Apéndice de procesamiento de datos

Resumen

Última actualización: 16/07/2025

Este Anexo de procesamiento de datos (“DPA”) complementa y se incorpora a cualquier acuerdo entre Netradyne y una persona o entidad (“Cliente”) que rija el uso por parte del Cliente de los Productos y Servicios de Netradyne, ya sea que dicho uso sea (i) de conformidad con un acuerdo directo con Netradyne, (ii) a través de un revendedor o (iii) bajo cualquier otro término de servicio o acuerdo que permita dicho uso (colectivamente, el “Acuerdo”)). Cuando el Cliente accede a los Productos y Servicios a través de un revendedor, la aceptación de este DPA por parte del Cliente puede ser a través de medios electrónicos, activación del producto o uso continuado de los Productos y Servicios. Este DPA es un acuerdo entre el Cliente (junto con todas sus Afiliadas que utilizan los Productos y Servicios bajo el Acuerdo) y Netradyne (cada una “Parte” y colectivamente “Partes”).

1. Definiciones

En esta Adenda, los siguientes términos tendrán los significados que se exponen a continuación:

1.1. “Datos personales del cliente” significa cualquier dato personal sujeto a las leyes de protección de datos contenidos en los Datos del Cliente que el Cliente proporciona o ha puesto a disposición de Netradyne y que Netradyne los procesa en nombre del Cliente de conformidad con el Acuerdo.

1.2. “Leyes de protección de datos” significa, según corresponda, (i) el Reglamento General de Protección de Datos de la UE (UE 2016/679) (el “RGPD de la UE”), su incorporación a las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Ley (retirada) de la Unión Europea del Reino Unido de 2018 (el “GDPR del Reino Unido”); (ii) la Ley Federal Suiza sobre Protección de Datos (“FADP”); (iii) la Ley Federal Suiza de Protección de Datos (“FADP”); (iii) la Ley Federal Suiza de Protección de Datos (“FADP”); (iii) la Ley Federal Suiza de Protección de Datos (“FADP”) estatutos de protección o privacidad, incluidos, entre otros, la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (junto con su regulaciones de aplicación, la “CPRA”); (iv) la Ley belga de protección de datos de 30 de julio de 2018 (la “BDPA”) y/o (v) cualquier otra legislación nacional aplicable en el Espacio Económico Europeo o el Reino Unido que complementa el GDPR de la UE o el GDPR del Reino Unido (según corresponda), y/o las leyes de privacidad de datos aplicables, y/o las leyes de protección de datos aplicables en cualquier país; en cada caso, según pueda modificarse, reemplazarse o reemplazarse de vez en cuando.

1.3. “Controlador” significa la entidad que determina los medios y propósitos del procesamiento de Datos Personales.

1.4. “Sujeto de datos” significa la persona que es el sujeto de los datos personales.

1.5. Por “SCC de la UE” se entiende las Cláusulas Contractuales Tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión de la UE, de 4 de junio de 2021, sobre las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

1.6. “Datos personales” significa “datos personales”, “información personal” o “información de identificación personal” o cualquier término análogo bajo las Leyes de Protección de Datos, ya que estos términos se definen en las Leyes de Protección de Datos.

1.7. “Violación de datos personales” significa cualquier violación de seguridad que las Leyes de Protección de Datos exijan (i) que Netradyne informe al Cliente o (ii) que el Cliente informe a una Autoridad de Supervisión o personas afectadas, o que mantenga un registro, que involucre Datos Personales sujetos a esta Adenda.

1.8. “Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o en conjuntos de datos personales.

1.9. “Procesador” significa una entidad que procesa Datos Personales en nombre de un Controlador.

1,10. “Autoridad Supervisora” significa una autoridad gubernamental o reguladora responsable de administrar, supervisar el cumplimiento y/o hacer cumplir las Leyes de Protección de Datos.

1,11. Los términos en mayúscula que no se definan de otro modo en el presente documento tendrán el significado que se les da en el Acuerdo.

2. Aplicación de este DPA

Este DPA se aplica donde y solo en la medida en que Netradyne procese los Datos personales del Cliente en nombre del Cliente como Procesador (o subprocesador) y, con respecto a CPRA, como “proveedor de servicios” o “contratista” en el curso de la prestación de los Productos y Servicios en virtud del Acuerdo.

En el caso y en la medida de cualquier conflicto entre los términos del Acuerdo y este DPA, prevalecerán los términos de este DPA. En caso y en la medida de cualquier conflicto entre los términos de este DPA y los SCC o el Anexo del Reino Unido, prevalecerán los SCC o el Anexo del Reino Unido (según corresponda) en la medida de dicho conflicto. Salvo que se modifique expresamente en el presente documento, los términos del Acuerdo permanecen en pleno vigor y efecto.

