Anexo tratamiento de datos

CÓMO EJECUTAR ESTE DPA:

Para completar este acuerdo de protección de datos, envíe un correo electrónico. legal@digital.aiTras la recepción de un DPA debidamente cumplimentado por Digital.ai, dicho acuerdo de enjuiciamiento diferido será jurídicamente vinculante.

Se puede descargar una versión en PDF del DPA. aqui Para revisión del cliente.

Anexo tratamiento de datos

Este Anexo de Protección de Datos (“DPA”) forma parte del Acuerdo (definido más adelante) entre Digital.ai y Cliente para Digital.ai para prestar servicios al Cliente. Salvo que se defina lo contrario en el presente documento, todos los términos en mayúsculas tendrán el significado que se les atribuye en el Contrato aplicable.

Digital.ai podrá, en el curso de la prestación de Servicios al Cliente de conformidad con el Acuerdo, Procesar Datos Personales del Cliente que estén sujetos al Reglamento General de Protección de Datos de la Unión Europea, Reglamento (UE) 2016/679 (“RGPD UE”) y el RGPD de la UE, ya que forma parte del derecho del Reino Unido en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) de 2018 (“Reino Unido GDPR”) (colectivamente, los “GDPR) u otras leyes de protección de datos. Este acuerdo de protección de datos establece las obligaciones de las partes con respecto al tratamiento de datos personales de conformidad con el presente acuerdo.

En consideración a las obligaciones mutuas aquí establecidas, las partes acuerdan cumplir con las siguientes disposiciones, actuando cada una de manera razonable y de buena fe.

1. DEFINICIONES

"Afiliados“ significa cualquier persona o entidad que directa o indirectamente posea, controle o sea controlada por, o esté bajo control común con una parte, donde control se define como poseer o dirigir más del 50% de los valores de capital con derecho a voto o un interés de propiedad similar en la entidad controlada.

"Acuerdo“ significa todos los acuerdos actuales y futuros entre Digital.ai y el Cliente en relación con el cual Digital.ai proporciona servicios que implican el procesamiento de datos personales en nombre del cliente, como por ejemplo un contrato marco de suscripción (“Contratos regionales”) y todos los Pedidos aplicables a los Servicios. Este DPA se incorpora a dicho(s) Acuerdo(s) mediante esta referencia.

"Control“ significa la entidad que, sola o conjuntamente con otras, determina los fines y los medios del Tratamiento de Datos Personales.

"Leyes de protección de datos“ significa todas las leyes de protección de datos aplicables a la protección de los derechos y libertades fundamentales de las personas y su derecho a la privacidad con respecto al procesamiento de datos personales en virtud del Acuerdo, incluidas las leyes y reglamentos locales, estatales, nacionales y/o extranjeros, el RGPD y las implementaciones del RGPD en la legislación nacional, según sean modificadas, sustituidas o reemplazadas de vez en cuando.

"Datos personales“” significa cualquier Dato del Cliente (tal como se define en el Acuerdo) que se refiera a una persona física identificada o identificable (“Sujeto de datos”), que está protegida por la Ley de Protección de Datos.

"Violación de datos personales“Se refiere a una violación de seguridad que conlleva la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a datos personales transmitidos, almacenados o tratados de otro modo, y por la cual un responsable del tratamiento está obligado, en virtud de la legislación de protección de datos, a notificar a las autoridades competentes en materia de protección de datos o a los interesados.

"Procesabilidad“ significa cualquier operación o conjunto de operaciones que se realicen sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, tales como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación o la combinación, la restricción, la supresión o la destrucción.

"Procesador" significa la entidad que procesa datos personales en nombre del responsable del tratamiento.

"Servicios“ significa la prestación de servicios de mantenimiento y soporte y/o la prestación de software como servicio (“SaaS”) y/o cualquier otro servicio, alojado, gestionado o de otro tipo, que se presten en virtud del presente Acuerdo y para los fines de los cuales Digital.ai Procesa datos personales en nombre del cliente.

