La pro­tec­ción de los datos per­son­ales de los indi­vid­u­os es un dere­cho fun­da­men­tal según la ley de la UE y actual­mente está reg­u­la­da por el Reglamen­to Gen­er­al de Pro­tec­ción de Datos (Reglamen­to (UE) ²⁰¹⁶⁄₆₇₉) (el “RGPD”). El RGPD especi­fi­ca que el tratamien­to de datos per­son­ales por un proce­sador en nom­bre de un respon­s­able del tratamien­to estará regi­do por un acuer­do escrito que reg­ule, entre otras cosas, las cir­cun­stan­cias y condi­ciones bajo las cuales dicho tratamien­to puede lle­varse a cabo.

Este Anexo de Tratamien­to de Datos (el “Anexo” o “DPA”) for­ma parte de los Tér­mi­nos de Ser­vi­cio de Work­sec­tion disponibles en worksection.com/en/agreement.html, (los “Tér­mi­nos de Ser­vi­cio”, actu­al­iza­dos de vez en cuan­do), u otro acuer­do que rija el uso de los ser­vi­cios de Work­sec­tion (“Acuer­do”) cel­e­bra­do entre ust­ed, el Cliente (según se define en el Acuer­do — colec­ti­va­mente, “ust­ed”, “su”, “Cliente”), y Work­sec­tion LLC (“Work­sec­tion”, “nosotros”, “nue­stro”) para refle­jar el acuer­do de las partes en relación con el Tratamien­to de Datos Per­son­ales por parte de Work­sec­tion úni­ca­mente en nom­bre del Cliente. Ambas partes se denom­i­narán “Partes” y cada una, “Parte”.

Las Partes han acor­da­do que Work­sec­tion pro­por­cionará al Cliente una her­ramien­ta de gestión de proyec­tos en la nube (en ade­lante, los “Ser­vi­cios”), bajo la cual Work­sec­tion proce­sará cier­tos datos per­son­ales en nom­bre del Cliente en cal­i­dad de proce­sador. Como tal, las Partes recono­cen la necesi­dad de cel­e­brar este Anexo sep­a­ra­do para reg­u­lar el tratamien­to de datos per­son­ales por parte de Work­sec­tion en nom­bre del Cliente. Al uti­lizar los Ser­vi­cios, el Cliente acep­ta este DPA y cualquiera que se esté entran­do en los Tér­mi­nos de Ser­vi­cio en nom­bre de una empre­sa u otra enti­dad legal, rep­re­sen­ta ten­er la autori­dad para vin­cu­lar a dicha enti­dad y sus afil­i­a­dos a estos tér­mi­nos y condi­ciones, en cuyo caso los tér­mi­nos “ust­ed” y “su” en este doc­u­men­to se referirán a dicha enti­dad. Si no puede, o no está de acuer­do en, cumplir y estar suje­to a este DPA, o no tiene autori­dad para vin­cu­lar al Cliente o cualquier otra enti­dad, por favor no pro­por­cione Datos Personales.

En caso de con­flic­to entre cier­tas dis­posi­ciones de este DPA y las dis­posi­ciones del Acuer­do, las dis­posi­ciones de este DPA prevale­cerán sobre las dis­posi­ciones con­flic­ti­vas del Acuer­do úni­ca­mente con respec­to al Tratamien­to de Datos Personales.

Los tér­mi­nos en mayús­cu­las no definidos en este doc­u­men­to ten­drán los sig­nifi­ca­dos asig­na­dos a dichos tér­mi­nos en el Acuerdo.

(a) “Afil­i­a­do” sig­nifi­ca cualquier enti­dad que con­t­role direc­ta o indi­rec­ta­mente, sea con­tro­la­da por, o esté bajo con­trol común con la enti­dad obje­to. “Con­trol”, para los propósi­tos de esta defini­ción, sig­nifi­ca la propiedad o con­trol direc­to o indi­rec­to de más del 50% de los intere­ses de voto de la enti­dad objeto.

(b) “Afil­i­a­do Autor­iza­do” sig­nifi­ca cualquiera de las Afil­i­adas del Cliente que esté explíci­ta­mente per­mi­ti­da para usar los Ser­vi­cios de acuer­do al Acuer­do entre el Cliente y Work­sec­tion pero que no ha fir­ma­do su pro­pio acuer­do con Work­sec­tion y no es un “Cliente” según se define en el Acuerdo.

© “CCPA” sig­nifi­ca la Ley de Pri­vaci­dad del Con­sum­i­dor de Cal­i­for­nia de 2018. Sec­ción 1798.100.