3. Funciones y alcance del procesamiento

3.1. Papel de las Partes

Entre las partes, Netradyne actúa como un Procesador (o subprocesador, proveedor de servicios o contratista) de los Datos Personales del Cliente.

3.2. Instrucciones para el cliente

3.2.1. Netradyne procesará los datos personales del cliente según lo establecido específicamente en el Acuerdo, este DPA y/o las instrucciones documentadas del Cliente, o según lo requiera la ley aplicable a la que Netradyne está sujeta (las “Instrucciones para el Cliente”). Si Netradyne está obligado por la ley aplicable a procesar los datos personales del cliente que no sean de acuerdo con las Instrucciones del Cliente, Netradyne informará al Cliente, en la medida en que lo permita la ley aplicable, de ese requisito legal antes de dicho Tratamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.

3.2.2. Netradyne notificará de inmediato al Cliente si, en opinión de Netradyne, las Instrucciones del Cliente violan la ley aplicable o si Netradyne determina que ya no puede cumplir con sus obligaciones en virtud de la ley aplicable. Netradyne tendrá derecho a suspender la ejecución de dicha Instrucción al Cliente.

3.2.3. El Cliente se asegurará de que las Instrucciones del Cliente no pongan a Netradyne en incumplimiento de ninguna ley o reglamento aplicable.

4. Netradyne personal

4.1. Netradyne se asegurará de que sus empleados, agentes, contratistas y otro personal que tenga acceso a los Datos Personales: (a) solo lo hagan en la medida estrictamente necesaria para proporcionar los Servicios; y (b) estén obligados por obligaciones de confidencialidad vinculantes adecuadas que no sean menos protectoras que las establecidas en el Acuerdo.

5. Seguridad

5,1. Netradyne implementará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas diseñadas para salvaguardar los Datos Personales del Cliente. Netradyne implementará las medidas contenidas en el Anexo II. Netradyne puede modificar dichas medidas de vez en cuando, siempre que las modificaciones no disminuyan materialmente la seguridad general de los Datos Personales del Cliente.

6. Subprocesamiento

6.1. Por la presente, el Cliente otorga una autorización general a las filiales de Netradyne, así como a otros terceros enumerados en el Anexo 3, para ser subprocesadores (cada uno un “Subprocesador”). Netradyne puede divulgar los Datos Personales del Cliente a sus Subprocesadores con el fin de proporcionar los Productos y Servicios, siempre que los Subprocesadores de Netradyne se comprometan a cumplir obligaciones vinculantes de protección de datos que no sean menos onerosas que las establecidas en este DPA.

6,2. El Cliente tendrá derecho a oponerse a cualquier cambio de Subprocesadores notificado por Netradyne de vez en cuando dentro de los treinta (30) días naturales posteriores a dicha notificación. Cuando el Cliente no se oponga a dicho cambio dentro de dicho período de tiempo, se considerará que el Cliente ha dado su consentimiento para dicho cambio. Cuando exista una razón materialmente importante para dicha objeción y se proporcione por escrito a Netradyne, y a falta de una resolución amistosa de este asunto por parte de las partes (cada Parte actuando de manera razonable y de buena fe), el Cliente podrá rescindir el (los) Formulario (s) de pedido aplicable (s) en relación únicamente con las características o funcionalidades afectadas de los Productos y Servicios.

6,3. Netradyne seguirá siendo responsable de los actos u omisiones de los Subprocesadores en la misma medida requerida por las Leyes de Protección de Datos como si los actos u omisiones fueran realizados por Netradyne y se le permitirá volver a realizar o procurar el cumplimiento de cualquier obligación. El Cliente reconoce y acepta que dicha reejecución disminuirá cualquier reclamación que el Cliente tenga contra Netradyne con respecto a cualquier responsabilidad del Subprocesador.

7. Solicitudes del sujeto de datos

7,1. Netradyne notificará y asistirá al Cliente si recibe solicitudes de los Sujetos de Datos para ejercer sus derechos (Solicitudes del sujeto de datos), siempre que Netradyne pueda identificar razonablemente a partir de la información proporcionada por los Sujetos de datos que dicha solicitud se relaciona con el Cliente o los Datos Personales del Cliente. Netradyne no responderá a ninguna solicitud de este tipo a menos que así lo exija la ley aplicable. Netradyne puede requerir que el Cliente asuma los costos reales incurridos como resultado de la asistencia proporcionada de acuerdo con esta Sección en función de las tarifas de servicio actualmente aplicables de Netradyne.

7,2. Para evitar dudas, el Cliente es responsable como Controlador de responder a las solicitudes de los sujetos de datos. Los Productos y Servicios de Netradyne incluyen medidas técnicas y organizativas que han sido diseñadas para ayudar al Cliente a responder a las Solicitudes del sujeto de datos.