"Cláusulas contractuales estándar«» significa (i) cuando se aplique el RGPD de la UE, las cláusulas anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, publicada oficialmente en https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  ("SCC 2021”); y (ii) cuando sea aplicable el RGPD del Reino Unido, las cláusulas estándar de protección de datos adoptadas de conformidad con el artículo 46 del RGPD del Reino Unido o permitidas en virtud del mismo, tal como se publicaron oficialmente en https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 ("SCC 2010").

"Subprocesador"Significa un Digital.ai Afiliado o tercero contratado por Digital.ai en relación con los Servicios y que procesa datos personales de conformidad con este DPA.

"Autoridad supervisora“ significa una autoridad pública independiente establecida bajo las Leyes de Protección de Datos aplicables.

2 TRATAMIENTO DE DATOS PERSONALES

2.1. Función de las partes. Este DPA se aplica al tratamiento de datos personales por parte de Digital.ai y sus subencargados del tratamiento en relación con la prestación de los Servicios. A efectos del presente acuerdo de protección de datos, Digital.ai es el Procesador y el Cliente es el Controlador.

2.2. Alcance del Tratamiento. El objeto y la duración del Tratamiento de Datos Personales se establecen en el Contrato, que describe la prestación de los Servicios al Cliente. La naturaleza y los fines del Tratamiento para los que se tratan los Datos Personales en nombre del Cliente, los tipos de Datos Personales y las categorías de Interesados ​​se establecen en el Contrato. Anexo 1 a este DPA.

2.3. Instrucciones. Digital.ai Solo procesaremos los datos personales en nombre del Cliente y de conformidad con sus instrucciones documentadas. El Acuerdo (incluido este DPA) constituye dichas instrucciones iniciales documentadas para el procesamiento de los datos personales del Cliente, y cada uso de los Servicios constituye instrucciones adicionales. Digital.ai Hará todo lo posible por cumplir con otras instrucciones razonables del Cliente, siempre que sean coherentes con los términos de los Acuerdos, exigidas por la Ley de Protección de Datos y técnicamente viables. Digital.ai informará al Cliente si no puede cumplir con una instrucción o en Digital.aiEn opinión de [Nombre de la empresa], cualquier instrucción del Cliente infringe las Leyes de Protección de Datos aplicables.

2.4. Cumplimiento de la legislación. Las partes acuerdan cumplir con toda la legislación aplicable en materia de protección de datos, tal y como se detalla a continuación:

2.4.1. Digital.ai cumplirá con todas las leyes de protección de datos aplicables a Digital.ai en su función de Encargado del Tratamiento de Datos Personales. Al prestar los Servicios, Digital.ai Procesará los Datos Personales de conformidad con las instrucciones documentadas del Cliente, incluso en lo que respecta a las transferencias de Datos Personales a un tercer país u organización internacional (como se describe en la Sección 7). Digital.ai También podrá procesar datos personales cuando así lo exijan las leyes de protección de datos aplicables, en cuyo caso Digital.ai informará al Cliente de ese requisito legal antes del Procesamiento, a menos que la ley prohíba dicha notificación por razones importantes de interés público.

2.4.2. El Cliente deberá cumplir con todas las Leyes de Protección de Datos que le sean aplicables en su calidad de Responsable del Tratamiento y deberá obtener todos los consentimientos necesarios, así como proporcionar todas las notificaciones necesarias, a los Interesados ​​para que puedan ser informados. Digital.ai Para llevar a cabo lícitamente el Tratamiento contemplado en este DPA. El Cliente es responsable de la exactitud y calidad de los Datos Personales, así como de los medios por los que los obtuvo.

3. DERECHOS DEL TITULAR DE LOS DATOS

3.1. Solicitudes de interesados. Digital.ai lo hará de una manera coherente con la funcionalidad de los Servicios y Digital.aiEn su función como Procesador, proporcionará un apoyo razonable al Cliente para que este pueda responder a las solicitudes de los interesados ​​para ejercer sus derechos en virtud de las leyes de protección de datos aplicables (“Solicitudes de sujetos de datos").