(d) Los tér­mi­nos “Respon­s­able del Tratamien­to“, “Esta­do Miem­bro“, “Proce­sador“, “Tratamien­to” y “Autori­dad de Super­visión” ten­drán el mis­mo sig­nifi­ca­do que en el RGPD. Los tér­mi­nos “Nego­cio”, “Propósi­to Com­er­cial”, “Con­sum­i­dor” y “Provee­dor de Ser­vi­cios” ten­drán el mis­mo sig­nifi­ca­do que en el CCPA.

Para may­or clar­i­dad, den­tro de este DPA “Respon­s­able del Tratamien­to” tam­bién sig­nifi­cará “Nego­cio”, y “Proce­sador” tam­bién sig­nifi­cará “Provee­dor de Ser­vi­cios”, en la medi­da en que se aplique el CCPA. De la mis­ma man­era, el Sub-proce­sador del Proce­sador tam­bién se referirá al con­cep­to de Provee­dor de Servicios.

(e) “Leyes de Pro­tec­ción de Datos” sig­nifi­ca todas las leyes y reg­u­la­ciones de pri­vaci­dad y pro­tec­ción de datos aplic­a­bles y vin­cu­lantes, incluyen­do tales leyes y reg­u­la­ciones de la Unión Euro­pea, el Espa­cio Económi­co Europeo y sus Esta­dos Miem­bros, Suiza, el Reino Unido, Canadá, y los Esta­dos Unidos de Améri­ca, según se aplique al Tratamien­to de Datos Per­son­ales bajo el Acuer­do incluyen­do (sin lim­itación) el RGPD, el RGPD del Reino Unido, y el CCPA, según se aplique al Tratamien­to de Datos Per­son­ales aquí y en vig­or en el momen­to del cumplim­ien­to del Proce­sador aquí.

(f) “Intere­sa­do” sig­nifi­ca la per­sona iden­ti­fi­ca­da o iden­ti­fi­ca­ble à la cual se refieren los Datos Personales.

(g) “RGPD” sig­nifi­ca el Reglamen­to (UE) ²⁰¹⁶⁄₆₇₉ del Par­la­men­to Europeo y del Con­se­jo de 27 de abril de 2016 sobre la pro­tec­ción de las per­sonas físi­cas respec­to al tratamien­to de datos per­son­ales y sobre la libre cir­cu­lación de tales datos, y dero­ga la Direc­ti­va 95/46/CE (Reglamen­to Gen­er­al de Pro­tec­ción de Datos).

(h) “Datos Per­son­ales” o “Infor­ma­ción Per­son­al” sig­nifi­ca cualquier infor­ma­ción que iden­ti­fi­ca, se rela­ciona, describe, es capaz de aso­cia­rse, o podría razon­able­mente estar vin­cu­la­da, direc­ta o indi­rec­ta­mente, a una per­sona físi­ca iden­ti­fi­ca­da o iden­ti­fi­ca­ble o Con­sum­i­dor, que es proce­sa­da por Work­sec­tion úni­ca­mente en nom­bre del Cliente, bajo este DPA y el Acuer­do entre el Cliente y Worksection.

(i) “Ser­vi­cios” sig­nifi­ca la platafor­ma de sis­tema oper­a­ti­vo de tra­ba­jo basa­da en la nube (“Platafor­ma”) y cualquier otro ser­vi­cio pro­por­ciona­do al Cliente por Work­sec­tion bajo el Acuerdo.

(j) “Doc­u­mentación de Seguri­dad” sig­nifi­ca la doc­u­mentación de seguri­dad especí­fi­ca­mente aplic­a­ble al Tratamien­to de Datos Per­son­ales por parte de Work­sec­tion bajo el Acuer­do y este DPA, según se actu­al­ice de vez en cuan­do, y acce­si­ble a través de worksection.com/en/agreement.html, o como de otra man­era se haga razon­able­mente disponible por Worksection.