8. Solicitudes de terceros

Netradyne deberá:

(a) a menos que esté legalmente prohibido hacerlo, notificar de inmediato al Cliente sin demora indebida (y en cualquier caso dentro de las 72 horas) cualquier solicitud de información o queja por parte de una autoridad supervisora, regulador, agencia de aplicación de la ley o agencia de informes crediticios, en relación con los Datos Personales que Netradyne procesa en relación con el Acuerdo; y

(b) si así lo solicita el Cliente, discutir y cooperar en la preparación de cualquier respuesta a dicha solicitud;

(c) no responder a dicha solicitud sin el consentimiento previo por escrito del Cliente, a menos que esté legalmente obligado a hacerlo.

A menos que esté legalmente prohibido hacerlo, Netradyne primero notificará al Cliente antes de realizar cualquier notificación o divulgación a un tercero relacionada con una violación de datos personales y obtener el consentimiento previo por escrito del Cliente.

9. Violación de datos personales

9,1. Netradyne notificará al Cliente sin demora indebida una vez que se dé cuenta de una violación de datos personales que afecte a los datos personales del cliente. Para evitar cualquier duda, una violación de datos personales no incluirá (i) actos u omisiones que no sean directamente atribuibles a Netradyne o sus subprocesadores; o (ii) cualquier acceso o procesamiento de datos personales del cliente que sea consistente con las Instrucciones del Cliente. A petición del Cliente, Netradyne proporcionará asistencia y cooperación razonables para ayudar al Cliente a cumplir con cualquier obligación de notificación aplicable en virtud de las Leyes de Protección de Datos aplicables con respecto a la violación de datos personales. La notificación por parte de Netradyne de, o la respuesta a, una violación de datos personales no se interpretará como un reconocimiento por parte de Netradyne o, si corresponde, sus Subprocesadores de cualquier culpa o responsabilidad con respecto al rendimiento de los Productos y Servicios. Netradyne puede requerir que el Cliente asuma los costos reales incurridos como resultado de la asistencia proporcionada de acuerdo con esta Sección en función de las tarifas de servicio actualmente aplicables de Netradyne.

10. Evaluación de impacto de protección de datos y consulta previa

10,1. A petición del Cliente, Netradyne proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto de protección de datos y consultas previas con las Autoridades Supervisoras requeridas por las Leyes de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales del Cliente por parte de Netradyne en virtud del Acuerdo y teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Netradyne. Netradyne se reserva el derecho de cobrar una tarifa razonable por dicha asistencia solicitada, en la medida permitida por la ley aplicable.

11. Derechos de auditoría

11.1. Previa solicitud por escrito y sin costo adicional para el Cliente, Netradyne proporcionará al Cliente, y/o a su representante externo debidamente calificado (colectivamente, el “Auditor”), acceso a la documentación que acredite el cumplimiento de Netradyne con sus obligaciones en virtud de este DPA en forma de informes de auditorías o certificaciones relevantes, como ISO 27001 o cuestionarios estándar de la industria completados (colectivamente, “Informes”). Dichos Informes serán Información Confidencial de Netradyne bajo las disposiciones de confidencialidad del Acuerdo. El Cliente acepta que los Informes se utilizarán para satisfacer cualquier solicitud de auditoría o inspección realizada por o en nombre del Cliente en relación con las Leyes de Protección de Datos, este DPA y/o Acuerdo.

11.2. Cuando el Auditor sea un tercero, el Auditor puede estar obligado a ejecutar un acuerdo de confidencialidad separado con Netradyne antes de cualquier revisión de Informes o una auditoría de Netradyne. Netradyne podrá objetar por escrito a dicho Auditor, si en opinión razonable de Netradyne, el Auditor no está debidamente calificado o es un competidor de Netradyne. Cualquier objeción de Netradyne requerirá que el Cliente designe a otro Auditor o realice la auditoría por sí mismo. Cualquier gasto en que incurra un Auditor en relación con cualquier revisión de Informes o una auditoría correrá a cargo exclusivamente del Auditor.

11.3. Si un Informe no está disponible, el Cliente puede solicitar, previo aviso por escrito con 30 días de anticipación y hasta una vez por año calendario, que realice una revisión por su cuenta, con un alcance, fechas, duración, auditor y cualquier control de seguridad y/o confidencialidad que se acuerde mutuamente, de las políticas y procedimientos pertinentes de Netradyne que rigen el manejo de los Datos Personales del Cliente por parte de Netradyne en relación con los Productos, con el fin de verificar el cumplimiento de Netradyne con este DPA. Esta revisión se llevará a cabo de manera que no comprometa las obligaciones de confidencialidad de Netradyne con los demás clientes de Netradyne. Las partes reconocen y acuerdan que las políticas y procedimientos de Netradyne y todos los resultados de la revisión del Cliente son Información Confidencial de Netradyne bajo las disposiciones de confidencialidad del Acuerdo.

