Lenguaje de Privacidad MSA

 ADENDA DE PROTECCIÓN DE DATOS

El cliente celebró un Acuerdo marco o un acuerdo de naturaleza y propósito similares (en adelante "Acuerdo marco") con G-P. La firma de dicho Acuerdo marco puede implicar el Tratamiento de Datos Personales. El Cliente y G-P (denominados conjuntamente "Partes") acuerdan que este Adenda de Protección de Datos ("DPA") establece sus obligaciones respecto al tratamiento y la seguridad de los Datos Personales en relación con los Servicios proporcionados por G-P al Cliente bajo el Acuerdo marco y las Partes acuerdan estar vinculadas por esteDPA. Esta DPA complementa los términos y condiciones del Acuerdo marco y está incorporada en él. En caso de conflicto entre esta DPA y cualquier otro acuerdo entre las partes sobre los asuntos aquí expuestos, prevalecerá esta DPA. Si el Cliente ya tiene un anexo de protección de datos firmado en vigor con G-P, entonces ese acuerdo prevalecerá sobre esta DPA, y esta DPA no tendrá fuerza ni efecto, salvo que el Cliente y la G-P acorden lo contrario por escrito.

 

Considerando que:

1. Cuando G-P proporciona al cliente servicios de Empleador de Registros ("Plataforma global de empleo (Empleador de Registro)"), G-P asume el papel de entidad jurídica empleadora para cualquier persona seleccionada por el Cliente ("Profesionales") para ser contratada.
2. En cuanto a los datos personales de dichos profesionales, G-P es un Responsable durante el transcurso de la relación laboral.
3. En cuanto a los datos personales de los profesionales recopilados y empleados por el Cliente para sus propios fines, el Cliente también es un Responsable de Responsabilidad con obligaciones de privacidad independientes.
4. Al ofrecer los servicios de Plataforma global de empleo (Empleador de Registro), el intercambio de datos personales de los profesionales entre G-P y el cliente se realiza bajo una relación independiente de Controlador a Responsable y el Se aplicarán los términos de controlador a controlador definidos en la sección 2 siguiente.
5. G-P también ofrece diversos productos de software como servicio a través de la plataforma de G-P ("GPP"), a través de la cual G-P permite al Cliente gestionar la relación con esos Profesionales.
6. Al proporcionar al Cliente acceso a GPP, G-P es el Procesador de los datos relacionados con la cuenta subidos al GPP por los Usuarios Autorizados designados por el Cliente y el Se aplicarán los términos de controlador a procesador definidos en la sección 3 abajo.

 

G-P y el Cliente acordaron lo siguiente:

 

1. DEFINITIONS

1.1. Los términos no definidos aquí tienen los significados establecido en el Acuerdo Maestro. Las siguientes palabras en esta DPA tienen los siguientes significados:

1.2. "Usuario Autorizado" significa una persona autorizada por el Cliente, que puede incluir a uno o a un empleado y/o contratista del Cliente, acceder y emplear el GPP en nombre del Cliente, conforme a la firma del Acuerdo marco.

1.3. "Datos del Cliente" significa cualquier dato personal relacionado con cualquier Usuario Autorizado o persona física identificable que sea transferido, procesado o almacenado por G-P en nombre del Cliente para el uso del GPP por parte del Cliente.

1.."4 Leyes de Protección de Datos" significa cualquier ley de protección y privacidad de datos a la que una parte de este Acuerdo esté sujeta y que sea aplicable a los Servicios prestados, incluyendo, cuando proceda, pero no limitar a, el Reglamento General de Protección de Datos, el Reglamento General de Protección de Datos del Reino Unido, las Leyes Suizas de Protección de Datos, las Leyes de Privacidad de EE. UU. (incluidas las leyes estatales y federales), y la LGPD de Brasil.

1.5. "Reglamento General de Protección de Datos" significa el Reglamento General de Protección de Datos (UE) 2016/679.

1.6. "GPP" significa software propietario de G-P', incluyendo sin limitaciones el software, la versión móvil, cualquier software contenido en él y cualquier dato disponible mediante el uso de software propietario de G-P o servicios de terceros, incluyendo sus actualizaciones, actualizaciones, plataforma como servicio y documentación.

1.7. "EEE" significa el Espacio Económico Europeo.

1.8. "LGPD" significa Ley Brasilena Nº 13.709, la Ley General de Protección de Datos Personales, según pueda ser modificada, sustituida o sustituida.

1.9. "Master Agreement" significa el acuerdo firmado entre el Cliente y el G-P para la capacidad de los Servicios.

1.10. "Política de Privacidad" significa la política de privacidad de G-P, actualizada periódicamente, disponible en https://www.globalization-partners.com/privacy-policy/

1.11. "Datos de Profesionales" significa Datos Personales de Profesionales tratados por G-P en el marco de sus servicios de Plataforma global de empleo (Empleador de Registro) al Cliente.

1.12. "Transferencia Restringida" significa cualquier transferencia de datos personales a un país fuera del EEE, Reino Unido, Suiza o Brasil que no esté sujeta a una decisión de adecuación bajo las leyes aplicables de protección de datos, y por tanto requiera las salvaguardas adecuadas bajo las leyes aplicables de protección de datos.

1.13. "Servicios" significa los servicios que G-P prestará al Cliente bajo el Acuerdo marco que puede incluir los servicios de la Plataforma global de empleo (Empleador de Registro) y el acceso y uso de GPP.