3.2. Respuesta a las solicitudes de los interesados. El cliente es responsable de responder a las solicitudes de los interesados. Si Digital.ai recibe una solicitud del interesado u otra queja de un interesado en relación con el tratamiento de datos personales, Digital.ai notificaremos de inmediato al Cliente, en la medida en que lo permita la ley, siempre que el Titular de los Datos haya proporcionado información suficiente para identificar al Cliente. Salvo que lo exija la legislación aplicable, Digital.ai No responderá a ninguna solicitud del interesado sin la autorización o instrucción previa por escrito del Cliente, excepto para confirmar que dicha solicitud se refiere al Cliente.

4. CONSERVACIÓN Y ELIMINACIÓN DE DATOS PERSONALES

4.1. Conservación de datos personales. Tras la finalización del Acuerdo entre las partes y/o una vez finalizada la prestación de los Servicios a los que se aplica este DPA, Digital.ai Eliminará o devolverá cualquier Dato Personal del Cliente de conformidad con las Leyes de Protección de Datos y/o de acuerdo con los términos del Acuerdo tan pronto como sea razonablemente posible, a menos que la ley aplicable requiera un almacenamiento adicional.

5. SEGURIDAD DEL TRATAMIENTO

5.1. Medidas de seguridad. Digital.ai implementará y mantendrá las medidas técnicas y organizativas apropiadas, según se especifica en Anexo II Este acuerdo de protección de datos (APD) se aplica para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizado, ya sea accidental o ilícito, de conformidad con la legislación aplicable en materia de protección de datos. El cliente es responsable de determinar de forma independiente si las medidas técnicas y organizativas de los servicios cumplen con sus requisitos, incluidas sus obligaciones de seguridad en virtud de la legislación aplicable en materia de protección de datos.

5.2. Personal. Para el tratamiento de datos personales, Digital.ai y sus subencargados del tratamiento solo otorgarán acceso al personal autorizado que se haya comprometido a cumplir con requisitos de confidencialidad al menos tan estrictos como los de este acuerdo de protección de datos o el presente Contrato. Dicho personal deberá tratar los datos personales de conformidad con las instrucciones del Cliente, según lo estipulado en el Contrato, y únicamente en la medida necesaria para la prestación de los Servicios.

6. SUBPROCESADORES

6.1. Uso de subprocesadores. El cliente autoriza Digital.ai contratar subprocesadores de conformidad con este DPA, siempre que Digital.ai suscribirá un acuerdo por escrito con dichos Subprocesadores que sea coherente con los términos del presente. Digital.ai será responsable de los actos y omisiones de cualquier Subprocesador en la misma medida que si fueran realizados por Digital.ai.

6.2. Lista de subprocesadores. La lista de subprocesadores utilizados por Digital.ai La prestación de los Servicios, a partir de la fecha de entrada en vigor del presente DPA, se adjunta como Anexo III y se publica en: https://info.digital.ai/rs/981-LQX-968/images/Data-Protection-FAQ-February-2025.pdf  ("Lista de subprocesadores"). Digital.ai notificará al Cliente cualquier adición o reemplazo previsto a la Lista de Subprocesadores actualizando la Lista de Subprocesadores publicada al menos treinta (30) días antes de autorizar a cualquier nuevo Subprocesador a Procesar Datos Personales.

6.3. Derecho de oposición. Esta Sección 6.3 se aplicará en la medida en que el Cliente esté establecido dentro del Espacio Económico Europeo (“EEA”), el Reino Unido (“UK”) y/o Suiza o donde así lo exijan las leyes de protección de datos aplicables al Cliente. En tal caso, si el Cliente se opone por motivos razonables relacionados con la protección de datos a Digital.aiSi el Cliente utiliza un nuevo Subprocesador, deberá notificarlo de inmediato, y dentro de los quince (15) días siguientes Digital.aiLa notificación de conformidad con la Sección 6.2 anterior, proporciona Digital.ai con notificación escrita de dicha objeción. En caso de que se presente dicha objeción, Digital.ai Adoptará medidas comercialmente razonables para abordar las objeciones planteadas por el Cliente y le proporcionará una explicación escrita razonable de las medidas adoptadas para abordar dichas objeciones.