(k) “Datos Sen­si­bles” sig­nifi­ca Datos Per­son­ales que están pro­te­gi­dos bajo una leg­is­lación espe­cial y requieren un tratamien­to úni­co, tales como “cat­e­gorías espe­ciales de datos”, “datos sen­si­bles” u otros tér­mi­nos mate­rial­mente sim­i­lares bajo las Leyes de Pro­tec­ción de Datos aplic­a­bles, que pueden incluir cualquiera de los sigu­ientes: (a) número de seguro social, número de archi­vo fis­cal, número de pas­aporte, número de licen­cia de con­ducir, o iden­ti­fi­cador sim­i­lar (o cualquier parte de los mis­mos); (b) número de tar­je­ta de crédi­to o débito; © infor­ma­ción financiera, cred­iti­cia, genéti­ca, bio­métri­ca o de salud; (d) infor­ma­ción que rev­ela ori­gen racial o étni­co, opin­iones políti­cas, creen­cias reli­giosas o filosó­fi­cas, o mem­bresía en sindi­catos, datos genéti­cos o datos bio­métri­cos con el propósi­to de iden­ti­ficar de man­era úni­ca a una per­sona físi­ca, datos rela­ciona­dos con la salud o la vida sex­u­al o la ori­entación sex­u­al de una per­sona, o datos rela­ciona­dos con con­de­nas y deli­tos penales; y/o (e) con­traseñas de cuen­tas en for­ma no hasheada.

(l) “Sub-proce­sador” sig­nifi­ca cualquier ter­cera parte que pro­cese Datos Per­son­ales bajo la instruc­ción o super­visión de Worksection.

(m) “RGPD del Reino Unido” sig­nifi­ca la Ley de Pro­tec­ción de Datos de 2018, así como el RGPD en la medi­da en que forme parte de la ley de Inglater­ra y Gales, Esco­cia e Irlan­da del Norte en vir­tud de la sec­ción 3 de la Ley de la Unión Euro­pea (Reti­ra­da) de 2018 y según se enmiende por las Reg­u­la­ciones de Pro­tec­ción de Datos, Pri­vaci­dad y Comu­ni­ca­ciones Elec­tróni­cas (Enmien­das, etc.) (Sal­i­da de la UE) de 2019 (SI ²⁰¹⁹⁄₄₁₉).

2.1. Alcance y Roles. Este Anexo se apli­ca cuan­do los Datos del Cliente son proce­sa­dos por Work­sec­tion en nom­bre del Cliente como parte de la prestación de los Servicios.

2.2. Cumplim­ien­to de Leyes. Cada parte cumplirá con todas las leyes, reglas y reg­u­la­ciones que le sean aplic­a­bles y vin­cu­lantes en la eje­cu­ción de este Anexo, incluyen­do todos los req­ui­si­tos legales rela­ciona­dos con la pro­tec­ción de datos.

2.3. La Nat­u­raleza y Propósi­to del Tratamien­to de Datos. Mien­tras el Cliente esté uti­lizan­do los Ser­vi­cios, y como con­se­cuen­cia del uso de los Ser­vi­cios por parte del Cliente, Work­sec­tion proce­sará los Datos del Cliente en nom­bre del Cliente. Los Datos del Cliente incluyen, pero no se lim­i­tan a, nom­bres, direc­ciones e infor­ma­ción de con­tac­to de los usuar­ios invi­ta­dos del Cliente, así como otros tipos de datos per­son­ales que el Cliente car­gará en los Ser­vi­cios en difer­entes proyec­tos, colec­ciones y tableros. Los Datos del Cliente pueden rela­cionarse con los emplea­d­os, direc­tores, fun­cionar­ios, clientes y sub­con­tratis­tas del Cliente, pero tam­bién con ter­ceros que estén de algu­na man­era involu­cra­dos o rela­ciona­dos con un proyec­to ges­tion­a­do por el Cliente al uti­lizar los Ser­vi­cios. Los Datos del Cliente tam­bién pueden incluir datos téc­ni­cos, datos de uso, estadís­ti­cas de cal­i­dad e infor­ma­ción sim­i­lar (incluyen­do pero no lim­i­ta­do a métri­c­as rela­cionadas con el dis­pos­i­ti­vo y basadas en la ubi­cación) rela­cionadas con el acce­so y uso de los Ser­vi­cios por parte del Cliente.

2.4. Instruc­ciones para el Tratamien­to de Datos. Work­sec­tion proce­sará los Datos del Cliente de acuer­do con las instruc­ciones doc­u­men­tadas del Cliente, incluyen­do con respec­to a las trans­fer­en­cias de datos per­son­ales a un ter­cer país o a una orga­ni­zación inter­na­cional, a menos que se exi­ja lo con­trario por la ley aplic­a­ble. Cualquier cos­to adi­cional que sur­ja como resul­ta­do de tales restric­ciones será asum­i­do por el Cliente. Las partes acuer­dan que este Anexo es la instruc­ción com­ple­ta y final del Cliente a Work­sec­tion en relación con el tratamien­to de los Datos del Cliente. El tratamien­to fuera del alcance de este Anexo (si lo hubiera) requerirá un acuer­do pre­vio por escrito entre Work­sec­tion y el Cliente sobre instruc­ciones adi­cionales para el tratamien­to, incluyen­do acuer­do sobre cualquier tar­i­fa adi­cional que el Cliente pagará a Work­sec­tion por lle­var a cabo tales instruc­ciones. El Cliente puede rescindir este Anexo si Work­sec­tion se nie­ga a seguir las instruc­ciones solic­i­tadas por el Cliente que están fuera del alcance de este Anexo.

