Data processing addendum
Resumen
Última actualización: 16/07/2025
Este Anexo de procesamiento de datos ("DPA") complementa y se incorpora a cualquier acuerdo entre Netradyne y una persona o entidad ("Cliente") que rija el uso por parte del Cliente de los Productos y Servicios de Netradyne, ya sea que dicho uso sea (i) de conformidad con un acuerdo directo con Netradyne, (ii) a través de un revendedor o (iii) bajo cualquier otro término de servicio o acuerdo que permita dicho uso (colectivamente, el "Acuerdo")). Cuando el Cliente accede a los Productos y Servicios a través de un revendedor, la aceptación de este DPA por parte del Cliente puede ser a través de medios electrónicos, activación del producto o uso continuado de los Productos y Servicios. Este DPA es un acuerdo entre el Cliente (junto con todas sus Afiliadas que utilizan los Productos y Servicios bajo el Acuerdo) y Netradyne (cada una "Parte" y colectivamente "Partes").
1. Definiciones
En esta Adenda, los siguientes términos tendrán los significados que se exponen a continuación:
1.1. "Datos personales del cliente" significa cualquier dato personal sujeto a las leyes de protección de datos contenidos en los Datos del Cliente que el Cliente proporciona o ha puesto a disposición de Netradyne y que Netradyne los procesa en nombre del Cliente de conformidad con el Acuerdo.
1.2. "Leyes de protección de datos" significa, según corresponda, (i) el Reglamento General de Protección de Datos de la UE (UE 2016/679) (el "RGPD de la UE"), su incorporación a las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Ley (retirada) de la Unión Europea del Reino Unido de 2018 (el "GDPR del Reino Unido"); (ii) la Ley Federal Suiza sobre Protección de Datos ("FADP"); (iii) la Ley Federal Suiza de Protección de Datos ("FADP"); (iii) la Ley Federal Suiza de Protección de Datos ("FADP"); (iii) la Ley Federal Suiza de Protección de Datos ("FADP") estatutos de protección o privacidad, incluidos, entre otros, la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (junto con su regulaciones de aplicación, la "CPRA"); (iv) la Ley belga de protección de datos de 30 de julio de 2018 (la "BDPA") y/o (v) cualquier otra legislación nacional aplicable en el Espacio Económico Europeo o el Reino Unido que complementa el GDPR de la UE o el GDPR del Reino Unido (según corresponda), y/o las leyes de privacidad de datos aplicables, y/o las leyes de protección de datos aplicables en cualquier país; en cada caso, según pueda modificarse, reemplazarse o reemplazarse de vez en cuando.
1.3. "Controlador" significa la entidad que determina los medios y propósitos del procesamiento de Datos Personales.
1.4. "Sujeto de datos" significa la persona que es el sujeto de los datos personales.
1.5. Por "SCC de la UE" se entiende las Cláusulas Contractuales Tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión de la UE, de 4 de junio de 2021, sobre las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
1.6. "Datos personales" significa "datos personales", "información personal" o "información de identificación personal" o cualquier término análogo bajo las Leyes de Protección de Datos, ya que estos términos se definen en las Leyes de Protección de Datos.
1.7. "Violación de datos personales" significa cualquier violación de seguridad que las Leyes de Protección de Datos exijan (i) que Netradyne informe al Cliente o (ii) que el Cliente informe a una Autoridad de Supervisión o personas afectadas, o que mantenga un registro, que involucre Datos Personales sujetos a esta Adenda.
1.8. "Procesamiento" significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o en conjuntos de datos personales.
1.9. "Procesador" significa una entidad que procesa Datos Personales en nombre de un Controlador.
1,10. "Autoridad Supervisora" significa una autoridad gubernamental o reguladora responsable de administrar, supervisar el cumplimiento y/o hacer cumplir las Leyes de Protección de Datos.
1,11. Los términos en mayúscula que no se definan de otro modo en el presente documento tendrán el significado que se les da en el Acuerdo.
2. Aplicación de este DPA
Este DPA se aplica donde y solo en la medida en que Netradyne procese los Datos personales del Cliente en nombre del Cliente como Procesador (o subprocesador) y, con respecto a CPRA, como "proveedor de servicios" o "contratista" en el curso de la prestación de los Productos y Servicios en virtud del Acuerdo.