7. TRANSFERENCIAS DE DATOS

7.1. Transferencias. El cliente autoriza Digital.ai y sus subencargados del tratamiento para tratar datos personales con el fin de prestar los servicios, tratamiento que puede incluir la realización de las transferencias necesarias de datos personales, de conformidad con los términos de este acuerdo de protección de datos.

7.2. Transferencias restringidas. Todas las transferencias de datos personales en virtud de este DPA fuera del EEE, el Reino Unido y/o Suiza a países que no garanticen un nivel adecuado de protección de datos en el sentido de las leyes de protección de datos de los territorios mencionados (“Países restringidos”) se regirá por las Cláusulas Contractuales Estándar pertinentes, que se incorporan al presente Acuerdo de Protección de Datos. La transferencia safeLas salvaguardias, tal como se establecen en esta Sección 7, se aplicarán a: (i) cuando sea aplicable el RGPD de la UE, una transferencia de datos personales desde el EEE o Suiza a un país restringido; y (ii) cuando sea aplicable el RGPD del Reino Unido, una transferencia de datos personales desde el Reino Unido a un país restringido; (“Transferencias restringidas").

7.3. Cláusulas Contractuales Tipo (CCT) entre Responsable del Tratamiento y Encargado del Tratamiento: Las Cláusulas Contractuales Tipo se aplicarán a cualquier Transferencia Restringida de Datos Personales del Cliente (como “exportador de datos”) al Encargado del Tratamiento. Digital.ai (como “importador de datos”), como sigue:

7.3.1. Datos personales de la UECon respecto a los Datos Personales protegidos por el RGPD de la UE, las Cláusulas Contractuales Tipo (CCT) de 2021 se aplicarán completadas de la siguiente manera: (i) Se aplicará el Módulo Dos (Responsable del Tratamiento a Encargado del Tratamiento) y se eliminarán íntegramente los Módulos Uno, Tres y Cuatro; (ii) Se eliminará íntegramente la Cláusula 7 y las partes podrán añadir entidades adicionales a este Acuerdo de Protección de Datos (APD) mediante la suscripción de un APD adicional (según se ponga a disposición). aqui; (iii) en la Cláusula 9, se aplicará la Opción 2, como se detalla en la Sección 6 de este DPA; (v) en la Cláusula 17, se aplicará la Opción 1 y las Cláusulas Contractuales Tipo de 2021 se regirán por la ley neerlandesa; (vi) en la Cláusula 18(b), las controversias se resolverán ante los tribunales de los Países Bajos; y (vii) los Anexos I y II de las Cláusulas Contractuales Tipo de 2021 se completarán con la información establecida en los Anexos I y II adjuntos a este DPA.

7.3.2. Datos personales suizosA efectos de las Cláusulas Contractuales Tipo (CCT) de 2021, el término «Estado miembro» no se interpretará de forma que excluya a los interesados ​​residentes en Suiza de la posibilidad de interponer una demanda para el ejercicio de sus derechos en su lugar de residencia habitual (Suiza), de conformidad con la cláusula 18(c). Hasta el 31 de diciembre de 2022, y durante cualquier período superior que exija la legislación suiza aplicable, las CCT de 2021 también protegerán los datos de las personas jurídicas en el ámbito de aplicación de la Ley Federal Suiza de Protección de Datos de 19 de junio de 1992 (SR 235.1; «LPD»).