2.5. Acce­so o Uso. Work­sec­tion no acced­erá ni usará los Datos del Cliente, excep­to cuan­do sea nece­sario para man­ten­er, mejo­rar y pro­por­cionar los Ser­vi­cios solic­i­ta­dos por el Cliente.

2.6. Detalles del Tratamien­to. La duración del tratamien­to, la nat­u­raleza y propósi­to del tratamien­to, los tipos de Datos del Cliente y cat­e­gorías de intere­sa­dos proce­sa­dos bajo este DPA están especi­fi­ca­dos en el Anexo 1 (Detalles del Tratamien­to) de este DPA.

2.7. Asis­ten­cia. Tenien­do en cuen­ta la nat­u­raleza del tratamien­to, Work­sec­tion asi­s­tirá al Cliente con medi­das téc­ni­cas y orga­ni­za­ti­vas apropi­adas, en la medi­da en que esto sea posi­ble, para el cumplim­ien­to de la obligación del Cliente de respon­der a solic­i­tudes para ejercer los dere­chos del interesado.

2.8. Divul­gación. Work­sec­tion no divul­gará los Datos del Cliente a ningún gob­ier­no, excep­to cuan­do sea nece­sario para cumplir con la ley o una orden vál­i­da y vin­cu­lante de una agen­cia de apli­cación de la ley (como una citación o orden judi­cial). Si una agen­cia de apli­cación de la ley envía a Work­sec­tion una deman­da de Datos del Cliente, Work­sec­tion inten­tará redi­ri­gir à la agen­cia de apli­cación de la ley para que solicite esos datos direc­ta­mente al Cliente. Como parte de este esfuer­zo, Work­sec­tion puede pro­por­cionar la infor­ma­ción de con­tac­to bási­ca del Cliente à la agen­cia de apli­cación de la ley. Si se ve oblig­a­da a divul­gar los Datos del Cliente a una agen­cia de apli­cación de la ley, entonces Work­sec­tion noti­fi­cará al Cliente razon­able­mente de la deman­da para per­mi­tir que el Cliente busque una orden de pro­tec­ción u otro recur­so apropi­a­do, a menos que Work­sec­tion esté legal­mente pro­hibido de hacerlo.

2.9. Per­son­al de Work­sec­tion. Work­sec­tion restringe a su per­son­al de proce­sar Datos del Cliente sin autor­ización de Work­sec­tion. Work­sec­tion impon­drá obliga­ciones con­trac­tuales apropi­adas a su per­son­al, incluyen­do obliga­ciones rel­e­vantes con respec­to à la con­fi­den­cial­i­dad, pro­tec­ción de datos y seguri­dad de datos.

2.10. Con­troles del Cliente. Work­sec­tion pone a dis­posi­ción una serie de car­ac­terís­ti­cas y fun­cional­i­dades de seguri­dad que el Cliente puede ele­gir uti­lizar. El Cliente es respon­s­able de (a) con­fig­u­rar ade­cuada­mente los Ser­vi­cios, (b) uti­lizar los con­troles disponibles en relación con los Ser­vi­cios (inclu­i­dos los con­troles de seguri­dad), y © tomar las medi­das que el Cliente con­sidere ade­cuadas para man­ten­er la seguri­dad, pro­tec­ción, elim­i­nación y copia de seguri­dad ade­cuadas de los Datos del Cliente, que pueden incluir el uso de tec­nología de cifra­do para pro­te­ger los Datos del Cliente con­tra el acce­so no autor­iza­do y la archivación ruti­nar­ia de los Datos del Cliente.

3.1. Trans­fer­en­cias des­de el EEE y Suiza a país­es que ofre­cen un niv­el ade­cua­do o pro­tec­ción de datos. Los Datos Per­son­ales pueden ser trans­feri­dos des­de Esta­dos miem­bros de la UE, Norue­ga, Liecht­en­stein e Islandia (en con­jun­to “EEE”), y Suiza, a país­es que ofrez­can un niv­el ade­cua­do de pro­tec­ción de datos bajo o en vir­tud de las deci­siones de ade­cuación pub­li­cadas por las autori­dades de pro­tec­ción de datos rel­e­vantes del EEE, la Unión Euro­pea, los Esta­dos Miem­bros o la Comisión Euro­pea, o Suiza según cor­re­spon­da (“Deci­siones de Ade­cuación”), según cor­re­spon­da, sin que sea nece­saria ningu­na garan­tía adicional.