En el caso y en la medida de cualquier conflicto entre los términos del Acuerdo y este DPA, prevalecerán los términos de este DPA. En caso y en la medida de cualquier conflicto entre los términos de este DPA y los SCC o el Anexo del Reino Unido, prevalecerán los SCC o el Anexo del Reino Unido (según corresponda) en la medida de dicho conflicto. Salvo que se modifique expresamente en el presente documento, los términos del Acuerdo permanecen en pleno vigor y efecto.
3. Funciones y alcance del procesamiento
3.1. Papel de las Partes
Entre las partes, Netradyne actúa como un Procesador (o subprocesador, proveedor de servicios o contratista) de los Datos Personales del Cliente.
3.2. Instrucciones para el cliente
3.2.1. Netradyne procesará los datos personales del cliente según lo establecido específicamente en el Acuerdo, este DPA y/o las instrucciones documentadas del Cliente, o según lo requiera la ley aplicable a la que Netradyne está sujeta (las "Instrucciones para el Cliente"). Si Netradyne está obligado por la ley aplicable a procesar los datos personales del cliente que no sean de acuerdo con las Instrucciones del Cliente, Netradyne informará al Cliente, en la medida en que lo permita la ley aplicable, de ese requisito legal antes de dicho Tratamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.
3.2.2. Netradyne notificará de inmediato al Cliente si, en opinión de Netradyne, las Instrucciones del Cliente violan la ley aplicable o si Netradyne determina que ya no puede cumplir con sus obligaciones en virtud de la ley aplicable. Netradyne tendrá derecho a suspender la ejecución de dicha Instrucción al Cliente.
3.2.3. El Cliente se asegurará de que las Instrucciones del Cliente no pongan a Netradyne en incumplimiento de ninguna ley o reglamento aplicable.
4. Netradyne personal
4.1. Netradyne se asegurará de que sus empleados, agentes, contratistas y otro personal que tenga acceso a los Datos Personales: (a) solo lo hagan en la medida estrictamente necesaria para proporcionar los Servicios; y (b) estén obligados por obligaciones de confidencialidad vinculantes adecuadas que no sean menos protectoras que las establecidas en el Acuerdo.
5. Seguridad
5,1. Netradyne implementará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas diseñadas para salvaguardar los Datos Personales del Cliente. Netradyne implementará las medidas contenidas en el Anexo II. Netradyne puede modificar dichas medidas de vez en cuando, siempre que las modificaciones no disminuyan materialmente la seguridad general de los Datos Personales del Cliente.
6. Subprocesamiento
6.1. Por la presente, el Cliente otorga una autorización general a las filiales de Netradyne, así como a otros terceros enumerados en el Anexo 3, para ser subprocesadores (cada uno un "Subprocesador"). Netradyne puede divulgar los Datos Personales del Cliente a sus Subprocesadores con el fin de proporcionar los Productos y Servicios, siempre que los Subprocesadores de Netradyne se comprometan a cumplir obligaciones vinculantes de protección de datos que no sean menos onerosas que las establecidas en este DPA.
6,2. El Cliente tendrá derecho a oponerse a cualquier cambio de Subprocesadores notificado por Netradyne de vez en cuando dentro de los treinta (30) días naturales posteriores a dicha notificación. Cuando el Cliente no se oponga a dicho cambio dentro de dicho período de tiempo, se considerará que el Cliente ha dado su consentimiento para dicho cambio. Cuando exista una razón materialmente importante para dicha objeción y se proporcione por escrito a Netradyne, y a falta de una resolución amistosa de este asunto por parte de las partes (cada Parte actuando de manera razonable y de buena fe), el Cliente podrá rescindir el (los) Formulario (s) de pedido aplicable (s) en relación únicamente con las características o funcionalidades afectadas de los Productos y Servicios.
6,3. Netradyne seguirá siendo responsable de los actos u omisiones de los Subprocesadores en la misma medida requerida por las Leyes de Protección de Datos como si los actos u omisiones fueran realizados por Netradyne y se le permitirá volver a realizar o procurar el cumplimiento de cualquier obligación. El Cliente reconoce y acepta que dicha reejecución disminuirá cualquier reclamación que el Cliente tenga contra Netradyne con respecto a cualquier responsabilidad del Subprocesador.