1..14 "Cláusulas Contractuales Estándar" o "CSE" significan (i) cuando se aplica el Reglamento General de Protección de Datos, las cláusulas contractuales estándar 2021914 4 2021 anexas a la Decisión de Ejecución (UE) 2016de la Comisión Europea / de junio cláusulas contractuales estándar para la transferencia de datos personales a terceros en virtud del Reglamento (UE) /679 del Parlamento Europeo y de la Council, disponible en https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("CSC de 462la UE"); (ii) cuando1191 2018se aplique el Reglamento General de Protección de Datos del Reino Unido, las cláusulas estándar de protección de datos aplicables adoptadas conforme al artículo()(c), o (d) cuando el Reglamento General de Protección de Datos del Reino Unido significa el Anexo Internacional de Transferencia de Datos ("Anexo del 18 Reino Unido") a las Cláusulas Contractuales Estándar de la UE emitidas por la Oficina del Comisionado de Información conforme al artículo A( 13) de la Ley de Protección de Datos, por lo que el anexo del Reino Unido puede ser revisado conforme a la Sección de la misma ("SCCs del Reino Unido"); (iii) cuando se apliquen las Leyes Suizas de Protección de Datos, las cláusulas estándar aplicables de protección de datos emitidas, aprobadas o reconocidas por la Autoridad Federal de Protección de Datos y la Oficina del Comisionado de Información de Suiza (las "SCC suizas); cuando se aplique la LGPD brasileña, las cláusulas contractuales estándar aplicables, adjuntas a la Resolución CD/ANPD nº19/2024 promulgada por la Autoridad Nacional de Protección de Datos de Brasil ("ANPD"), según puedan ser modificados de vez en cuando ("CSC de Brasil").

1.15. "Leyes Suizas de Protección de Datos" o "FADP" significa (i) Ley Federal Suiza de Protección de Datos (de fecha 19junio de 1992, a fecha de marzo de 12019) ("FDPA"); (ii) La Ordenanza sobre la Ley Federal de Protección de Datos ("FODP"); y (iii) cualquier ley nacional de protección de datos creada en virtud de, conforme a, sustituya o sucedida, y cualquier legislación que sustituya o actualice cualquiera de las anteriores.

1.16. "Anexo del Reino Unido" significa el anexo de transferencia internacional de datos del Reino Unido a las Cláusulas Contractuales Estándar de la UE emitido por el Comisionado de Información del Reino Unido.

1.17. "Leyes de Protección de Datos del Reino Unido" significan el Reglamento General de Protección de Datos salvado en la legislación del Reino Unido en virtud del artículo 3 de la Ley de Retirada de la Unión Europea del 2019 Reino Unido ("Reglamento General de Protección de Datos") del Reino Unido ("Reglamento General de Protección de Datos") y la Ley de Protección de Datos 2018 (conjuntamente, "Leyes de Protección de Datos del Reino Unido").

1.18. "Leyes de Privacidad de EE. UU." significa las leyes, órdenes, regulaciones y directrices regulatorias aplicables a los estados de Estados Unidos (EE.UU.) relacionadas con el Tratamiento de Datos Personales, incluyendo, sin limitación: (a) la CCPA; (b) la Ley de Protección de Datos del Consumidor de Virginia; (c) la Ley de Privacidad de Colorado; (d) la Ley de Connecticut relativa a la privacidad de datos y la vigilancia en línea; (e) la Ley de Privacidad del Consumidor de Utah; y (f) todas las leyes estatales similares

1.19. "Responsable" "Sujeto de Datos", "Datos Personales", "Información Personal", "Violación de Datos", "Procesador", "Procesador", "Transferencias Restringidas", "Proveedor de Servicios" y/o cualquier otro término y concepto similar tendrán los significados definidos en las Leyes de Protección de Datos.

 

 

2. CONTROL OF PERSONAL DATA

2..1  Roles de las partes. Cuando G-P actúa como Responsable independiente, G-P deberá cumplir con sus obligaciones de Responsable de Responsabilidad bajo las Leyes de Protección de Datos al tratar Datos Personales y deberá procesar dichos datos personales según lo descrito en la Política de Privacidad de G-P disponible https://www.globalization-partners.com/privacy-policy/ en. El cliente deberá cumplir con sus obligaciones bajo las Leyes de Protección de Datos al tratar datos personales como Responsable. En ningún caso las Partes procesarán Datos Personales bajo este DPA como Contraelectores Conjuntos.

2.2. Responsabilidades y reconocimientos. Cada Parte puede procesar Datos Personales bajo esta Ley de Información Independiente respecto alos Datos de Profesionales como Responsables de Tratamiento de Datos independientes. Las Partes acuerdan cumplir con sus respectivas obligaciones y tratar cualquier Datos Personales de manera justa y legal, en cumplimiento de esta Ley de Protección de Datos y de todas las Leyes de Protección de Datos aplicables a las operaciones de Tratamiento de Datos Personales de dicha Parte. Cada Parte garantizará que su tratamiento de datos personales esté limitado al propósito del GPP proporcionado por G-P y se base en una base legal para un procesamiento legal. Las Partes se apoyarán mutuamente en el cumplimiento de sus respectivas obligaciones bajo las Leyes de Protección de Datos, incluyendo, pero no limitar a, apoyar mutuamente en caso de una brecha de datos, responder a las solicitudes de los Sujetos de Datos y/o de los reguladores. 

 

3. PROCESSING OF PERSONAL DATA

 

3.1. Alcance. El uso de GPP puede implicar el procesamiento de datos del cliente por parte de G-P como procesador o proveedor de servicios en nombre del cliente.

3.2. Instrucciones. G-P procesará los datos del cliente conforme a las instrucciones documentadas del cliente. El cliente acepta que este DPA, el Acuerdo Maestro y el Anexo I adjunto a continuación comprenden las instrucciones completas del cliente para G-P respecto al tratamiento de los datos del cliente. Cualquier instrucción adicional o alternativa debe acordar por escrito entre las partes, incluyendo los costos (si los hay) asociados al cumplimiento de dichas instrucciones. Elcliente se cerciorará de que sus instrucciones cumplan con las leyes de protección de datos aplicables. El cliente reconoce que G-P no es responsable de determinar qué leyes son aplicables al negocio del cliente.El cliente se cerciorará de que el procesamiento de los datos del cliente por parte de G-P, cuando se realice conforme a las instrucciones del cliente, no G-P provoque violar ninguna ley aplicable, incluidas las leyes de protección de datos aplicables. G-P Sin embargo, si G-P opina que una instrucción al Cliente infringe las leyes aplicables de Protección de Datos, G-P notificará al Cliente tan pronto como sea razonablemente posible y no estará obligado a cumplir con dicha instrucción infractora.

3.3. Detalles del procesamiento. Los detalles sobre el objeto del Tratamiento, su duración, naturaleza y propósito, así como el tipo de Datos del Cliente y sujetos de datos, se especifican en el Anexo I adjunto a este artículo. 