11.4. En la medida en que lo exijan las Leyes de Protección de Datos, el Cliente tiene derecho, previa notificación por escrito a Netradyne, a tomar las medidas razonables y apropiadas para detener y remediar cualquier uso de los Datos Personales del Cliente que infrinja el Acuerdo.

12. Transferencias de datos

12,1. Netradyne puede transferir los Datos Personales del Cliente a cualquier país o territorio, según sea razonablemente necesario para proporcionar los Productos y Servicios, de acuerdo con este DPA. En la medida en que dicha transferencia implique Datos Personales del Cliente protegidos por las Leyes de Protección de Datos aplicables a la Unión Europea, el Reino Unido y/o Suiza, Netradyne y el Cliente acuerdan cumplir y procesar los Datos Personales del Cliente de conformidad con los mecanismos de transferencia que se especifican a continuación.

12.1.1. En la medida en que Netradyne sea un receptor de Datos Personales del Cliente, en calidad de procesador de datos, protegido por el GDPR de la UE (“Datos de la UE”) en un país fuera del Espacio Económico Europeo (EEE) que no esté reconocido por las Leyes de Protección de Datos como que proporciona un nivel adecuado de protección para los Datos Personales, el Cliente (como “exportador de datos”) y Netradyne (como “importador de datos”) acuerdan cumplir y procesar los Datos de la UE de conformidad con las SCC de la UE, que se considerarán incorporadas al presente DPA y formarán parte de él de la siguiente manera:

  • Se aplicará el Módulo Dos;
  • en la Cláusula 7, no se aplicará la cláusula de acoplamiento opcional;
  • en la Cláusula 9, se aplicará la Opción 2, y el período de tiempo para la notificación previa de los cambios del subprocesador será el establecido en la sección 6.2 de este DPA;
  • en la Cláusula 11, no se aplicará el lenguaje facultativo;
  • en la cláusula 13, letra a), se aplicará el párrafo primero;
  • en la cláusula 17, se aplicará la opción I, y las SCC de la UE se regirán por las leyes de los Países Bajos;
  • en la cláusula 18 (b), las controversias se resolverán ante los tribunales de los Países Bajos;
  • El anexo I de los SCC de la UE se considerará completado con la información establecida en la Lista 1 del presente Acuerdo de Paz; y
  • Sin perjuicio de lo dispuesto en la sección 5.1 de este DPA, el Anexo II de las SCC de la UE se considerará completado con la información establecida en el Anexo 2 de este DPA.
  • El anexo III de la SCC (lista de subprocesadores) se considerará completado con la información establecida en el Anexo 3 de este DPA.

12.1.2. En la medida en que Netradyne sea un receptor de Datos Personales del Cliente protegidos por la DPA suiza (“Datos suizos”) en un país fuera de Suiza que no esté reconocido por las Leyes de Protección de Datos Personales como que proporciona un nivel adecuado de protección para los Datos Personales, el Cliente (como “exportador de datos”) y Netradyne (como “importador de datos”) acuerdan cumplir y procesar los Datos suizos de conformidad con los SCC de la UE, que se considerarán incorporados y formen parte de este DPA de conformidad con la Sección 12.1.1 anterior y las modificaciones en la Sección siguiente.

12.1.3. En la medida en que Netradyne sea un receptor de Datos Personales del Cliente protegidos por las Leyes de Protección de Datos del Reino Unido (“Datos del Reino Unido”) en un país fuera del Reino Unido que no esté reconocido por el Reino Unido como proveedor de un nivel adecuado de protección de datos personales, el Cliente (como “exportador de datos”) y Netradyne (como “importador de datos”) acuerdan cumplir y procesar los Datos del Reino Unido de conformidad con los SCC de la UE implementados de acuerdo con la Sección 12.6 1.1 anterior y las modificaciones en la Sección siguiente. En la medida en que y mientras las SCC de la UE implementadas de acuerdo con este DPA no puedan ser utilizadas para transferir legalmente los Datos Personales del Cliente de conformidad con las Leyes de Protección de Datos del Reino Unido a Netradyne, los SCC del Reino Unido se considerarán incorporados y forman parte de este DPA y se aplicarán a las transferencias regidas por el GDPR del Reino Unido. A los efectos de las SCC del Reino Unido, los anexos, apéndices o tablas pertinentes se considerarán rellenados con la información establecida en las Listas 1 y 2 del presente Acuerdo de Paz.