7. Solicitudes del sujeto de datos
7,1. Netradyne notificará y asistirá al Cliente si recibe solicitudes de los Sujetos de Datos para ejercer sus derechos (Solicitudes del sujeto de datos), siempre que Netradyne pueda identificar razonablemente a partir de la información proporcionada por los Sujetos de datos que dicha solicitud se relaciona con el Cliente o los Datos Personales del Cliente. Netradyne no responderá a ninguna solicitud de este tipo a menos que así lo exija la ley aplicable. Netradyne puede requerir que el Cliente asuma los costos reales incurridos como resultado de la asistencia proporcionada de acuerdo con esta Sección en función de las tarifas de servicio actualmente aplicables de Netradyne.
7,2. Para evitar dudas, el Cliente es responsable como Controlador de responder a las solicitudes de los sujetos de datos. Los Productos y Servicios de Netradyne incluyen medidas técnicas y organizativas que han sido diseñadas para ayudar al Cliente a responder a las Solicitudes del sujeto de datos.
8. Solicitudes de terceros
Netradyne deberá:
(a) a menos que esté legalmente prohibido hacerlo, notificar de inmediato al Cliente sin demora indebida (y en cualquier caso dentro de las 72 horas) cualquier solicitud de información o queja por parte de una autoridad supervisora, regulador, agencia de aplicación de la ley o agencia de informes crediticios, en relación con los Datos Personales que Netradyne procesa en relación con el Acuerdo; y
(b) si así lo solicita el Cliente, discutir y cooperar en la preparación de cualquier respuesta a dicha solicitud;
(c) no responder a dicha solicitud sin el consentimiento previo por escrito del Cliente, a menos que esté legalmente obligado a hacerlo.
A menos que esté legalmente prohibido hacerlo, Netradyne primero notificará al Cliente antes de realizar cualquier notificación o divulgación a un tercero relacionada con una violación de datos personales y obtener el consentimiento previo por escrito del Cliente.
9. Violación de datos personales
9,1. Netradyne notificará al Cliente sin demora indebida una vez que se dé cuenta de una violación de datos personales que afecte a los datos personales del cliente. Para evitar cualquier duda, una violación de datos personales no incluirá (i) actos u omisiones que no sean directamente atribuibles a Netradyne o sus subprocesadores; o (ii) cualquier acceso o procesamiento de datos personales del cliente que sea consistente con las Instrucciones del Cliente. A petición del Cliente, Netradyne proporcionará asistencia y cooperación razonables para ayudar al Cliente a cumplir con cualquier obligación de notificación aplicable en virtud de las Leyes de Protección de Datos aplicables con respecto a la violación de datos personales. La notificación por parte de Netradyne de, o la respuesta a, una violación de datos personales no se interpretará como un reconocimiento por parte de Netradyne o, si corresponde, sus Subprocesadores de cualquier culpa o responsabilidad con respecto al rendimiento de los Productos y Servicios. Netradyne puede requerir que el Cliente asuma los costos reales incurridos como resultado de la asistencia proporcionada de acuerdo con esta Sección en función de las tarifas de servicio actualmente aplicables de Netradyne.
10. Evaluación de impacto de protección de datos y consulta previa
10,1. A petición del Cliente, Netradyne proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto de protección de datos y consultas previas con las Autoridades Supervisoras requeridas por las Leyes de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales del Cliente por parte de Netradyne en virtud del Acuerdo y teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Netradyne. Netradyne se reserva el derecho de cobrar una tarifa razonable por dicha asistencia solicitada, en la medida permitida por la ley aplicable.
11. Derechos de auditoría
11.1. Previa solicitud por escrito y sin costo adicional para el Cliente, Netradyne proporcionará al Cliente, y/o a su representante externo debidamente calificado (colectivamente, el "Auditor"), acceso a la documentación que acredite el cumplimiento de Netradyne con sus obligaciones en virtud de este DPA en forma de informes de auditorías o certificaciones relevantes, como ISO 27001 o cuestionarios estándar de la industria completados (colectivamente, "Informes"). Dichos Informes serán Información Confidencial de Netradyne bajo las disposiciones de confidencialidad del Acuerdo. El Cliente acepta que los Informes se utilizarán para satisfacer cualquier solicitud de auditoría o inspección realizada por o en nombre del Cliente en relación con las Leyes de Protección de Datos, este DPA y/o Acuerdo.