3.4. Cumplimiento. El cliente y G-P acuerdan cumplir con sus respectivas obligaciones conforme a las Leyes de Protección de Datos aplicables a los Datos del Cliente que se Procesan según lo especificado en el Anexo I. El Cliente tiene la responsabilidad exclusiva de cumplir con las Leyes de Protección de Datos respecto a la legalidad del Tratamiento de Datos del Cliente antes de divulgar, transferir o poner a disposición cualquier Datos del Cliente a G-P. Para evitar dudas, en todos los casos, el Cliente deberá obtener, cuando sea necesario, cualquier consentimiento de los Sujetos de Datos para que G-P procese los Datos del Cliente según las indicaciones del Cliente.

3.5. Subprocesadores. El cliente autoriza a G-P a nombrar y emplear Procesadores ("Subprocesadores") para procesar los datos del cliente en relación con los Servicios. Los subprocesadores pueden incluir terceros o cualquier miembro del grupo de empresas G-P. G-P puede seguir empleando aquellos Subprocesadores ya comprometidos por G-P a la fecha de esta DPA, y una lista de dichos Subprocesadores está disponible en el Anexo III adjunto a continuación. Cuando un Subprocesador no cumpla con sus obligaciones de protección de datos según lo especificado, G-P será responsable ante el Cliente por el cumplimiento de sus obligaciones. G-P notificará al Cliente cualquier cambio en su lista de subprocesadores a través de GPP. Si, en un plazo de 10 (diez) días desde la recepción de dicha notificación, el Cliente objeta legítimamente la adición o eliminación de un Subprocesador por motivos de protección de datos y G-P no puede razonablemente atender la objeción del Cliente, las partes discutirán las preocupaciones del Cliente de buena fe con el fin de resolver el asunto.

3.6. Medidas de seguridad técnicas y organizacionales. Teniendo en cuenta los estándares del sector, los costos de implementación, la naturaleza, alcance, contexto y propósitos del Procesamiento, y cualquier otra circunstancia relevante relacionada con el Procesamiento de los Datos del Cliente, G-P implementará las medidas técnicas y organizacionales de seguridad adecuadas para garantizar que la seguridad, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento implicados en el Procesamiento de los Datos del Cliente sean proporcionales al riesgo respecto de dichos datos de clientes, detallados en el Anexo II adjunto aquí. G-P (i) probará y monitorear periódicamente la eficacia de sus salvaguardas, controles, sistemas y procedimientos y (ii) identificará riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de los Datos del Cliente, y se cerciorará de que estos riesgos se aborden.

3.7. Confidencialidad. G-P garantizará que las personas autorizadas para acceder a los Datos del Cliente (i) se comprometieron a la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad y (ii) accedan a los Datos del Cliente solo mediante instrucciones documentadas de G-P, salvo que así lo requiera la ley aplicable.

3.8. Filtración de datos personales. G-P notificará al cliente sin demora indebida tras tomar conocimiento de una brecha de datos relacionada con el procesamiento de datos del cliente y hará esfuerzos razonables para ayudar al cliente a mitigar, cuando sea posible, los efectos adversos de cualquier brecha de datos.

3.9. Eliminación de datos personales. En caso de desprecio de los Servicios (por cualquier motivo), G-P deberá, tan pronto como sea razonablemente posible, devolver o eliminar los Datos del Cliente almacenados en el GPP, salvo que la ley aplicable exija el almacenamiento de los Datos del Cliente durante un periodo más largo. Para dicha retención, las disposiciones de esta DPA seguirán aplicar a dichos datos de clientes.

3.10. Solicitudes de sujetos de datos. G-P deberá informar rápidamente al Cliente de cualquier solicitud de los Sujetos de Datos respecto a los Datos del Cliente. El cliente es responsable de responder a estas solicitudes. G-P ayudará razonablemente al Cliente a responder a dichas solicitudes del Sujeto de Datos en la medida en que el Cliente no pueda acceder a los Datos relevantes del Cliente en su uso del GPP.

3.11. Solicitudes de terceros. Si G-P recibe alguna solicitud de terceros o una orden de cualquier tribunal, organismo, regulador o agencia gubernamental con jurisdicción competente a la que esté sujeta G-P relacionada con el Tratamiento de Datos de Clientes bajo el Acuerdo, G-P redirigirá la solicitud de inmediato al Cliente. G-P no responderá a dichas solicitudes sin la autorización previa del Cliente salvo que se vea legalmente obligado a hacerlo. G-P, salvo que esté legalmente prohibido, informará al Cliente con antelación de cualquier divulgación de Datos del Cliente y cooperará razonablemente con el Cliente para limitar el alcance de dicha divulgación a lo legalmente requerido. 

3.12. Evaluación del impacto en la protección de datos y consulta previa. En la medida exigida por las Leyes de Protección de Datos, G-P deberá proporcionar una asistencia razonable al Cliente para llevar a cabo una evaluación de impacto en la protección de datos relacionada con el Tratamiento de Datos de Clientes realizada por G-P y/o cualquier consulta previa requerida con las autoridades supervisoras. G-P se reserva el derecho de cobrar al Cliente una tarifa razonable por la capacidad de dicha asistencia.