12.1.4. En relación con las transferencias de datos del Reino Unido o datos suizos, las SCC de la UE tal como se implementan en la Sección 12.1.1 anterior se aplicarán con las siguientes modificaciones (modificadas de vez en cuando de acuerdo con la Oficina del Comisionado de Información del Reino Unido o las directrices del Comisionado Federal de Información de Protección de Datos de Suiza):

12.1.4.1. las referencias al “Reglamento (UE) 2016/679" se interpretarán como referencias a las Leyes de Protección de Datos del Reino Unido o al DPA suizo (según corresponda);

12.1.4.2. las referencias a artículos específicos del “Reglamento (UE) 2016/679" se sustituirán por el artículo o sección equivalente de las Leyes de Protección de Datos del Reino Unido o del DPA suizo (según corresponda);

12.1.4.3. las referencias a “UE”, “Unión”, “Estado miembro” y “Derecho de los Estados miembros” se sustituirán por referencias a “Reino Unido” o “Suiza”, o “Derecho del Reino Unido” o “Derecho suizo” (según proceda);

12.1.4.4. el término “Estado miembro” no se interpretará de tal manera que excluya a los interesados en el Reino Unido o Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (es decir, el Reino Unido o Suiza);

12.1.4.5. No se utilizan la cláusula 13 (a) de las SCC de la UE y la parte C del anexo I, y la “autoridad de supervisión competente” es el Comisionado de Información del Reino Unido o el Comisionado Federal de Información de Protección de Datos de Suiza (según corresponda);

12.1.4.6. las referencias a la “autoridad de control competente” y a los “tribunales competentes” se sustituirán por referencias al “Comisionado de Información” y a los “tribunales de Inglaterra y Gales” o al “Comisionado Federal Suizo de Información sobre Protección de Datos” y “tribunales aplicables de Suiza” (según proceda);

12.1.4.7. en la Cláusula 17, las SCC de la UE se regirán por las leyes de Inglaterra y Gales o Suiza (según corresponda); y

12.1.4.8. con respecto a las transferencias a las que se aplican las Leyes de Protección de Datos del Reino Unido, la Cláusula 18 se modificará para indicar “Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado puede iniciar un procedimiento legal contra el exportador de datos y/o importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales”, y con respecto a las transferencias a las que se aplica el DPA suizo, la Cláusula 18 (b) establecerá que las controversias se resolverán ante los tribunales competentes de Suiza.

12,2. Netradyne puede transferir los Datos Personales del Cliente a un Subprocesador fuera de la Unión Europea, Suiza o el Reino Unido, siempre que Netradyne implemente medidas para garantizar la transferencia legal de datos. Estas medidas pueden requerir que Netradyne (a) garantice que el tercero ejecute las Cláusulas Contractuales Estándar; o (b) adopte cualquier otro mecanismo legal alternativo de transferencia de datos (como se reconoce en las Leyes de Protección de Datos).

12,3. En la medida en que no se pueda confiar en los mecanismos de transferencia en los que se basó la transferencia de datos personales para transferir legalmente los Datos Personales de una jurisdicción a otra en virtud de las Leyes de Protección de Datos aplicables, las Partes se reunirán sin demora para discutir y acordar un mecanismo de transferencia alternativo o medidas complementarias alternativas para permitir la transferencia legal de datos, tan pronto como sea razonablemente posible.

13. Recuperación y eliminación de datos personales del cliente

13,1. El Cliente acepta que las políticas de retención y eliminación de datos estarán sujetas a los términos y condiciones establecidos en el Acuerdo. Al recibir la solicitud del cliente para eliminar los Datos personales del cliente, Netradyne eliminará o devolverá inmediatamente todos los Datos personales al Cliente si así lo solicita. A menos que el Cliente notifique lo contrario a Netradyne, al finalizar el Acuerdo, Netradyne eliminará todos los Datos personales dentro de los 30 días. No obstante lo anterior, Netradyne podrá retener Datos Personales únicamente en la medida en que lo requiera la Ley de Protección de Datos.

13,2. En la medida en que lo permitan las Leyes de Protección de Datos aplicables, Netradyne puede desidentificar o anonimizar los Datos Personales del Cliente para su posterior retención y uso, sujeto al compromiso público de Netradyne de mantener y usar la información de forma desidentificación o anonimizada y no intentar volver a identificar dicha información. Para evitar dudas y en la medida permitida por las Leyes de Protección de Datos aplicables, dicha desidentificación o anonimización de los Datos Personales del Cliente se considerará que cumple con las obligaciones de eliminación de datos de Netradyne en virtud del Acuerdo, este DPA y las Leyes de Protección de Datos aplicables.

14. Responsabilidad

14.1. Cualquier reclamación presentada en virtud de este DPA (incluidas las Cláusulas Contractuales Estándar) estará sujeta a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

15. Disposiciones adicionales específicas de California

15,1. En la medida en que los Datos Personales del Cliente se relacionen con residentes de California, Netradyne no retendrá, usará, venderá, compartirá ni divulgará de otro modo los Datos Personales del Cliente (incluso para cualquier propósito comercial u otro propósito fuera de la relación comercial directa entre las partes) que no sea lo permitido por la ley o según sea necesario para proporcionar y respaldar los Productos y Servicios, según lo establecido en el Acuerdo.