11.2. Cuando el Auditor sea un tercero, el Auditor puede estar obligado a ejecutar un acuerdo de confidencialidad separado con Netradyne antes de cualquier revisión de Informes o una auditoría de Netradyne. Netradyne podrá objetar por escrito a dicho Auditor, si en opinión razonable de Netradyne, el Auditor no está debidamente calificado o es un competidor de Netradyne. Cualquier objeción de Netradyne requerirá que el Cliente designe a otro Auditor o realice la auditoría por sí mismo. Cualquier gasto en que incurra un Auditor en relación con cualquier revisión de Informes o una auditoría correrá a cargo exclusivamente del Auditor.
11.3. Si un Informe no está disponible, el Cliente puede solicitar, previo aviso por escrito con 30 días de anticipación y hasta una vez por año calendario, que realice una revisión por su cuenta, con un alcance, fechas, duración, auditor y cualquier control de seguridad y/o confidencialidad que se acuerde mutuamente, de las políticas y procedimientos pertinentes de Netradyne que rigen el manejo de los Datos Personales del Cliente por parte de Netradyne en relación con los Productos, con el fin de verificar el cumplimiento de Netradyne con este DPA. Esta revisión se llevará a cabo de manera que no comprometa las obligaciones de confidencialidad de Netradyne con los demás clientes de Netradyne. Las partes reconocen y acuerdan que las políticas y procedimientos de Netradyne y todos los resultados de la revisión del Cliente son Información Confidencial de Netradyne bajo las disposiciones de confidencialidad del Acuerdo.
11.4. En la medida en que lo exijan las Leyes de Protección de Datos, el Cliente tiene derecho, previa notificación por escrito a Netradyne, a tomar las medidas razonables y apropiadas para detener y remediar cualquier uso de los Datos Personales del Cliente que infrinja el Acuerdo.
12. Transferencias de datos
12,1. Netradyne puede transferir los Datos Personales del Cliente a cualquier país o territorio, según sea razonablemente necesario para proporcionar los Productos y Servicios, de acuerdo con este DPA. En la medida en que dicha transferencia implique Datos Personales del Cliente protegidos por las Leyes de Protección de Datos aplicables a la Unión Europea, el Reino Unido y/o Suiza, Netradyne y el Cliente acuerdan cumplir y procesar los Datos Personales del Cliente de conformidad con los mecanismos de transferencia que se especifican a continuación.
12.1.1. En la medida en que Netradyne sea un receptor de Datos Personales del Cliente, en calidad de procesador de datos, protegido por el GDPR de la UE ("Datos de la UE") en un país fuera del Espacio Económico Europeo (EEE) que no esté reconocido por las Leyes de Protección de Datos como que proporciona un nivel adecuado de protección para los Datos Personales, el Cliente (como "exportador de datos") y Netradyne (como "importador de datos") acuerdan cumplir y procesar los Datos de la UE de conformidad con las SCC de la UE, que se considerarán incorporadas al presente DPA y formarán parte de él de la siguiente manera:
- Se aplicará el Módulo Dos;
- en la Cláusula 7, no se aplicará la cláusula de acoplamiento opcional;
- en la Cláusula 9, se aplicará la Opción 2, y el período de tiempo para la notificación previa de los cambios del subprocesador será el establecido en la sección 6.2 de este DPA;
- en la Cláusula 11, no se aplicará el lenguaje facultativo;
- en la cláusula 13, letra a), se aplicará el párrafo primero;
- en la cláusula 17, se aplicará la opción I, y las SCC de la UE se regirán por las leyes de los Países Bajos;
- en la cláusula 18 (b), las controversias se resolverán ante los tribunales de los Países Bajos;
- El anexo I de los SCC de la UE se considerará completado con la información establecida en la Lista 1 del presente Acuerdo de Paz; y
- Sin perjuicio de lo dispuesto en la sección 5.1 de este DPA, el Anexo II de las SCC de la UE se considerará completado con la información establecida en el Anexo 2 de este DPA.