3..13  Auditoría. El cliente puede auditar G-P cumplimiento de esta DPA y de las Leyes de Protección de Datos aplicar un certificado emitido para verificación de seguridad que refleje el resultado de una auditoría realizada por un contralor externo (por ejemplo,27001 2 certificación ISO, certificado SOC), en un plazo de doce ()12 meses a partir de la fecha de la solicitud del cliente. Alternativamente, en caso de que la documentación proporcionada esté sujeta a esta 3 Sección.13 no es suficiente para demostrar el cumplimiento, el Cliente podrá realizar su propia auditoría además de las certificaciones o reportes de terceros proporcionados, siempre que dicha auditoría se realice: i) no más de una vez por cada 12 periodo de (doce) meses; ii) durante el horario laboral normal y sin interrumpir'negocio G-Pdiario; iii) con un aviso escrito de treinta30 () días previos; iv) a expensas exclusivas del cliente; v) basada en parámetros y alcance mutuamente acordados, limitados al alcance específico de los servicios, sistemas en uso y/o actividades de procesamiento contempladas a continuación; vi) basado en una fecha acordada previamente mutuamente, sujeto a un aplazamiento razonable por parte del G-Pcliente'solicitud razonable; y vii) de acuerdo con todas las obligaciones y restricciones de confidencialidad. No obstante lo anterior, no se concede ningún derecho de auditoría tras el desprecio del Acuerdo Maestro, salvo por obligaciones legales que el Cliente deberá demostrar. Cualquier representante externo seleccionado para realizar una auditoría en nombre del Cliente no debe tener participación en propiedad ni afiliación con una compañía, agencia, organización o consultor relacionado de servicios de Plataforma global de empleo. Nada en esta DPA obligará G-P a a divulgar al Cliente o a su contralor externo, ni a permitir que el Cliente o su contralor externo acceda a: (i) cualquier dato de cualquier G-Potro'cliente; (ii)'información G-Pinterna de contabilidad o financiera; (iii) cualquier secreto comercial de G-P o sus afiliados; (iv) cualquier información que, en G-Popinión razonable, pudiera comprometer la seguridad de cualquier G-Psistema o causar incumplimiento de sus obligaciones bajo la ley aplicable o de sus obligaciones de seguridad o privacidad hacia un tercero; o (v) cualquier información a la que el Cliente o su contralor externo busque acceder por cualquier motivo distinto al cumplimiento de buena fe de las obligaciones del Cliente bajo las Leyes de Protección de Datos.

3.14. Leyes de privacidad de EE. UU. Según esta sección 3 ("Tratamiento de Datos Personales"), lasPartes acuerdan que G-P es un "Proveedor de Servicios" o "Procesador" según se definan estos términos según las leyes de privacidad aplicables de EE. UU. En consecuencia, en la medida en que las leyes de privacidad de EE. UU. se apliquen al tratamiento de datos de clientes por parte de G-P, G-P no deberá (a) conservar, emplear ni divulgar ningún Datos de Cliente fuera de la relación comercial directa entre G-P y el Cliente, ni para ningún propósito distinto al propósito establecido en el Anexo I adjunto aquí, y G-P solo procesará Datos de Clientes mientras preste servicios al Cliente; (b) vender cualquier Datos de Clientes; (c) compartir cualquier Datos del Cliente; o (d) combinar los Datos del Cliente que G-P recibe de, o en nombre de, el Cliente con los "datos personales" (según se defina dicho término o equivalente según las Leyes de Protección de Datos aplicables) que reciba de, o en nombre de, otra persona, o recopile de su propia interacción con un consumidor, siempre que G-P pueda combinar Datos del Cliente si está dentro del ámbito de la capacidad de servicios al Cliente. Cuando corresponda, cada Parte deberá notificar a la otra si determina que ya no puede cumplir con sus obligaciones bajo las Leyes de Privacidad de EE. UU.

 

 

4. International Data Transfers

4.1. Protección adecuada. G-P está autorizada, en el curso normal del negocio, a realizar transferencias mundiales de Datos de Clientes a sus afiliados y/o subprocesadores. Al realizar dichas transferencias a un territorio que no fue reconocido por las autoridades competentes de protección de datos como proporcionando un nivel adecuado de protección para los datos personales según las Leyes de Protección de Datos, G-P garantizará la protección adecuada para salvaguardar los datos de los clientes transferidos bajo o en relación con el Acuerdo Maestro.

4.2. Marco de Privacidad de Datos. Los Datos de Profesionales y Clientes se almacenan en GPP, que está alojado en EE. UU. G-P está certificado bajo el Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. DPF) y, según corresponda, la Extensión del Reino Unido al DPF UE-EEE. UU. y la División Suizo-EE. UU. Marco de Privacidad de Datos (Suizo-EE.UU. DPF). La certificación de G-P puede confirmar públicamente en el sitio web de la DPFh ttps://www.dataprivacyframework.gov/list. El Marco de Privacidad de Datos UE-EE. UU. fue considerado adecuado por la Comisión Europea, siendo un mecanismo legal de transferencia de datos conforme al Artículo 45 del Reglamento General de Protección de Datos, el Reglamento General de Protección de Datos del Reino Unido y el FADP, respectivamente. Si el(los) Marco(s) DPF(es) son invalidados, suspendidos o ya no se reconocen como proporcionando protección adecuada para las transferencias internacionales de datos, el Procesador acepta celebrar y cumplir con los SCC emitidos o aprobados por la Comisión Europea, la Oficina del Comisionado de Información del Reino Unido (ICO) o el Comisionado Federal Suizo de Protección de Datos e Información (FDPIC), según corresponda. Las partes cooperarán de buena fe para implementar cualquier medida complementaria necesaria que garantice un nivel esencialmente equivalente de protección para los datos transferidos.

4.3. Cláusulas contractuales estándar. Las partes acuerdan que, cuando la transferencia de datos personales del Cliente (como "exportador de datos") a G-P (como "importador de datos") sea una Transferencia Restringida y las Leyes de Protección de Datos aplicables requieran que se establezcan las salvaguardas adecuadas, dicha transferencia estará sujeta a las Cláusulas Contractuales Estándar correspondientes, que se considerarán incorporadas y formarán parte de esta DPA, De la siguiente manera:

1. En relación con las transferencias de Datos Personales protegidas por el Reglamento General de Protección de Datos, se aplicarán los SCC de la UE, que se completarán de la siguiente manera:

1. Se aplicarán los Módulos Uno y Dos;
2. en la cláusula 7, se aplicará la cláusula opcional de acoplamiento;
3. en la cláusula 9 del módulo dos, se aplicará la opción 2 , y el periodo de tiempo para la notificación previa de los cambios del subprocesador será el establecido en la sección 3.5 de este DPA;
4. en la cláusula 11, no se aplicará el lenguaje opcional;
5. en la cláusula 12, cualquier reclamación presentada bajo los CSC de la UE estará sujeta a los términos y condiciones establecidos en el Acuerdo marco;
6. en la Cláusula 17, se aplicará la Opción 1 , y los SCC de la UE estarán regidos por la ley irlandesa;
7. en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
8. El Anexo I de los SCC de la UE se considerará completado con la información establecido en el Anexo 1 de este DPA; y
9. El Anexo II de los SCC de la UE se considerará completado con la información establecido en el Anexo 2 de este DPA;
10. El Anexo III del Módulo Dos de los SCC de la UE se considerará completado con la información establecido en el Anexo 3 de esta APD.