15,2. En la medida en que los Datos Personales del Cliente se relacionen con residentes de California, Netradyne cumplirá con las restricciones aplicables en virtud de la CPRA sobre la combinación de los Datos Personales del Cliente que Netradyne recibe de, o en nombre del Cliente, con los Datos personales que Netradyne recibe de, o en nombre de, otra persona o personas, o que Netradyne recopila de cualquier interacción entre él y un Sujeto de Datos.

15,3. En la medida en que los Datos Personales del Cliente se relacionen con residentes de California, Netradyne cumplirá con la CPRA y, teniendo en cuenta el papel de Netradyne en el Procesamiento, proporcionará el nivel de protección para los Datos Personales del Cliente relevantes requeridos por el CPRA.

16. Cambios en las leyes de protección de datos

16,1. Si una nueva Ley de Protección de Datos entra en vigor y es aplicable a Netradyne, Netradyne y el Cliente tomarán todas las medidas razonables requeridas por dicha Ley de Protección de Datos para garantizar la capacidad de las partes para cumplir con sus obligaciones en virtud de la ley aplicable y garantizar el cumplimiento de Netradyne con todas las Leyes de Protección de Datos aplicables a Netradyne.

17. Legislación aplicable y jurisdicción

17.1. Salvo que las Cláusulas Contractuales Estándar o las Leyes de Protección de Datos aplicables exijan lo contrario, este DPA y cualquier disputa o reclamo que surja de o en relación con él o su objeto o formación se regirán e interpretarán de acuerdo con las leyes del Estado de California, sin tener en cuenta sus principios de conflicto de leyes. Para evitar dudas, cuando sean de aplicación las Cláusulas Contractuales Tipo, éstas se regirán por las leyes y se sujetarán a la jurisdicción que en ellas se especifique.

Horario 1

Descripción de la tramitación/ transferencia

Elemento

Detalles

Exportador de datos

El cliente es el exportador de datos

Importador de datos

Netradyne, Inc.
9171 Towne Centre Drive, Suite 110
San Diego, CA 92122

Datos de contacto:
Correo electrónico: privacy@netradyne.com
Correo electrónico: dpo@netradyne.com
Correo electrónico: legal@netradyne.com 

Descripción de la transferencia/procesamiento

Elemento

Detalles

Sujetos de datos:

Empleados o contratistas independientes del Cliente, proveedores de servicios del Cliente, incluyendo aquellos que manejan vehículos (“Conductores”). Miembros del público o transeúntes.

Categorías de datos personales:

Los datos personales procesados incluyen:

  • Identificadores como nombre, ID de usuario, dirección, datos de contacto, foto, identificación de correo electrónico, número de licencia de conducir, nombre de la empresa
  • Telemática y analítica/metadatos asociados como velocidad del vehículo, frenado brusco, fuerza G, fecha y hora de grabaciones, cinturón de seguridad, distraído etc.
  • Datos de ubicación GPS
  • Grabaciones de vídeo, imágenes
  • GreenZone puntuación de Drivers
  • Datos de delitos penales (en la medida en que se capturen incidentalmente en grabaciones de vídeo)

Categorías especiales de datos personales:

No aplicable

Naturaleza, finalidad y frecuencia del tratamiento:

Netradyne procesará los datos personales del cliente durante el tiempo que sea necesario para proporcionar los Productos y Servicios al Cliente de acuerdo con, y según lo permita, el Acuerdo, y para cualquier divulgación obligada por la ley.

Duración:

Mientras sea necesario para el cumplimiento de los fines comerciales o según lo establecido en el Acuerdo y sujeto a la sección 13 de este DPA.

Subprocesadores aprobados (si los hubiera):

Como se indica en el Anexo 3

Mecanismo de transferencia aprobado:

Cláusulas contractuales tipo: véase la sección 12 del DPA

Autoridad supervisora competente:

Determinado de acuerdo con las Leyes de Protección de Datos.

Horario 2

Medidas técnicas y organizativas, incluidas medidas técnicas y organizativas para garantizar la seguridad de los datos

Netradyne desarrollará, implementará y mantendrá controles físicos, administrativos y técnicos razonables para proteger la confidencialidad, disponibilidad e integridad de los Servicios y los Datos Personales del Cliente (“Medidas de Seguridad”). Las Medidas de Seguridad deben, como mínimo, cumplir con las Leyes de Protección de Datos Aplicables. Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y fines del Tratamiento así como el riesgo de variabilidad de probabilidad y gravedad para los intereses legalmente protegidos de las personas físicas, Netradyne implementará las medidas técnicas y organizativas necesarias (“Medidas de Seguridad”) para garantizar un nivel de seguridad adecuado al riesgo al procesar Datos Personales.