7.3.3. Datos personales del Reino UnidoCon respecto a los Datos Personales protegidos por el RGPD del Reino Unido, se aplicarán las Cláusulas Contractuales Tipo de 2010 en lo que respecta a las transferencias de Datos Personales desde el Reino Unido. Cualquier modificación, actualización o versión enmendada futura de las Cláusulas Contractuales Tipo de 2010 introducida por la Autoridad de Protección de Datos del Reino Unido con el fin de cumplir con las disposiciones sobre transferencia internacional de datos de la Ley de Protección de Datos del Reino Unido de 2018 se incorporará al acuerdo entre el Cliente y este, formando parte del mismo. Digital.aiLos apéndices 1 y 2 de las Cláusulas Contractuales Tipo de 2010 se completarán con la información establecida en los anexos I y II adjuntos a este Acuerdo de Protección de Datos.

7.4. Aclaraciones. Ninguna de las partes pretende, ni el efecto del presente Acuerdo de Protección de Datos (APD), contradecir o restringir ninguna de las disposiciones establecidas en las Cláusulas Contractuales Tipo. En ningún caso el presente APD restringe o limita los derechos de ningún interesado ni de la Autoridad de Control competente. Ninguna disposición del presente APD se interpretará como que prevalece sobre ninguna cláusula contradictoria de las Cláusulas Contractuales Tipo de 2010 o de las Cláusulas Contractuales Tipo de 2021. Cuando el presente APD especifique normas adicionales sobre auditoría y subencargados del tratamiento, dichas especificaciones también se aplicarán a las Cláusulas Contractuales Tipo de 2010 y de las Cláusulas Contractuales Tipo de 2021.

7.5. Mecanismo alternativo de transferencia de datos. Para evitar dudas, si el mecanismo de transferencia identificado en esta Sección 7 fuera declarado inválido por una Autoridad de Control o un tribunal con competencias válidas, las Partes procurarán de buena fe negociar un mecanismo alternativo (si estuviera disponible y fuera necesario) que permita la continuidad de la transferencia de Datos Personales.

8. NOTIFICACIÓN DE VIOLACIÓN DE DATOS PERSONALES

8.1. Notificación de violación de datos personales. Digital.ai notificará al Cliente de inmediato y sin demora indebida tras tener conocimiento de cualquier violación de seguridad de datos personales que afecte a los datos personales del Cliente procesados ​​por Digital.ai y proporcionar información razonable de la que disponga para ayudar al Cliente a cumplir con sus obligaciones de informar sobre una violación de datos personales según lo exigen las leyes de protección de datos. Digital.ai Realizará esfuerzos razonables para identificar la causa de dicha violación de datos personales y tomará las medidas apropiadas para mitigar los efectos y minimizar cualquier daño resultante de la violación de datos personales en la medida en que dicha remediación esté dentro de los plazos establecidos. Digital.aibajo el control razonable de [nombre de la empresa]. La notificación se entregará al Cliente de conformidad con la Sección 8.2. Dicha notificación no se interpretará ni se considerará como una admisión de culpa o responsabilidad por parte de [nombre de la empresa]. Digital.ai.

8.2. Notificación. Las notificaciones de violaciones de datos personales, si las hubiera, se enviarán a uno o más contactos comerciales, técnicos o administrativos del Cliente mediante Digital.ai El cliente puede seleccionar información, incluso por correo electrónico. Es responsabilidad del cliente asegurarse de proporcionar y mantener información de contacto precisa en todo momento.

9. AUDITORÍA

9.1. Solicitudes de información. Digital.ai pondrá a disposición del Cliente, previa solicitud razonable por escrito, la información relativa al Tratamiento de Datos Personales del Cliente en la medida necesaria para demostrar Digital.aisu cumplimiento con las obligaciones establecidas en este DPA.