b. En relación con las transferencias de datos personales protegidos por las Leyes de Protección de Datos del Reino Unido o por las Leyes Suizas de Protección de Datos, se aplicarán los SCC de la UE según los subapartados (a) anteriores con las siguientes modificaciones:

1. las referencias al "Reglamento (UE) 2016/679" deben interpretar como referencias a las Leyes de Protección de Datos del Reino Unido o a las Leyes Suizas de Protección de Datos (según corresponda);
2. las referencias a artículos específicos del "Reglamento (UE) 2016/679" deberán ser sustituidas por el artículo o sección equivalente de la Ley de Protección de Datos del Reino Unido o de las Leyes Suizas de Protección de Datos (según corresponda);
3. las referencias a "UE", "Unión", "Estado Miembro" y "Ley de Estado Miembro" serán sustituidas por referencias a "Reino Unido" o "Suiza", o "Ley del Reino Unido" o "Ley Suiza" (según corresponda);
4. el término "estado miembro" no debe interpretar de modo que excluya a los sujetos de datos en el Reino Unido o Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (es decir, Reino Unido o Suiza);
5. No se emplean la cláusula 13(a) ni la Parte C del Anexo I y la "autoridad supervisora competente" es el Comisionado de Información del Reino Unido o el Comisionado Federal Suizo de Información sobre Protección de Datos (según corresponda);
6. las referencias a la "autoridad supervisora competente" y a los "tribunales competentes" serán sustituidas por referencias al "Comisionado de Información" y a los "tribunales de Inglaterra y Gales" o al "Comisionado Federal Suizo de Información para la Protección de Datos" y a los "tribunales aplicables de Suiza" (según corresponda);
7. En la cláusula 17, las cláusulas contractuales estándar se regirán por las leyes de Inglaterra y Gales o Suiza (según corresponda); y
8. Con respecto a las transferencias a las que se aplican las Leyes de Protección de Datos del Reino Unido, la Cláusula 18 se modificará para establecer "Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. El interesado podrá interponer una demanda contra el exportador y/o importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someter a la jurisdicción de dichos tribunales", y con respecto a las transferencias a las que se aplican las Leyes Suizas de Protección de Datos, la Cláusula 18(b) establecerá que las disputas se resolverán ante los tribunales competentes de Suiza.
9. En relación con los datos protegidos por el Reglamento General de Protección de Datos del Reino Unido, los SCC de la UE se aplicarán de la siguiente manera: (i) se aplicarán conforme se completen conforme a los párrafos (i) a (viii) anteriores; y (ii) se considerará enmendada según lo especificado por la Parte 2 del Anexo del Reino Unido, que se considerará incorporada y formará parte integral de este DPA. Además, las tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se completarán respectivamente con la información recogida en el Anexo I y el Anexo II de esta APD y la tabla 4 de la Parte 1 del Anexo del Reino Unido se considerarán completadas seleccionando "ninguna de las partes".

c. En relación con las transferencias de datos personales protegidos por la LGPD de Brasil, ya sea directamente o mediante transferencia posterior, a un país fuera de Brasil que no esté sujeto a una decisión de adecuación emitida por la ANPD, los SCC brasileños serán considerados celebrados e incorporados a esta APD por esta referencia, y se completarán de la siguiente manera:

1. La cláusula 2 de los CSC de Brasil se satisface con la información establecido en el Anexo I, que describe la transferencia de datos;
2. In Cláusula 3 de los CSC de Brasil, Opción B, se aplicará la Opción B, permitir transferencias posteriores conforme a la Sección 3.5 ("Subprocesadores") de este DPA. El asunto, la naturaleza y la duración del procesamiento se detallan en el Anexo I de esta APD;
3. La cláusula 4 de los CSC de Brasil se satisface con la información establecido en el Anexo I de este DPA. Cuando G-P sea un Controlador, será la "Parte Designada", según lo definido en los SCC de Brasil, y para efectos de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos de los Sujetos) y la Cláusula 16 (Reporte de Incidentes) de los SCC de Brasil. El cliente sigue siendo responsable del cumplimiento de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos de los Sujetos de Datos) y la Cláusula 16 Reporte de Incidentes) de los SCC de Brasil para cualquier dato personal de los que pudiera ser Responsable;
4. En la Cláusula 9 de los SCC de Brasil, la cláusula opcional de acoplamiento no se aplicará; y
5. La Sección III (Medidas de Seguridad) de los CSC de Brasil se considerará completada con la información establecido en el Anexo II de esta DPA.

 

Anexo I

Descripción del procesamiento de datos

 

