Apéndice de protección de Datos Personales

WWW.UNNAX.COM

Este Apéndice de protección de Datos Personales (“Anexo” o “Apéndice”) forma parte del “Contrato”, y se celebra entre “UNNAX”, quien actúa como “Encargado”, y el “Comercio”, quien actúa como “Responsable”.

Los términos entrecomillados en este apéndice tendrán los significados que se establecen en el “Contrato”, en este anexo y en el Subanexo de Definiciones.

  1. OBJETO

    1. Mediante este anexo se habilita a “UNNAX” para que en nombre y por cuenta del “Comercio” realice el “Tratamiento” de los “Datos Personales del Comercio” con ocasión del servicio objeto del “Contrato”, los cuales consisten en: nombre, apellido, nombre de usuario, dirección de correo electrónico personal, fecha de nacimiento, edad, sexo, teléfono móvil, cuenta bancaria, número de tarjeta de crédito, número de tarjeta de débito, Informe crediticio, registros de préstamos, y otros estados financieros.

    2. El “Comercio” podrá, previo acuerdo entre las partes, ampliar o modificar la lista anterior.

    3. La habilitación de “UNNAX” para el “Tratamiento” de “Datos Personales” por cuenta del “Comercio” tendrá la misma vigencia que el “Contrato”.

  2. OBLIGACIONES DEL ENCARGADO

    1.  “UNNAX” se compromete a tratar los “Datos Personales” por cuenta del “Comercio” de acuerdo con las condiciones establecidas en este anexo. El “Tratamiento” se realizará exclusivamente en el marco del “Contrato” y para todos los fines que se acuerden posteriormente.

    2.  “UNNAX” se abstendrá de usar los “Datos Personales” para cualquier otro fin que no sea el instruido por el “Comercio” por así haber sido consentido por el “Cliente”. El “Comercio” informará a “UNNAX” de cualquier fin que no esté contemplado en este apéndice o no sea compatible con el mismo.

    3. “UNNAX” no tomará decisiones unilaterales con respecto al “Tratamiento” de “Datos Personales” para otros fines, incluidas las decisiones relativas a la transferencia de los mismos a terceros y la duración de su almacenamiento.

    4. “UNNAX” garantizará el cumplimiento de las leyes y reglamentos aplicables, incluidas las leyes y reglamentos que rigen la protección de “Datos Personales”

    5. “UNNAX” proporcionará al “Comercio”, a su solicitud y sin demora, los detalles sobre las medidas que ha adoptado para cumplir con sus obligaciones en virtud de este anexo.

    6. Las obligaciones de “UNNAX” que surgen en virtud de este anexo también se aplican a quienes tratan los “Datos Personales del Comercio” siguiendo las instrucciones de “UNNAX”.

  3. OBLIGACIONES DEL PERSONAL DE UNNAX

    1. “UNNAX” adoptará las medidas razonables para garantizar la confianza en cualquier empleado, agente o contratista de cualquier “Encargado del Tratamiento Contratado” que pueda tener acceso a los “Datos Personales del Comercio”, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesitan saber o acceder a los “Datos Personales del Comercio”, según sea estrictamente necesario para los fines de la prestación del “Servicio”, y en cumplimiento con las disposiciones legales aplicables a los Encargados de la protección de datos y garantizando que todas esas personas estén sujetas a compromisos de confidencialidad respecto de los “Datos Personales” tratados.

  4. OBLIGACIONES DEL RESPONSABLE

    1. El “Comercio” deberá posibilitar a “UNNAX” la obtención de los “Datos Peronales” necesarios para la prestación del “Servicio”.

    2. El “Comercio” deberá dar las instrucciones que correspondan para llevar a cabo el tratamiento por parte de “UNNAX”.

    3. El “Comercio” deberá supervisar el «Tratamiento” de los «Datos Personales” por parte de “UNNAX”.

    4. El “Comercio” deberá hacer del conocimiento de “UNNAX” de todas aquellas revocaciones del consentimiento para el “Tratamiento” de “Datos Personales”.

    5. El “Comercio” deberá notificar a “UNNAX” de cualquier evento que tenga algún efecto en el “Tratamiento” que debe darse a los “Datos Personales del Comercio”.

  5. SEGURIDAD 

    1. Teniendo en cuenta la tecnología más avanzada, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del “Tratamiento”, así como el riesgo de la probabilidad de variación y severidad para los derechos y libertades de las personas físicas, “UNNAX” implementará las medidas  de seguridad administrativas, físicas y técnicas adecuadas para proteger los “Datos Personales” de (i) la pérdida o destrucción no autorizada, (ii) el robo, extravio o copia no autorizada, (iii) el uso, acceso o tratamiento no autorizado y (iv) el daño, alteración o modificación no de los mismos. Como mínimo, tales medidas deberán incluir las medidas de seguridad identificadas en el Subanexo de Medidas de Seguridad.