- El anexo III de la SCC (lista de subprocesadores) se considerará completado con la información establecida en el Anexo 3 de este DPA.
12.1.2. En la medida en que Netradyne sea un receptor de Datos Personales del Cliente protegidos por la DPA suiza ("Datos suizos") en un país fuera de Suiza que no esté reconocido por las Leyes de Protección de Datos Personales como que proporciona un nivel adecuado de protección para los Datos Personales, el Cliente (como "exportador de datos") y Netradyne (como "importador de datos") acuerdan cumplir y procesar los Datos suizos de conformidad con los SCC de la UE, que se considerarán incorporados y formen parte de este DPA de conformidad con la Sección 12.1.1 anterior y las modificaciones en la Sección siguiente.
12.1.3. En la medida en que Netradyne sea un receptor de Datos Personales del Cliente protegidos por las Leyes de Protección de Datos del Reino Unido ("Datos del Reino Unido") en un país fuera del Reino Unido que no esté reconocido por el Reino Unido como proveedor de un nivel adecuado de protección de datos personales, el Cliente (como "exportador de datos") y Netradyne (como "importador de datos") acuerdan cumplir y procesar los Datos del Reino Unido de conformidad con los SCC de la UE implementados de acuerdo con la Sección 12.6 1.1 anterior y las modificaciones en la Sección siguiente. En la medida en que y mientras las SCC de la UE implementadas de acuerdo con este DPA no puedan ser utilizadas para transferir legalmente los Datos Personales del Cliente de conformidad con las Leyes de Protección de Datos del Reino Unido a Netradyne, los SCC del Reino Unido se considerarán incorporados y forman parte de este DPA y se aplicarán a las transferencias regidas por el GDPR del Reino Unido. A los efectos de las SCC del Reino Unido, los anexos, apéndices o tablas pertinentes se considerarán rellenados con la información establecida en las Listas 1 y 2 del presente Acuerdo de Paz.
12.1.4. En relación con las transferencias de datos del Reino Unido o datos suizos, las SCC de la UE tal como se implementan en la Sección 12.1.1 anterior se aplicarán con las siguientes modificaciones (modificadas de vez en cuando de acuerdo con la Oficina del Comisionado de Información del Reino Unido o las directrices del Comisionado Federal de Información de Protección de Datos de Suiza):
12.1.4.1. las referencias al "Reglamento (UE) 2016/679" se interpretarán como referencias a las Leyes de Protección de Datos del Reino Unido o al DPA suizo (según corresponda);
12.1.4.2. las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituirán por el artículo o sección equivalente de las Leyes de Protección de Datos del Reino Unido o del DPA suizo (según corresponda);
12.1.4.3. las referencias a "UE", "Unión", "Estado miembro" y "Derecho de los Estados miembros" se sustituirán por referencias a "Reino Unido" o "Suiza", o "Derecho del Reino Unido" o "Derecho suizo" (según proceda);
12.1.4.4. el término "Estado miembro" no se interpretará de tal manera que excluya a los interesados en el Reino Unido o Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (es decir, el Reino Unido o Suiza);
12.1.4.5. No se utilizan la cláusula 13 (a) de las SCC de la UE y la parte C del anexo I, y la "autoridad de supervisión competente" es el Comisionado de Información del Reino Unido o el Comisionado Federal de Información de Protección de Datos de Suiza (según corresponda);
12.1.4.6. las referencias a la "autoridad de control competente" y a los "tribunales competentes" se sustituirán por referencias al "Comisionado de Información" y a los "tribunales de Inglaterra y Gales" o al "Comisionado Federal Suizo de Información sobre Protección de Datos" y "tribunales aplicables de Suiza" (según proceda);
12.1.4.7. en la Cláusula 17, las SCC de la UE se regirán por las leyes de Inglaterra y Gales o Suiza (según corresponda); y
12.1.4.8. con respecto a las transferencias a las que se aplican las Leyes de Protección de Datos del Reino Unido, la Cláusula 18 se modificará para indicar "Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado puede iniciar un procedimiento legal contra el exportador de datos y/o importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales", y con respecto a las transferencias a las que se aplica el DPA suizo, la Cláusula 18 (b) establecerá que las controversias se resolverán ante los tribunales competentes de Suiza.