Partidos	Exportador de datos: Entidad cliente que suscribe el Acuerdo marco. Importador de datos: entidad G-P que ejecuta el Acuerdo Maestro.
Datos de contacto de las partes	Datos de contacto según se establezcan en el Acuerdo Maestro.
Actividades relevantes para los datos transferidos	Actividades relacionadas con los servicios de la Plataforma global de empleo (Empleador de Registro) y el uso de GPP proporcionado al cliente como servicio.
Actividades de procesamiento	Los Datos Personales procesados/transferidos pueden estar sujetos a las siguientes actividades de tratamiento: cualquier operación relativa a los Datos Personales independientemente de los medios y procedimientos aplicados, en individuo la recopilación, organización, almacenamiento, conservación, uso, recuperación, consulta, archivo, transmisión, bloqueo, borrado o destrucción de datos, operación y mantenimiento de sistemas, cumplimiento normativo, funciones legales y de auditoría.
Duración del procesamiento	G-P procesará los datos del cliente durante la vigencia del Acuerdo Maestro y de forma continua.
Naturaleza y propósito del procesamiento	El cliente puede transferir los datos del cliente a G-P, cuyo alcance es determinado y controlado por el cliente a su entera discreción. El propósito del tratamiento es proporcionar los servicios de acuerdo con el Acuerdo Maestro.
Categorías de sujetos de datos	a) Los Datos Personales intercambiados por las Partes como Responsables Independientes se refieren a los Datos Personales de los Profesionales. b) Los datos del cliente procesados por G-P como procesador de datos corresponden a usuarios autorizados del GPP , que pueden incluir empleados y/o contratistas del cliente.
Tipos de datos personales	· Datos de contacto (como número de teléfono y email). · Datos de empleados / contratistas (como el título del puesto y el nombre de la compañía). · Datos de uso (como datos sobre el dispositivo del Usuario Autorizado y cómo interactúan con el GPP). · Datos de localización (como la ubicación derivada de la dirección IP). · datos de contenido (como el contenido de los archivos del cliente sobre los profesionales y comunicaciones relacionadas). · Credenciales (como contraseñas, contraseñas, pistas e información de seguridad similar empleada para la autenticación y el acceso a la cuenta GPP). · Cualquier dato personal proporcionado por usuarios autorizados.
Categorías especiales de datos (si corresponde)	N/A
Retención	Los datos personales se conservarán al menos durante el periodo mínimo legalmente exigido de conservación, que sea conforme a los plazos de prescripción aplicables y cumpla con las buenas prácticas comerciales.
Autoridad Supervisora Competente	La Comisión Irlandesa de Protección de Datos
Transferencias a subprocesadores	En el caso de las transferencias a encargados del tratamiento, el objeto, la naturaleza y la duración del tratamiento son los mismos que los definidos anteriormente.
Datos de contacto de privacidad de G-P	privacy@G-P.com Atención: Oficina Global de Privacidad.

 

 

Anexo II

Medidas Técnicas y Organizacionales

 

G-P fue certificada y acreditada para confirmar el cumplimiento de las normas SOC 2 y ISO 27001 , por contralor independientes. Estas certificaciones demuestran nuestro compromiso con la protección de los datos de los clientes. El programa de seguridad de G-P está diseñado para:

• Proteger la confidencialidad, integridad y disponibilidad de los Datos de Clientes en posesión de G-P o a los que G-P tiene acceso;
• Proteger contra cualquier amenaza o peligro anticipado a la confidencialidad, integridad y disponibilidad de los Datos de los Clientes;
• Proteger contra accesos, uso, divulgación, alteración o destrucción no autorizados o ilegales de los Datos de los Clientes;
• Proteger contra la pérdida accidental, destrucción o daño a los datos del cliente; y
• Salvaguardar la información según lo establecido en cualquier regulación por la que el G-P pueda regular.

 

A continuación se describen las funciones, procesos, controles, sistemas, procedimientos y medidas que G-P adoptó para garantizar la seguridad del procesamiento de datos de clientes:

1) MEDIDAS TÉCNICAS PARA GARANTIZAR LA PRIVACIDAD Y LA PROTECCIÓN DE LOS DATOS 

1. Privacidad por diseño y por defecto: G-P tiene en cuenta los requisitos del Artículo 25 Reglamento General de Protección de Datos en la fase de concepción y desarrollo del desarrollo del producto. Los procesos y funcionalidades se organizan de tal manera que los principios de protección de datos como la legalidad, transparencia, limitación de propósitos, minimización de datos, etc., así como la seguridad del procesamiento, se consideren en una fase temprana.

2. Cifrado de datospersonales: Garantizar que los datos personales solo se almacenen en el sistema de manera que no permita a terceros identificar al sujeto de los datos.

   1. Cifrado de bases de datos y almacenamiento: En todas las bases de datos empleadas por G-P se emplea un cifrado "en reposo" según el estado de la técnica, de modo que los datos de la base de datos solo pueden leer tras una autenticación adecuada en el sistema de base de datos correspondiente.

   2. Cifrado de medios de datos móviles: No está permitido el uso de operadores de datos móviles para almacenar datos de clientes.

   3. Cifrado de los portadores de datos en portátiles: Se instala un cifrado de disco duro de última generación adecuado en todos los portátiles de los empleados.

   4. Intercambio cifrado de información y archivos: En principio, el intercambio de información y archivos se cifra directamente mediante una solicitud especial. Si los datos personales o la información confidencial deben transferir a servidores que no pueden enviar mediante cargas HTTPS cifradas con TLS, estos se transferirán empleando el Protocolo de Transferencia Segura de Archivos (SFTP), un servicio de sobres cifrado u otro mecanismo cifrado según el estado del arte.

   5. Cifrado de email: En principio, todos los correos enviados por empleados de G-P están cifrados con TLS. Las excepciones pueden ser si el servidor de correo receptor no soporta TLS. El Cliente debe cerciorar de que los servidores de correo correspondientes empleados dentro del alcance del pedido soporten cifrado TLS.

3. Control de Admisión: Los controles de admisión están destinados y establecido para evitar el uso y el tratamiento de datos protegidos por las leyes de protección de datos por parte de personas no autorizadas.

   1. Uso de métodos de autenticación: El acceso a los datos personales siempre se realiza mediante protocolos cifrados: SSH, SSL/TLS, HTTPS o protocolos similares. Procedimiento de autenticación para sistemas informáticos: Autenticación multifactor de inicio de sesión en el sistema informático.

   2. Bloqueo automático en caso de inactividad: portátiles usados por empleados de G-P bloqueados con contraseña o PIN cuando no están en uso por el usuario. Además, se activa un bloqueo automático de pantalla con protección por contraseña tras 15 minutos de inactividad.

   3. Uso de software antivirus: Los portátiles empleados por los empleados de G-P están equipados con un antivirus de última generación que se mantiene actualizado en todos los sistemas informáticos operativos o empresariales. Por principio, ninguna computadora puede operar sin protección antivirus residente a menos que se adoptaron otras medidas de seguridad equivalentes de última generación o no exista riesgo. Los ajustes de seguridad por defecto no deben desactivar ni eludir.

   4. "Política de Escritorio Limpio": Se instruye a los empleados de G-P a no imprimir ni almacenar localmente datos personales de los sujetos de datos, no dejar materiales de trabajo en un lugar donde puedan ser vistos por terceros y almacenar todos los materiales de trabajo correctamente. Los documentos que G-P está obligado por ley a conservar en papel se almacenan en clósets cerrados con llave.