Netradyne mantendrá las Medidas de Seguridad consistentes con las mejores prácticas aceptadas por la industria (incluidas las normas ISO 27001 y 27002 de la Organización Internacional de Normalización). El programa de seguridad de la información de Netradyne incluirá, como mínimo, las siguientes salvaguardas y controles:

Elemento

Detalles

Medidas de seudonimización y cifrado de datos personales.

Netradyne emplea técnicas criptográficas para proteger los datos de los clientes.

  • Los datos almacenados en el dispositivo Driver.i se cifran mediante el algoritmo AES 256.
  • Los datos almacenados en el almacenamiento en la nube S3 de Amazon Web Service (AWS) se cifran mediante el cifrado AES-256 SSE.
  • Las contraseñas se salan y se usan hash utilizando el algoritmo pbKDF2WithHMACSHA512.
  • Los datos en tránsito se aseguran mediante el protocolo Transport Layer Security (TLS) versión 1.2 y superior.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento.

Netradyne implementa estrictos controles de acceso para restringir el acceso a la información del Cliente. Los controles de acceso incluyen el uso controlado de privilegios administrativos, implementación de políticas de administración de cuentas y contraseñas y autenticación multifactor (MFA) para servidores y sistemas de producción.

Netradyne ha implementado controles de seguridad de red, evaluación de vulnerabilidades, administración de parches y procedimientos de monitoreo programado para identificar, evaluar, mitigar y proteger contra las amenazas de seguridad. Los parches de Severidad Crítica están programados para ser revisados, evaluados e implementados inmediatamente o dentro de 5 días. Los parches de alta gravedad también se revisan e implementan inmediatamente o en un plazo de 30 días.

Los parches de gravedad media y baja se revisan como parte del proceso de auditoría interna y generalmente se implementan en un plazo de 3 a 12 meses dependiendo de la relevancia y la gravedad.

La inspección profunda de paquetes de la función de firewall Netradyne permite bloquear el tráfico malicioso. Se monitorean las 24 horas del día, los 7 días de la semana para su desempeño, seguridad y operación adecuada.

Segregación de datos. Netradyne ha implementado medidas para aislar lógicamente los datos de los clientes de los datos internos o de terceros de Netradyne.

Seguridad física. Netradyne ha implementado controles de seguridad física (tarjetas de acceso, vigilancia CCTV y guardias de seguridad) para monitorear y controlar el acceso físico a sus instalaciones.

Netradyne realiza pruebas de performance, monitoreo regular del estado de los dispositivos y backup de datos para garantizar la disponibilidad y resiliencia de sus plataformas y servicios.

Medidas para asegurar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.

Netradyne almacena todos los datos en la nube de AWS (Elastic Block Storage- EBS) que está configurada para permitir el backup regular de los datos o la restauración de los datos. Netradyne mantiene un equipo de respuesta a incidentes de seguridad (SIRT) para coordinar los esfuerzos necesarios para contener incidentes y permitir la restauración de datos.

Procesos para probar, evaluar y evaluar periódicamente la efectividad de las medidas técnicas y organizativas con el fin de garantizar la seguridad del procesamiento.

Netradyne realiza una auditoría interna de sus controles de seguridad y privacidad al menos una vez al año. También se realizan análisis periódicos de vulnerabilidades y pruebas de penetración por revisores externos.

Medidas para la identificación y autorización del usuario.

Netradyne asigna una identificación de usuario a todos los usuarios. Los controles de acceso incluyen el uso controlado de privilegios administrativos, implementación de políticas de administración de cuentas y contraseñas y autenticación multifactor (MFA) para servidores y sistemas de producción.

Las contraseñas deben cumplir con los requisitos de complejidad de contraseña descritos en la Política de contraseñas de Netradyne.

Las habilidades de cuenta privilegiada se otorgan a un número limitado de personal de Netradyne que necesita este nivel de acceso para desempeñar su función laboral.

Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan los datos personales.

Los centros de datos de producción y desarrollo de Netradyne están protegidos contra amenazas ambientales y de seguridad mediante controles de seguridad técnicos, administrativos y físicos. Para alta disponibilidad, se incluyen fuentes de alimentación ininterrumpida redundantes, sistemas de detección y supresión de incendios y humo, ventilación redundante y aire acondicionado, y más. Todos los sistemas se someten a un mantenimiento preventivo frecuente y regular.

Las instalaciones corporativas de Netradyne están vigiladas por CCTV. En la entrada y en toda la instalación se despliega un equipo de guardias de seguridad. El acceso al edificio está controlado por tarjetas clave de seguridad.

Medidas para asegurar el registro de eventos.

Los sistemas Netradyne se administran y monitorean centralmente mediante el uso de mecanismos de registro estándar de la industria.