    2. Al evaluar el nivel de seguridad adecuado, “UNNAX” deberá tener especialmente en cuenta los riesgos que presenta el “Tratamiento”, en concreto en caso de una vulneración de seguridad de los “Datos Personales”.

  6. SUBTRATAMIENTO DE DATOS DERIVADO DE LA SUBCONTRATACIÓN DE LOS SERVICIOS

    1.  El “Comercio” reconoce y acepta que para prestar el “Servicio” “UNNAX” utiliza “Subencargados del Tratamiento” según lo establecido en la lista de subencargados del tratamiento en vigor en ese momento disponible en la liga https://www.unnax.com/es/subprocessor. 

    2. “UNNAX” celebrará un acuerdo por escrito con cada uno de dichos “Subencargados del Tratamiento” que les imponga las mismas obligaciones que se establezcan para el Encargado en la “Ley”, el “Reglamento” y demás disposiciones aplicables.

    3. “UNNAX” solo contratará para la prestación del “Servicio” a aquellas personas que considere que protegerán adecuadamente la privacidad, la confidencialidad y la seguridad de los “Datos Personales”

  7. DERECHOS DE LOS TITULARES

    1.  Teniendo en cuenta la naturaleza del “Tratamiento”, “UNNAX” ayudará al “Comercio” a implementar las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para que cumplan con sus obligaciones, en la forma que el “Comercio” lo considere razonable, para responder a las solicitudes de los “Titulares” que desean ejercer sus derechos en virtud de las “Leyes de Protección de Datos”.

    2. “UNNAX”

      1. Notificará de inmediato al “Comercio” si  recibe una solicitud de un “Titular” en virtud de las “Leyes de Protección de Datos” con respecto a los “Datos Personales del Comercio”.

      2. Se asegurará de que solo se responda a esa solicitud siguiendo las instrucciones documentadas del “Comercio” según lo exijan las “Leyes de Protección de Datos” a las que está sujeto el “Encargado del Tratamiento Contratado”, en cuyo caso “UNNAX” deberá, en la medida en que lo permitan dichas leyes, informar al “Comercio” de ese requisito legal antes de que el “Encargado del Tratamiento Contratado” responda a la solicitud. 

  8. VULNERACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES 

    1. “UNNAX” notificará al “Comercio” sin dilación alguna cuando “UNNAX” o cualquier “Subencargado del Tratamiento” tenga conocimiento de una vulneración de seguridad de los “Datos Personales” que afecte a los “Datos Personales del Comercio”, proporcionando al “Comercio” información suficiente para permitir que se cumpla con cualquier obligación de comunicar o informar a los “Titulares” de la vulneración de seguridad de los “Datos Personales” en virtud de lo establecido en las disposiciones aplicables en materia de protección de “Datos Personales”.

    2. “UNNAX” cooperará con el “Comercio” y tomará las medidas comerciales que le indique el “Comercio” para ayudar en la investigación y la mitigación de cada vulneración de seguridad de los “Datos Personales”, y, en su caso, a la recuperación de estos.

  9. AYUDA DE  UNNAX

    1. “UNNAX” ayudará al “Comercio” a garantizar el cumplimiento de sus obligaciones de conformidad con los artículos 57 y 61 a 66 del “Reglamento”, teniendo en cuenta la naturaleza del “Tratamiento” y la información disponible para “UNNAX”.

  10. ELIMINACIÓN O DEVOLUCIÓN DE DATOS PERSONALES DEL COMERCIO

    1. Al término o vencimiento del “Contrato”,  “UNNAX” (a elección del “Comercio”) destruirá o devolverá al “Comercio” todos los “Datos Personales del Comercio” (incluidas todas las copias) que estén en su posesión o control (incluidos los datos cuyo “Tratamiento” haya sido subcontratado a un tercero). Este requisito no se aplicará en la medida en que las “Leyes de Protección de Datos” requieran que “UNNAX” conserve parte o la totalidad de los “Datos Personales”, en cuyo caso “UNNAX” aislará y protegerá dichos datos de cualquier “Tratamiento” adicional, excepto en la medida en que dichas leyes lo exijan.

A solicitud del “Comercio”, “UNNAX” deberá proporcionar una certificación por escrito de que ha cumplido con los requisitos de esta cláusula firmada por un representante legal  de  “UNNAX”

  1. DEMOSTRACIÓN DEL CUMPLIMIENTO 

    1.  “UNNAX” pondrá a disposición del “Comercio” la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 50 del “Reglamento” y, si es necesario, permitirá auditorías realizadas por una compañía que no sea competidora de “UNNAX”.

Asimismo, “UNNAX” y los “Subencargados del Tratamiento”,  deberán, en caso de solicitud de la autoridad competente, permitir las visitas de verificación previstas en la “Ley” y su reglamento.