9.2. Auditoría del cliente. Digital.ai permitirá las solicitudes de inspección por parte del Cliente (o su auditor independiente) relacionadas con los Datos Personales Procesados ​​por Digital.ai para verificar Digital.aisu cumplimiento con este DPA, si: (a) Digital.ai no ha proporcionado pruebas escritas suficientes de su cumplimiento con las medidas técnicas y organizativas, por ejemplo, una certificación de cumplimiento con la norma ISO 27001 u otras normas; (b) se ha producido una violación de seguridad de datos personales; (c) la Autoridad de Control del Cliente solicita formalmente una auditoría; o (d) la Ley de Protección de Datos otorga al Cliente el derecho a una inspección in situ obligatoria; y siempre que el Cliente no ejerza este derecho más de una vez al año, a menos que la Ley de Protección de Datos exija inspecciones más frecuentes. Cualquier información proporcionada por Digital.ai De conformidad con la presente Sección 9, se aplican las obligaciones de confidencialidad del Acuerdo. Dichas inspecciones se llevarán a cabo de manera que no afecten la seguridad, la confidencialidad, la integridad, la disponibilidad ni la continuidad de las instalaciones, redes y sistemas inspeccionados, ni comprometan ningún dato confidencial procesado en ellos.

9.3. Coste de la auditoría. El cliente será responsable de los costes de cualquier auditoría, salvo que dicha auditoría revele un incumplimiento sustancial por parte del cliente. Digital.ai de este DPA, entonces Digital.ai correrá con sus propios gastos de auditoría. Si una auditoría determina que Digital.ai ha incumplido sus obligaciones en virtud de este acuerdo de protección de datos, Digital.ai Subsanará de inmediato la infracción a su propio costo.

10. EVALUACIONES DE IMPACTO DE LA PROTECCIÓN DE DATOS

10.1. Si la legislación aplicable en materia de protección de datos exige al Cliente realizar una evaluación de impacto relativa a la protección de datos o una consulta previa con una Autoridad de Control en relación con el uso que el Cliente haga de los Servicios, Digital.ai Proporcionará, a solicitud razonable del Cliente, los documentos que estén generalmente disponibles para los Servicios; por ejemplo, cualquier informe SOC 2 de Control Organizacional de Servicios (SOC) vigente, certificaciones ISO/IEC 27001:2013 y/o informes sucesores estándar comparables de la industria, según sea aplicable a los Servicios.

10.2. Cualquier asistencia adicional en la cooperación o consulta previa con una Autoridad de Control en el desempeño de sus funciones relacionadas con esta Sección 10, en la medida en que lo exija la Ley de Protección de Datos, se acordará mutuamente entre las Partes teniendo en cuenta la naturaleza del Tratamiento y la información disponible. Digital.aiEn la medida en que lo permita la ley, el Cliente será responsable de cualquier costo derivado de Digital.aila prestación de dicha asistencia

11. GENERAL

11.1. Afiliados del Cliente. El Cliente es responsable de coordinar toda la comunicación con Digital.ai El Cliente, en nombre de sus Afiliadas, declara estar autorizado para suscribir este Acuerdo de Protección de Datos (APD) y cualquier Cláusula Contractual Estándar incorporada al mismo o suscrita en virtud del mismo, emitir instrucciones y realizar y recibir cualquier comunicación o notificación relacionada con este APD en nombre de sus Afiliadas.

11.2. Conflicto. La ley aplicable y los tribunales competentes para este Acuerdo de Protección de Datos (APD) son los del Acuerdo principal al que se adjunta. En caso de conflicto o inconsistencia entre este APD y el Acuerdo, prevalecerá este APD en la medida en que dicho conflicto o inconsistencia se refiera a Datos Personales.

11.3. Terminación. La vigencia de este DPA finalizará de conformidad con los términos del Acuerdo.

11.4. Disposiciones varias. Toda referencia al presente Acuerdo de Protección de Datos (APD) se refiere al presente APD, incluidos sus anexos y/o apéndices. Los títulos de las secciones del presente APD se incluyen únicamente a título informativo y no afectarán en modo alguno a su significado o interpretación.

EN FE DE LO CUAL, se suscribe el presente Acuerdo de Protección de Datos (APD) y pasa a formar parte vinculante del/de los Acuerdo(s) entre el Cliente y Digital.ai, a partir de la fecha de firma del cliente que figura a continuación. Si este documento ha sido firmado electrónicamente por alguna de las partes, dicha firma tendrá la misma validez legal que una firma manuscrita.