12,2. Netradyne puede transferir los Datos Personales del Cliente a un Subprocesador fuera de la Unión Europea, Suiza o el Reino Unido, siempre que Netradyne implemente medidas para garantizar la transferencia legal de datos. Estas medidas pueden requerir que Netradyne (a) garantice que el tercero ejecute las Cláusulas Contractuales Estándar; o (b) adopte cualquier otro mecanismo legal alternativo de transferencia de datos (como se reconoce en las Leyes de Protección de Datos).
12,3. En la medida en que no se pueda confiar en los mecanismos de transferencia en los que se basó la transferencia de datos personales para transferir legalmente los Datos Personales de una jurisdicción a otra en virtud de las Leyes de Protección de Datos aplicables, las Partes se reunirán sin demora para discutir y acordar un mecanismo de transferencia alternativo o medidas complementarias alternativas para permitir la transferencia legal de datos, tan pronto como sea razonablemente posible.
13. Recuperación y eliminación de datos personales del cliente
13,1. El Cliente acepta que las políticas de retención y eliminación de datos estarán sujetas a los términos y condiciones establecidos en el Acuerdo. Al recibir la solicitud del cliente para eliminar los Datos personales del cliente, Netradyne eliminará o devolverá inmediatamente todos los Datos personales al Cliente si así lo solicita. A menos que el Cliente notifique lo contrario a Netradyne, al finalizar el Acuerdo, Netradyne eliminará todos los Datos personales dentro de los 30 días. No obstante lo anterior, Netradyne podrá retener Datos Personales únicamente en la medida en que lo requiera la Ley de Protección de Datos.
13,2. En la medida en que lo permitan las Leyes de Protección de Datos aplicables, Netradyne puede desidentificar o anonimizar los Datos Personales del Cliente para su posterior retención y uso, sujeto al compromiso público de Netradyne de mantener y usar la información de forma desidentificación o anonimizada y no intentar volver a identificar dicha información. Para evitar dudas y en la medida permitida por las Leyes de Protección de Datos aplicables, dicha desidentificación o anonimización de los Datos Personales del Cliente se considerará que cumple con las obligaciones de eliminación de datos de Netradyne en virtud del Acuerdo, este DPA y las Leyes de Protección de Datos aplicables.
14. Responsabilidad
14.1. Cualquier reclamación presentada en virtud de este DPA (incluidas las Cláusulas Contractuales Estándar) estará sujeta a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.
15. Disposiciones adicionales específicas de California
15,1. En la medida en que los Datos Personales del Cliente se relacionen con residentes de California, Netradyne no retendrá, usará, venderá, compartirá ni divulgará de otro modo los Datos Personales del Cliente (incluso para cualquier propósito comercial u otro propósito fuera de la relación comercial directa entre las partes) que no sea lo permitido por la ley o según sea necesario para proporcionar y respaldar los Productos y Servicios, según lo establecido en el Acuerdo.
15,2. En la medida en que los Datos Personales del Cliente se relacionen con residentes de California, Netradyne cumplirá con las restricciones aplicables en virtud de la CPRA sobre la combinación de los Datos Personales del Cliente que Netradyne recibe de, o en nombre del Cliente, con los Datos personales que Netradyne recibe de, o en nombre de, otra persona o personas, o que Netradyne recopila de cualquier interacción entre él y un Sujeto de Datos.
15,3. En la medida en que los Datos Personales del Cliente se relacionen con residentes de California, Netradyne cumplirá con la CPRA y, teniendo en cuenta el papel de Netradyne en el Procesamiento, proporcionará el nivel de protección para los Datos Personales del Cliente relevantes requeridos por el CPRA.
16. Cambios en las leyes de protección de datos
16,1. Si una nueva Ley de Protección de Datos entra en vigor y es aplicable a Netradyne, Netradyne y el Cliente tomarán todas las medidas razonables requeridas por dicha Ley de Protección de Datos para garantizar la capacidad de las partes para cumplir con sus obligaciones en virtud de la ley aplicable y garantizar el cumplimiento de Netradyne con todas las Leyes de Protección de Datos aplicables a Netradyne.