  1.  TRANSFERENCIAS PROHIBIDAS

    1. “UNNAX” garantiza y declara que no realizará transferencias prohibidas por las “Leyes de Protección de Datos” y que cumplirá con los mecanismos y requisitos que se establezcan en dichas leyes antes de realizar transferencias restringidas. 

  2. CONDICIONES GENERALES 

    1. Propiedad de los datos

      1. Los “Datos Personales” tratados por cuenta del “Comercio”  seguirán siendo propiedad del “Comercio” y/o del “Cliente” , según corresponda.

    2. Ley y jurisdicción aplicables

      1. El “Apéndice” y su implementación se regirán por la normatividad mexicana.

      2. Cualquier litigio que pueda surgir en relación con y/o que surja de este apéndice se tramitará ante los tribunales de la Ciudad de México. 

    3.  Aplicación subsidiaria del Reglamento europeo

En caso de que el “Servicio” sea prestado a “Clientes” que sean ciudadanos europeos, aplicará el Reglamento General de Protección de Datos europeo en todo aquello que signifique una protección más amplia de sus derechos, de conformidad con el Apéndice del Tratamiento de Datos de UNNAX, disponible en: https://www.unnax.com/es/data_processing_agreement, mismo que se entenderá acordado entre las partes.

  1. Orden de prevalencia 

    1. Nada de lo estipulado en el presente anexo reduce las obligaciones de “UNNAX” establecidas en el “Contrato” en relación con la protección de “Datos Personales” o permite a “UNNAX” tratar (o permitir el “Tratamiento” de) “Datos Personales” de una manera que el “Contrato” prohíba.

  2. Separación

    1. En caso de que alguna disposición de este anexo sea inválida o inaplicable, el resto de este anexo seguirá siendo válido y vigente. La disposición inválida o inaplicable deberá ser (i) enmendada según sea necesario para garantizar su validez y aplicabilidad, al tiempo que se preservan las intenciones de las partes en la mayor medida posible o, si esto no es posible, (ii) se interpretan de una manera como si la parte inválida o inaplicable nunca hubiera formado parte del contenido del mismo.

 

 

Subanexo de Definiciones

En el Anexo II, los términos siguientes tendrán los significados que se detallan a continuación, y los términos afines se interpretarán en consecuencia:

 

1. “Datos Personales del Comercio” es cualquier “Dato Personal” del “Cliente” o del “Comercio” tratado por instrucción del “Responsable” de conformidad o en relación con el “Contrato”

2. “Encargado del Tratamiento Contratado” es “UNNAX” o un “Subencargado del Tratamiento”;

3. “Ley” es la Ley Federal de Protección de datos Personales en Posesión de los Particulares;

4. “Leyes de Protección de Datos” son las leyes de protección de “Datos Personales” de los Estados Unidos Mexicanos y, en la medida en que sean aplicables, las leyes de protección de “Datos Personales” o de privacidad de cualquier otro país;

5. “Reglamento” es el Reglamento de la Ley Federal de Protección de datos Personales en Posesión de los Particulares ;

6. “Servicios” son los servicios y otras actividades que deben ser suministrados o realizados por  “UNNAX” o en su nombre para el “Comercio” en ejecución del “Contrato”;

7. “Subencargado del Tratamiento” es cualquier persona (incluidos terceros y cualquier filial de “UNNAX”, pero no un empleado de ”UNNAX” o cualquiera de sus subcontratistas) designada por o en nombre de “UNNAX” o de cualquier filial de “UNNAX” para tratar “Datos Personales” en nombre del “Comercio” en relación con el “Contrato”

8. Los términos “Datos Personales”, “Encargado”, “Responsable” y “Tratamiento” tendrán el significado que se les atribuye en las “Leyes para la Protección de Datos”

9. La palabra “incluir” se interpretará en el sentido de incluir sin limitación, y los términos afines se interpretarán en consecuencia.



Subanexo de Medidas de Seguridad

Descripción de las medidas de seguridad administrativas, físicas y técnicas que debe implementar el proveedor subcontratado

  1. Programa de Seguridad de la Información (PSI)

El Proveedor dispondrá de un PSI diseñado para (a) ayudar al “Cliente” a proteger los “Datos Personales” contra la pérdida, el acceso o la divulgación accidentales o ilegales, (b) identificar los riesgos internos y previsiblemente razonables para la seguridad y el acceso no autorizado a la Red del Proveedor (que se define a continuación), y c) minimizar los riesgos de seguridad, incluso a través de la evaluación de riesgos y la realización de pruebas periódicas. El Proveedor designará a un empleado para que sea responsable del PSI.