4. Controles de acceso dentro de la plataforma: Los controles de acceso garantizan que las personas autorizadas para emplear un sistema de procesamiento tengan acceso únicamente a los datos personales cubiertos por su autorización de acceso.

   1. Roles y autorización

      1. Plataforma de Roles y Autorización – Acceso al Cliente: Los usuarios del cliente pueden ver y editar la información de la cuenta del cliente.

      2. Plataforma de Roles y Autorización – Acceso Profesional: Los usuarios profesionales pueden ver y editar su propia información profesional. Los profesionales también pueden obtener un puesto de acceso al cliente si se requiere + aprobación

      3. Roles y Plataforma de Autorización – Acceso Interno: Los usuarios de acceso interno tienen roles variados. Tienen acceso variado para crear, ver, editar y aprobar lo siguiente:

         • Información del cliente

         • Información de facturación

         • Información sobre socios

         • Información sobre registros profesionales de personal

      4. El acceso al sistema de administración generalmente se limita a empleados formados en las áreas de atención al cliente y desarrollo de productos.

5. Firewall como servicio: G-P emplea un firewall externo como servicio que le permite conceder o bloquear el acceso a sitios web para cerciorar de que los sistemas no puedan acceder a contenido malicioso y para restringir el acceso a contenido inapropiado.

6. Registro de inicio de sesión en la plataforma: G-P mantiene un registro de toda la actividad de inicio de sesión.

7. Separabilidad: Garantizar que los datos personales recogidos para diferentes fines puedan procesar por separado y se separen de otros datos y sistemas de tal manera que se excluya el uso no planeado de estos datos para otros fines.

   1. Separación de entornos de desarrollo, prueba y operativo: Los datos del entorno operativo solo pueden transferir a entornos de prueba o desarrollo si se hicieron completamente anónimos antes de la transferencia. La transferencia de los datos anonimizados debe estar cifrada o a través de una red confiable. El software que se va a transferir al entorno operativo debe ser primero probado en un entorno de prueba idéntico ("staging"). Los programas para análisis de errores o la creación/compilación de software solo pueden usar en el entorno operativo si esto no puede evitar. Esto es especialmente cierto si las situaciones de error dependen de datos que podrían ser falsificados debido a los requisitos de anonimización al transferir a entornos de prueba.

   2. Separación en redes: G-P separa sus redes según tareas. Las siguientes redes se emplean de forma permanente: entorno operativo ("Producción"), entorno de pruebas ("Staging", "Sandbox"), entorno de desarrollo ("Dev") personal de TI de oficina. Además de estas redes, se crean redes separadas adicionales según sea necesario, por ejemplo, para pruebas de restauración y pruebas de penetración. Dependiendo de las posibilidades técnicas, las redes se separan físicamente o mediante redes virtuales.

8. Control de disponibilidad : G-P toma las siguientes medidas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental.

   1. Procedimientos de protección de datos/copia de seguridad: Para garantizar una disponibilidad adecuada, G-P implementa instantáneas diarias de su base de datos con replicación a otra región. También se toman medidas para cerciorar que los empleados con necesidad laboral de revisar datos tengan acceso únicamente a conjuntos de datos réplica.

   2. Redundancia geográfica respecto a la infraestructura de servidores de datos productivos y copias de seguridad

   3. Gestión de incidentes informáticos ("Gestión de Respuesta a Incidentes"): Existe un concepto y procedimientos documentados para gestionar incidentes y eventos relevantes para la seguridad. Esto incluye la planeación y preparación de la respuesta a incidentes, los procedimientos para la supervisión, detección y análisis de eventos relevantes para la seguridad y la definición de responsabilidades y canales de reporte correspondientes en caso de violación de la protección de los datos personales dentro del marco de los requisitos legales.

2) MEDIDAS ORGANIZACIONALES PARA GARANTIZAR LA PRIVACIDAD Y PROTECCIÓN DE LOS DATOS

G-P implementó las siguientes medidas organizacionales para garantizar que la organización opere de manera que cumpla con los requisitos de privacidad y protección de datos.

1. Instrucciones organizacionales: G-P desarrolló y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y directrices para que los empleados las sigan. La documentación incluye cómo identificar y gestionar cuestiones de privacidad de datos, mejores prácticas para garantizar el cumplimiento de la privacidad y políticas para abordar incidentes de privacidad.
2. Compromiso con la confidencialidad y la protección de datos: G-P desarrolló y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y directrices para que los empleados las sigan. Todos los empleados y contratistas están obligados por escrito a la confidencialidad y la protección de datos, así como a otras leyes pertinentes. Todos los empleados reciben formación en privacidad y seguridad. Se realizan auditorías internas sobre protección de datos y seguridad de la información de forma regular. Las auditorías se realizan en base a criterios o esquemas comunes de prueba. Los empleados y contratistas de G-P están instruidos a procesar datos personales únicamente por motivos legales, conforme a los contratos aplicables con el cliente y el profesional, teniendo en cuenta cualquier consentimiento expreso dado o negado por el sujeto de los datos, y en cumplimiento de cualquier deber legal de la organización.
3. Formación en protección de datos: Todos los empleados reciben formación en privacidad y seguridad que permanece disponible para revisión en cualquier momento en la plataforma de formación G-P.
4. Controles físicos de acceso: G-P cuenta con los siguientes controles físicos para negar el acceso a personas no autorizadas al equipo de sistemas informáticos empleado para su procesamiento.
   1. Protección electrónica de puertas: Las puertas de entrada a las oficinas de G-P siempre están cerradas y aseguradas electrónicamente. Las puertas se abren mediante un transpondedor electrónico personal.
   2. Distribución controlada de claves: Se realiza una asignación central y documentada de claves a los empleados de G-P. Estos transpondedores/llaves electrónicas podían ser desactivados centralmente por cada responsable de oficina o por el departamento de Recursos Humanos.
   3. Supervisión y acompañamiento de personas externas: Los proveedores de servicios externos y otros terceros solo podrán acceder a las instalaciones mediante autorización previa o cuando estén acompañados por un empleado de G-P. G-P aplica su Política de Visitantes escrita cuando se invita a los visitantes a las instalaciones.
   4. Protección de locales con mayor necesidad de protección: Los locales o clósets con mayores requisitos de protección, como oficinas legales y ciertas ubicaciones de operaciones, están equipados con clósets y cajones con llave. Los clósets y cajones donde se almacenan documentos legales, contratos y documentación confidencial deben estar cerrados con llave en todo momento, excepto cuando estén en uso.
   5. Puertas y ventanas cerradas: Se instruye organizativamente a los empleados para mantener las ventanas y puertas cerradas o cerradas fuera del horario de oficina.
5. Recuperabilidad: G-P garantiza que los sistemas en uso puedan restaurar en caso de fallo físico o técnico.