17. Legislación aplicable y jurisdicción
17.1. Salvo que las Cláusulas Contractuales Estándar o las Leyes de Protección de Datos aplicables exijan lo contrario, este DPA y cualquier disputa o reclamo que surja de o en relación con él o su objeto o formación se regirán e interpretarán de acuerdo con las leyes del Estado de California, sin tener en cuenta sus principios de conflicto de leyes. Para evitar dudas, cuando sean de aplicación las Cláusulas Contractuales Tipo, éstas se regirán por las leyes y se sujetarán a la jurisdicción que en ellas se especifique.
Apéndice de procesamiento de datos
Description of the processing / transfer
Item | Details |
Data Exporter | Customer is the Data Exporter |
Data Importer | Netradyne, Inc. Contact details: |
Description of the transfer / processing
Item | Details |
Data Subjects: | Employees or independent contractors of Customer, service providers of Customer, including those driving vehicles (“Drivers”). Members of the public or passers-by. |
Categories of Personal Data: | Personal data processed includes:
|
Special Categories of Personal Data: | Not applicable |
Nature, purpose and frequency of Processing: | Netradyne will Process Customer Personal Data for as long as is necessary to provide the Products and Services to the Customer in accordance with, and as otherwise permitted by, the Agreement, and for any disclosures compelled by law. |
Duration: | As long as necessary for fulfilling the business purposes or as set forth in the Agreement and subject to section 13 of this DPA. |
Approved Sub-Processors (if any): | As listed in Schedule 3 |
Approved Transfer Mechanism: | Standard Contractual Clauses: See Section 12 of the DPA |
Competent Supervisory Authority: | Determined in accordance with Data Protection Laws. |
Schedule 2
Technical and Organisational Measures Including Technical and Organisational Measures to Ensure the Security of the Data
Netradyne shall develop, implement, and maintain reasonable physical, administrative, and technical controls to protect the confidentiality, availability, and integrity of the Services and Customer Personal Data (“Security Measures”). The Security Measures must, at a minimum, comply with Applicable Data Protection Laws. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the Processing as well as the risk of varying likelihood and severity for the legally protected interests of natural persons, Netradyne shall implement the necessary technical and organizational measures (“Safety Measures”) to ensure a level of security appropriate to the risk when Processing Personal Data.
Netradyne will maintain Safety Measures consistent with industry-accepted best practices (including the International Organization for Standardization’s standards ISO 27001 and 27002). Netradyne’s information security program will include, at a minimum, the following safeguards and controls:
Item | Details |
Measures of pseudonymization and encryption of personal data. | Netradyne employs cryptographic techniques to protect customer data.
|
Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services. | Netradyne implements strict access controls to restrict access to Customer information. Access controls include controlled use of administrative privileges, implementation of account and password management policies and multi-factor authentication (MFA) for servers and production systems. Netradyne has implemented network security controls, vulnerability assessment, patch management and scheduled monitoring procedures to identify, assess, mitigate, and protect against security threats. Critical Severity patches are scheduled to be reviewed, evaluated, and deployed immediately or within 5 days. High severity patches are also reviewed and deployed immediately or within 30 days. Medium and Low severity patches are reviewed as part of the internal audit process and generally deployed within 3-12 months depending on relevance and severity. The deep packet inspection of the Netradyne firewall function enables blocking malicious traffic. They are monitored 24/7 for performance, security, and proper operation. Data segregation. Netradyne has implemented measures to logically isolate customer data from Netradyne’s internal or third-party data. Physical security. Netradyne has implemented physical security controls (access cards, CCTV surveillance and security guards) to monitor and control physical access to its facilities. Netradyne conducts performance tests, regular device health monitoring and backup of data to ensure availability and resilience of its platforms and services. |
Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident. | Netradyne stores all data on AWS cloud (Elastic Block Storage- EBS) which is configured to allow regular backup of data or restoration of data. Netradyne maintains a security incident response team (SIRT) to coordinate efforts needed for containing incidents and allowing restoration of data. |
Processes for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures in order to ensure the security of the processing. | Netradyne conducts internal audit of its security and privacy controls at least once a year. Periodic vulnerability scans and penetration testing by external reviewers are also conducted. |
Measures for user identification and authorization. | Netradyne assigns a user-id to all the users. Access controls include controlled use of administrative privileges, implementation of account and password management policies and multi-factor authentication (MFA) for servers and production systems. Passwords must meet password-complexity requirements outlined in Netradyne’s Password Policy. Privileged-account abilities are granted to a limited number of Netradyne personnel who need this level of access to perform their job function. |
