "Monitoreo del rendimiento de aplicaciones "/ EE.UU.

6°) PostHog, Inc./ Datos de los usuarios de Breakcold / Monitoreo del rendimiento de aplicaciones / Frankfurt

7°) Elasticsearch B.V. / Datos de los usuarios de Breakcold / Proveedor de servicio en la nube / Frankfurt

8°) Cloudflare, Inc. / Datos de los usuarios de Breakcold / Red de entrega de contenido / EE.UU.

9°) SplitBee (Vercel Inc. ) / Datos de los usuarios de Breakcold / Análisis de aplicaciones / EE.UU.

10°) Vercel Inc / Datos de los usuarios de Breakcold / Proveedor de servicio en la nube / EE.UU.

11°) Upstash Inc / Datos de los usuarios de Breakcold / Proveedor de servicio en la nube / EE.UU.

12°) Firebase (Google Cloud Platform, Google LLC) / Datos de los usuarios de Breakcold / Proveedor de servicio en la nube / EE.UU.