   1. Pruebas regulares de recuperación de datos ("Restore-Tests"): Se realizan pruebas regulares de restauración completa para garantizar la recuperación en caso de emergencia o desastre.

   2. Plan de emergencia ("Concepto de Recuperación ante Desastres"): Existe un concepto para el tratamiento de emergencias/desastres y un plan de emergencia correspondiente. G-P garantiza la recuperación de todos los sistemas a partir de las copias de seguridad o copias de seguridad de datos, normalmente en un plazo de 48 horas.

   3. Medidas de revisión y evaluación: Presentación de los procedimientos para la revisión periódica, evaluación y valoración de la efectividad de las medidas técnicas y organizacionales.

6. Equipo de Privacidad: La organización cuenta con una Oficina de Privacidad global de los datos encargada de planear, implementar, evaluar y adaptar medidas en el ámbito de la protección de datos.

7. Gestión de riesgos: Existe un proceso para analizar, evaluar y asignar riesgos y para derivar medidas basadas en estos riesgos.

3) REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN

1. Rendimiento de las auditorías: Las auditorías internas sobre protección de datos y seguridad de la información se realizan de manera regular. Las auditorías se realizan en base a criterios o esquemas comunes de prueba.
2. Revisión del cumplimiento de las políticas y normas de seguridad: El cumplimiento de las directrices de seguridad, normas y otros requisitos de seguridad aplicables para el tratamiento de datos personales se revisa de manera regular. Cuando es posible, estas comprobaciones se realizan de forma aleatoria e inesperada.
3. Verificación del cumplimiento de las especificaciones técnicas: El departamento de TI u otro personal cualificado realiza escaneos automáticos y manuales regulares de vulnerabilidades para verificar la seguridad de las aplicaciones e infraestructura, así como el desarrollo regular del producto. Un proveedor externo realiza pruebas de penetración detalladas para examinar específicamente las aplicaciones e infraestructura en busca de vulnerabilidades.
4. Procesamiento por instrucción: Los empleados de G-P están instruidos a procesar datos personales únicamente por motivos legales, conforme a los contratos aplicables con el cliente y el profesional, teniendo en cuenta cualquier consentimiento expreso dado o retenido por el usuario de los datos, y cumpliendo con cualquier deber legal de la organización.
5. Selección cuidadosa de proveedores: G-P sigue su Proceso de Precalificación de Proveedores al seleccionar proveedores y proveedores que puedan encontrar con datos protegidos. Este proceso incluye comentarios de los departamentos de Finanzas y Legal/Privacidad e incorpora pasos de evaluación de riesgos, precualificación de seguridad y certificación documental. Los proveedores que procesen datos protegidos deberán demostrar su cumplimiento de las leyes de privacidad de datos aplicables, incluido el Artículo 28 Reglamento General de Protección de Datos para los datos cubiertos.

 

Anexo III 

Lista de subprocesadores

 

Subprocesador	Ubicación e información de contacto	Descripción del procesamiento
Filiales de G-P	https://www.globalization- partners.com/contact-us/	Proporcionando la Plataforma y la gestión de relaciones con clientes
Acumatica	3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, EE. UU.	Servicios financieros
Servicio Sitio web de Amazon	P.O. Caja 81226 Seattle, WA 98108-1226, EE. UU.	Hosting – Proveedor de servicios en la nube
Microsoft	Microsoft Corporation One Microsoft Way Redmond, Washington 98052 EE. UU. Teléfono: (+1) 425-882-8080.	Soporte de procesos de negocio para la gestión de comunicaciones (email) y servicios.
Atlassian	350 Planta de Bush Street 13 Santo Francisco, CA 94104, EE. UU. +1 415 701 1110	Soporte de procesos de negocio para la gestión de servicios
DocuSign	DocuSign International (Europa, Oriente Medio y África (EMEA)) Ltd, Atención: Equipo de Privacidad, 5 Hanover Quay, Planta baja, Dublín 2, República de Irlanda	Gestión documental
Salesforce.com	Salesforce Tower, 415 Mission Street, 3piso de carrera, Santo Francisco, CA 94105, EE. UU. 1-800-387-3285	Soporte de Procesos de Negocio para la Gestión de Relaciones con Clientes (CRM)
Zendesk	989 Market St Santo Francisco, CA 94103, EE . UU. zendesk.com 888-670-4887	Consultas de soporte técnico para atención al cliente
Workday	6110 Calle Stoneridge Mall Pleasanton, CA 94588, EE. UU.	Soporte de procesos empresariales para la gestión de nóminas, beneficios, Recursos Humanos y datos de empleado.
Servicio actual	2225 Lawson Lane Santa Clara, CA, 95054 EE. UU.	Soporte de procesos empresariales para la gestión de servicios y operaciones de TI, las experiencias de empleado y cliente a través de (flujo de trabajo automatizado basado en la nube)
Databricks	160 Calle Spear, 15planta Santo Francisco, CA 94105 1-866-330-0121 EE. UU.	Infraestructura de almacén de datos en la nube.
Datadog	620 8Avenida 45Planta Nueva York, NY 10018 EE. UU.	Herramienta de monitorización y depuración de servicios
Wise	Avenue Louise 54, Habitación s52, 1050 Bruselas Bélgica	Procesador de pagos online
Google	1600 Anfiteatro Pkwy, Mountain View, CA 94043	Soporte de procesos de negocio para comunicaciones (email) y almacenamiento interno de documentos