ANEXO I

Descripción del procesamiento

Este Anexo 1 se aplica para describir el Tratamiento de los Datos Personales del Cliente a efectos de las Cláusulas Contractuales Estándar de 2010, las Cláusulas Contractuales Estándar de 2021 y la legislación aplicable en materia de protección de datos.

A. LISTA DE PARTES

Exportador(es) de datos:

1. Nombre: Nombre del cliente tal como se indica en el Acuerdo aplicable

Dirección del cliente según se indica en el Acuerdo aplicable

Nombre, cargo y datos de contacto de la persona de contacto: signatario autorizado del Acuerdo rector

Actividades relevantes: El uso del sitio web de Digital.aisus productos y servicios de conformidad con el Acuerdo.

Firma y fecha: Al suscribir el DPA, se considera que el exportador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas al presente documento a partir de la fecha de entrada en vigor del DPA.

Rol (controlador/procesador):   Control

Importador(es) de datos:

Nombre: Digital.ai software, inc.

555 Fayetteville Street, Suite #210, Raleigh, Carolina del Norte 27601

Nombre, cargo y datos de contacto de la persona de contacto: legal@digital.ai

Actividades relevantes: Provisión de Digital.aisus productos y servicios de conformidad con el Acuerdo.

Firma y fecha: Al suscribir el DPA, se considera que el importador de datos ha firmado las Cláusulas Contractuales Estándar incorporadas en el presente documento a partir de la fecha de entrada en vigor del DPA.

Rol (controlador/procesador): Procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados ​​cuyos datos personales se transfieren:

Las categorías de interesados ​​incluyen a los Usuarios del Cliente (tal como se definen en el Acuerdo) de Digital.ai productos y servicios.

Categorías de datos personales transferidos:

Información de identificación (nombre, título, dirección de correo electrónico); información de inicio de sesión (nombre de usuario y contraseña); datos de inicio de sesión (hora y fecha de los registros); datos relacionados con las solicitudes de soporte de los usuarios.

Datos sensibles transferidos (si procede) y restricciones aplicadas o safeMedidas de seguridad que tienen plenamente en cuenta la naturaleza de los datos y los riesgos que conllevan, como por ejemplo la limitación estricta de su finalidad, las restricciones de acceso (incluido el acceso solo al personal que haya recibido formación especializada), el registro del acceso a los datos, las restricciones para las transferencias posteriores o medidas de seguridad adicionales.:

No se procesa información confidencial. Digital.ai.

Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua):

Las transferencias se realizarán de forma continua para los productos y servicios en la nube, y de forma puntual para las solicitudes de soporte.

Naturaleza del tratamiento:

Digital.ai actúa como Procesador de los Datos Personales facilitados por el Cliente durante su uso Digital.ailos productos y servicios de [nombre de la empresa]; la naturaleza del procesamiento incluye la transferencia, el almacenamiento y otras actividades de procesamiento que se especifican de conformidad con los términos del Acuerdo.

Finalidad(es) de la transferencia de datos y su posterior tratamiento:

Para proporcionar y apoyar Digital.ailos productos y servicios de [Nombre de la empresa] al Cliente según lo acordado en el Acuerdo (incluido este DPA).

El plazo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo:

Durante la vigencia del Acuerdo vigente con Digital.ai, salvo que se especifique otra cosa en el Acuerdo, o que lo permita o exija la ley.

Para las transferencias a (sub)encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del tratamiento:

Digital.ai (Importador de datos) utiliza los subprocesadores identificados en el Lista de subprocesadores establecido en Anexo III, para apoyar Digital.ai al proporcionar sus productos y servicios al Cliente (Exportador de Datos). El objeto y la duración del tratamiento se describen en el Anexo anterior. La naturaleza de los servicios de subprocesamiento específicos se detalla en la Lista de Subprocesadores. identificado en el Anexo III.

C. AUTORIDAD SUPERVISORA competente

Identificar la(s) autoridad(es) supervisora(s) competente(s) de conformidad con la cláusula 13:

La autoridad supervisora ​​competente determinada de conformidad con la cláusula 13 de las cláusulas contractuales estándar.