Measures for ensuring physical security of locations at which personal data are processed. | Netradyne’s production and development datacenters are protected from environmental and security threats using technical, administrative, and physical security controls. For high availability, included are redundant uninterruptible power supplies, fire and smoke detection and suppression systems, redundant ventilation, and air conditioning, and more. All systems undergo frequent and regular preventative maintenance. Netradyne’s corporate facilities are monitored by CCTV. A team of security guards are deployed at the entrance and throughout the facility. Access to the building is controlled by security key cards. |
Measures for ensuring events logging. | Netradyne systems are centrally managed and monitored through the use of industry standard logging mechanisms. Netradyne applications are configured to log details of the user sessions, and the actions users perform. It also records administration events such as operations with user accounts. Administration events, such as creation or deactivation of user account, lockout or expiration of an account, password changes, assigning or removing a user role, adding, or removing a user from a group, are also logged. |
Measures for ensuring system configuration, including default configuration. | Netradyne has established a standard workstation configuration baseline in order to meet security objectives. Netradyne’s server systems are configured for performance, stability, scalability, and security. All server systems, including web, application, and database servers, are built to configuration standards. All SQL Server services are hardened by disabling all services that are not used by Netradyne application. The hardening process includes the following objectives:
Removing all unnecessary functionality, such as scripts, drivers, features, subsystems, file systems, and unnecessary web servers. |
Measures for internal IT and IT security governance and management. | Netradyne has a dedicated InfoSec team and has put in place IT security policy and procedures. This includes a formal change management process and acceptable use policy. |
Measures for certification/assurance of processes and products. | Netradyne engages independent security auditors for periodic assessment of its security and privacy controls as part of its ISO 27001 and Privacy by Design certifications. ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025 Privacy by Design - https://msecb.com/certifications-granted |
Measures for ensuring data minimization. | Different privacy modes and privacy configurations may be enabled to reduce the amount of data processed by Netradyne. Most of the video footage recorded on the Driver.i device remains on the device and is overwritten once the device’s memory is full. A video footage is uploaded to Netradyne cloud only if an Event is detected. On average less than 1% of the footage is uploaded to the cloud. Depending on the Event type, only the relevant Event Footage (either external footage or in-cab footage) is uploaded to the cloud. For all Events, the device uploads the Event Data to the cloud. |
Measures for ensuring limited data retention. | The default data retention is a balance between ensuring data is retained for a sufficient time period to be useful to Data Exporter, and ensuring it is not kept beyond such useful time period. Data retention and deletion requirements are set out in the Agreement or the DPA. |
Measures for ensuring accountability. | Netradyne maintains evidence of the steps taken to comply with the EU GDPR. Netradyne puts in place appropriate technical and organizational measures, such as: (i) adopting and implementing data protection policies (where proportionate), (ii) executing written contracts with service providers (iii) maintaining documentation of processing activities, (iv) implementing appropriate security measures, (v) recording and, where necessary, reporting personal data breaches, (vi) carrying out data protection impact assessments for uses of personal data that are likely to result in high risk to individuals’ interests, and (vii) implementing logging and monitoring controls. |
Measures for allowing data portability and ensuring erasure. | Netradyne allows data subjects to exercise their rights by reaching out to designated points of contact. The primary responsibility for responding to data subject requests rests with the customer. Netradyne will assist the customer in responding to data subject requests. |
Schedule 3
List of Approved Sub-processors
The controller has authorised the use of the following sub-processors:
Sub-processor | Purpose of Processing | Location |
Netradyne Technology India Private Limited (“Netradyne India”) | Engineering and support | India |
Amazon Web Services (AWS) | Data hosting | United States |
Elancer IT Solutions Private Limited | Data labelling services | India |
Gainsight, Inc. | Customer success platform | United States |
Mixpanel, Inc. | User activity/experience (data analytics) | United States |
VVDN Technologies | Device refurbishment | India |
¿Quiere proteger a los conductores y reducir costos?
Esa no es una pregunta engañada. Véanlo usted mismo con una demostración.