El PSI incluirá las medidas siguientes: 

  1. Seguridad de la red

Podrán acceder a la Red del Proveedor los empleados, contratistas y cualquier otra persona que lo necesite para proporcionar los servicios de “Tratamiento” de “Datos Personales”. El Proveedor mantendrá controles de acceso y políticas para gestionar el acceso a la Red del Proveedor desde cada conexión de red y usuario, incluido el uso de controles de autenticación, cortafuegos o sistemas de detección de intrusiones. El Proveedor dispondrá de planes de respuesta a incidencias de seguridad para gestionar las posibles incidencias en materia de seguridad. 

  1. Seguridad física

Los componentes físicos de la Red del Proveedor se encuentran en instalaciones («Instalaciones») controladas por una empresa certificada con ISO 27001 (es decir, Amazon Web Services) o en Instalaciones que cumplen o superan todos los requisitos siguientes de seguridad física:

  1. Controles físicos de acceso. Los controles de barrera física se utilizan para evitar la entrada no autorizada a las Instalaciones, tanto en el perímetro como en los puntos de acceso del edificio. El paso a través de las barreras físicas en las Instalaciones requiere la validación del control de acceso electrónico (por ejemplo, sistemas de acceso con tarjeta, etc.) o la validación por parte del personal de seguridad (por ejemplo, un servicio de guardia de seguridad contratado o interno, recepcionista, etc.). A los empleados y contratistas se les asignan credenciales de identificación con foto que se deben llevar puestas mientras los empleados y contratistas se encuentran en cualquiera de las Instalaciones. Los visitantes deben registrarse con el personal designado, deben mostrar una identificación adecuada, se les asigna una tarjeta de identificación de visitante que deben llevar mientras se encuentran en cualquiera de las Instalaciones y son escoltados continuamente por empleados o contratistas autorizados mientras visitan las Instalaciones.

  2. Acceso limitado de empleados y contratistas. El Proveedor proporciona acceso a las Instalaciones a aquellos empleados y contratistas que tienen una necesidad comercial legítima de dichos privilegios de acceso. Cuando un empleado o contratista ya no tiene una necesidad comercial para los privilegios de acceso asignados, estos se revocan rápidamente, incluso si el empleado o contratista continúa siendo un empleado del Proveedor o sus filiales.

  3. Protecciones físicas de seguridad. Todos los puntos de acceso (excepto las puertas de entrada principales) se encuentran permanentemente en un estado bloqueado. Los puntos de acceso a las Instalaciones se controlan mediante cámaras de videovigilancia que graban a todas las personas que acceden a las Instalaciones. El Proveedor también dispone de sistemas electrónicos de detección de intrusiones que detectan el acceso no autorizado a las Instalaciones, incluido el control de los puntos de vulnerabilidad (p. ej., puertas de entrada principales, puertas de salida de emergencia, escotillas de techo, puertas de zonas de carga y descarga, etc.) con contactos de puertas, dispositivos de rotura de vidrios, detección de movimiento interior, u otros dispositivos diseñados para detectar individuos que intentan acceder a las Instalaciones. Cualquier acceso físico a las Instalaciones por parte de los empleados y contratistas queda registrado y se audita periódicamente.

 

  1. Seguridad de los Datos Personales. Controles para la protección de los Datos Personales. 

El Proveedor conservará las medidas técnicas y organizativas adecuadas para la protección de la seguridad (incluida la protección contra el “Tratamiento” no autorizado o ilegal y contra la destrucción, pérdida, alteración o daño accidental o ilegal, así como la divulgación o el acceso no autorizado a los “Datos Personales”), la confidencialidad y la integridad de los “Datos Personales” adecuados al riesgo, incluidos, entre otros, según corresponda: (i) la seudonimización y el cifrado de “Datos Personales”; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de una incidencia física o técnica; (iv) un proceso para probar, evaluar y valorar periódicamente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del “Tratamiento”. El proveedor controla regularmente el cumplimiento de estas medidas. El proveedor no reducirá significativamente la seguridad general de los servicios de tratamiento de datos durante un período de suscripción. 

  1. Continuidad empresarial y recuperación de desastres 

El proveedor dispondrá de un plan de continuidad empresarial y recuperación de desastres basado en el riesgo. El plan de recuperación se comprobará al menos una vez al año para garantizar que es posible la recuperación total y para cumplir con los SLA previstos. 

  1. Seguridad de los empleados

El proveedor tendrá acuerdos de confidencialidad firmados con los empleados y contratistas. Para los puestos que tengan acceso a información personal, también se comprobarán los antecedentes. Además, todos los empleados y contratistas tendrán una forma común de informar sobre las incidencias, aprobada por la organización, y realizarán al menos una formación anual sobre cuestiones de seguridad.

  1. Evaluación continua

El proveedor debe reevaluar y actualizar sus políticas de seguridad de forma periódica. Los cambios deben estar documentados y se deben usar los controles de cambio.