• Cláusulas Contractuales Estándar 2021: la ley aplicable a las CCC 2021 será la ley de los Países Bajos.

• Cláusulas Contractuales Estándar de 2010: las CCC de 2010 se regirán por las leyes del Estado miembro en el que esté establecido el exportador de datos, es decir, el Reino Unido.

ANEXO II

Medidas de Seguridad Técnicas y Organizativas

Este Anexo II se aplica para describir las medidas técnicas y organizativas aplicables a efectos de las Cláusulas Contractuales Estándar de 2010, las Cláusulas Contractuales Estándar de 2021 y la Ley de Protección de Datos aplicable.

El importador de datos ha implementado las medidas técnicas y organizativas establecidas en el Anexo II para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

Descripción de las medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos:

Política, procedimientos y estándares de seguridad de la información. Digital.ai Mantendrá un programa de seguridad de la información (que incluye la adopción y el cumplimiento de políticas y procedimientos internos) diseñado para ayudar a proteger los datos personales contra la pérdida, el acceso o la divulgación accidental o ilícita. Una revisión de todos Digital.ai Las políticas, los procedimientos y los estándares técnicos de seguridad de la información se revisan al menos una vez al año. Cuando corresponda, se facilitan copias de seguridad de los datos personales, las cuales se someten a pruebas periódicas para confirmar su integridad y demostrar su resiliencia. Se realiza una evaluación de vulnerabilidades en los sistemas críticos de forma periódica y una prueba de penetración al menos una vez al año.

Cifrado. Digital.ai Se utilizarán métodos de cifrado considerados seguros según las mejores prácticas del sector para proteger los datos tanto en reposo como en tránsito. Los métodos de cifrado empleados cumplen o superan los estándares de Seguridad de la Capa de Transporte (TLS) 1.2 o Estándar de Cifrado Avanzado (AES) 256.

AuditoríasCuando corresponda, Digital.ai Utilizará auditores externos y/o realizará auditorías internas para verificar la idoneidad de sus medidas de seguridad de acuerdo con las normas ISO 27001, SOC 2 o ISO 13485.

Controles de acceso. Identificación y autorización de usuarios. Digital.ai Mantendrá controles y políticas de acceso para gestionar qué acceso está permitido a la Digital.ai red desde cada conexión de red y usuario, incluyendo el uso de cortafuegos o tecnología funcionalmente equivalente y controles de autenticación.

Seguridad física. Se utilizan controles de barrera física para impedir el acceso no autorizado a las instalaciones donde se procesan datos personales, ya sea por o en nombre de terceros. Digital.aiLos controles se encuentran tanto en el perímetro como en los accesos a los edificios. El acceso generalmente requiere validación electrónica (p. ej., sistemas de control de acceso con tarjeta) o validación por parte del personal de seguridad (p. ej., guardias de seguridad contratados o internos, recepcionistas, etc.). Los empleados y contratistas reciben credenciales con fotografía que deben portar mientras se encuentren en las instalaciones. Los visitantes deben registrarse con el personal designado, presentar una identificación válida, se les entrega una credencial de visitante que deben portar mientras se encuentren en las instalaciones y son acompañados en todo momento por empleados o contratistas autorizados durante su visita.

Registro de eventos. Digital.aiLa red y los sistemas de [Nombre de la empresa] están configurados para que los errores del sistema y los eventos de seguridad se registren, y los archivos de registro estén protegidos contra la alteración por parte de los usuarios.

Configuración del sistema. Digital.ai Se desarrollará, documentará y mantendrá una configuración base actualizada para todos los sistemas incluidos en el alcance. Esta configuración base deberá revisarse y actualizarse anualmente y según sea necesario debido a actualizaciones del sistema, parches u otros cambios significativos. Las configuraciones previas para permitir la reversión deberán conservarse. Se deberá establecer una configuración base mínima para los sistemas de información o equipos con controles de seguridad elevados.