Las aplicaciones de Netradyne están configuradas para registrar los detalles de las sesiones de usuario y las acciones que realizan los usuarios. También registra eventos de administración como operaciones con cuentas de usuario. Los eventos de administración, como la creación o desactivación de una cuenta de usuario, el bloqueo o vencimiento de una cuenta, los cambios de contraseña, la asignación o eliminación de un rol de usuario, la adición o eliminación de un usuario de un grupo, también se registran.

Medidas para asegurar la configuración del sistema, incluida la configuración predeterminada.

Netradyne ha establecido una línea base estándar de configuración de estaciones de trabajo para cumplir con los objetivos de seguridad. Los sistemas de servidor de Netradyne están configurados para performance, estabilidad, escalabilidad y seguridad. Todos los sistemas de servidor, incluidos los servidores web, de aplicaciones y de bases de datos, se construyen según los estándares de configuración. Todos los servicios de SQL Server se consolidan al deshabilitar todos los servicios que no son utilizados por la aplicación Netradyne. El proceso de endurecimiento incluye los siguientes objetivos:

  • Habilitar únicamente los servicios necesarios, protocolos, daemons, etc. según se requiera para la función del sistema.
  • Implementación de características de seguridad adicionales para cualquier servicio, protocolo o daemons requerido que se considere inseguro.
  • Configuración de los parámetros de seguridad del sistema para evitar el uso indebido.

Eliminación de todas las funcionalidades innecesarias, como scripts, controladores, características, subsistemas, file systems y servidores web innecesarios.

Medidas para el gobierno y administración interna de TI y seguridad de TI.

Netradyne cuenta con un equipo dedicado de InfoSec y ha implementado políticas y procedimientos de seguridad de TI. Esto incluye un proceso formal de administración de cambios y una política de uso aceptable.

Medidas para la certificación/aseguramiento de procesos y productos.

Netradyne contraya auditores de seguridad independientes para la evaluación periódica de sus controles de seguridad y privacidad como parte de sus certificaciones ISO 27001 y Privacy by Design.

ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025

Privacidad por diseño - https://msecb.com/certifications-granted

Medidas para asegurar la minimización de datos.

Se pueden habilitar diferentes modos de privacidad y configuraciones de privacidad para reducir la cantidad de datos procesados por Netradyne.

La mayoría de las imágenes de video grabadas en el controlador. El dispositivo I permanece en el dispositivo y se sobrescribe una vez que la memoria del dispositivo está llena.

Una grabación de video se carga en la nube de Netradyne solo si se detecta un evento. En promedio, menos del 1% del metraje se carga a la nube.

Según el tipo de evento, solo se cargan en la nube las imágenes del evento relevantes (ya sea material de archivo externo o metraje en cabina).

Para todos los Eventos, el dispositivo carga los Datos del Evento a la nube.

Medidas para garantizar una retención limitada de datos.

La retención de datos predeterminada es un equilibrio entre garantizar que los datos se retengan durante un período de tiempo suficiente para que sean útiles para el exportador de datos y garantizar que no se mantengan más allá de ese período de tiempo útil. Los requisitos de retención y eliminación de datos se establecen en el Acuerdo o en el DPA.

Medidas para asegurar la rendición de cuentas.

Netradyne mantiene evidencia de las medidas adoptadas para cumplir con el GDPR de la UE. Netradyne pone en marcha medidas técnicas y organizativas adecuadas, tales como: (i) adoptar e implementar políticas de protección de datos (cuando sean proporcionadas), (ii) ejecutar contratos escritos con proveedores de servicios (iii) mantener la documentación de las actividades de procesamiento, (iv) implementar medidas de seguridad apropiadas, (v) registrar y, cuando sea necesario, reportar violaciones de datos personales, (vi) llevar a cabo evaluaciones de impacto de protección de datos personales para usos de datos personales que puedan dar lugar a un alto riesgo individual de riesgo los intereses de als y (vii) la implementación de la tala y controles de monitoreo.

Medidas para permitir la portabilidad de datos y asegurar el borrado.

Netradyne permite a los interesados ejercer sus derechos comunicándose con los puntos de contacto designados. La responsabilidad principal de responder a las solicitudes del sujeto de datos recae en el cliente. Netradyne ayudará al cliente a responder a las solicitudes del interesado.

Horario 3

Lista de subprocesadores aprobados

El controlador ha autorizado el uso de los siguientes subprocesadores:

Subprocesador

Finalidad del tratamiento

Ubicación

Netradyne Technology India Private Limited (“Netradyne India”)

Ingeniería y soporte

India

Amazon Web Services (AWS)

Alojamiento de datos

Estados Unidos

Soluciones de TI de Elancer Private Limited

Servicios de etiquetado de datos

India

Gainsight, Inc.

Plataforma de éxito del cliente

Estados Unidos

Mixpanel, Inc.

Actividad/experiencia del usuario (análisis de datos)

Estados Unidos

Tecnologías VVDN

Reacondicionamiento de dispositivos

India