3.2. Trans­fer­en­cias a otros país­es. Si el Tratamien­to de Datos Per­son­ales por Work­sec­tion incluye trans­fer­en­cias (ya sea direc­ta­mente o medi­ante una trans­fer­en­cia pos­te­ri­or) des­de el EEE o Suiza a otros país­es que no han sido obje­to de una Decisión de Ade­cuación rel­e­vante, y tales trans­fer­en­cias no se real­izan a través de un mecan­is­mo de cumplim­ien­to alter­na­ti­vo recono­ci­do que Work­sec­tion pue­da adop­tar para la trans­fer­en­cia legal de datos per­son­ales (según se define en el RGPD) fuera del EEE o Suiza, según cor­re­spon­da, entonces se apli­carán las “Cláusu­las Con­trac­tuales Están­dar 2021” (según lo aproba­do por la Comisión Euro­pea en la decisión de Imple­mentación (UE) ²⁰²¹⁄₉₁₄) y los anex­os y apéndices relacionados.

Work­sec­tion imple­men­tará medi­das téc­ni­cas y orga­ni­za­ti­vas para pro­te­ger los Datos del Cliente con­tra la destruc­ción acci­den­tal o ile­gal o pér­di­da acci­den­tal, alteración, proce­samien­to no autor­iza­do, divul­gación y acce­so, que son requeri­das por la ley aplic­a­ble. Work­sec­tion man­ten­drá un pro­gra­ma de seguri­dad de la infor­ma­ción (incluyen­do la adop­ción y apli­cación de políti­cas y pro­ced­imien­tos inter­nos) dis­eña­do para (a) ayu­dar al Cliente a ase­gu­rar los Datos del Cliente con­tra pér­di­das acci­den­tales o ile­gales, acce­so o divul­gación, (b) iden­ti­ficar ries­gos razon­able­mente pre­vis­i­bles y inter­nos para la seguri­dad y el acce­so no autor­iza­do a Work­sec­tion, y © min­i­mizar los ries­gos de seguri­dad, incluyen­do a través de la eval­u­ación de ries­gos y prue­bas reg­u­lares. Work­sec­tion des­ig­nará uno o más emplea­d­os para coor­di­nar y ser respon­s­able del pro­gra­ma de seguri­dad de la infor­ma­ción. El pro­gra­ma de seguri­dad de la infor­ma­ción incluirá medi­das rela­cionadas tan­to con la seguri­dad de la red como con la seguri­dad físi­ca, y será revisa­do per­iódica­mente por Work­sec­tion para deter­mi­nar si se requieren medi­das de seguri­dad adi­cionales o difer­entes para respon­der a nuevos ries­gos de seguri­dad o hal­laz­gos gen­er­a­dos por las revi­siones per­iódi­cas. Si el Cliente desea que Work­sec­tion tome algu­na medi­da adi­cional, Work­sec­tion lo hará en un gra­do razon­able, pero cualquier cos­to adi­cional será asum­i­do por el Cliente. El Cliente con­fir­ma que con­sid­era que las medi­das estable­ci­das en el Anexo 2 son sal­va­guardias téc­ni­cas y orga­ni­za­ti­vas apropi­adas en relación con el tratamien­to de Datos Personales.

El Cliente es el úni­co respon­s­able de revis­ar la infor­ma­ción pro­por­ciona­da por Work­sec­tion rela­ciona­da con la seguri­dad de datos y de realizar una deter­mi­nación inde­pen­di­ente sobre si los Ser­vi­cios cumplen con los req­ui­si­tos del Cliente, y de ase­gu­rar que el per­son­al y los con­sul­tores del Cliente sigan las direc­tri­ces que se les pro­por­cio­nan sobre seguri­dad de datos.

A solic­i­tud del Cliente y durante el horario com­er­cial reg­u­lar, Work­sec­tion some­terá sus insta­la­ciones de proce­samien­to de datos à la audi­toría de las activi­dades de proce­samien­to cubier­tas por el Anexo, que será lle­va­da a cabo por el Cliente a expen­sas del Cliente.

7.1. Si Work­sec­tion toma conocimien­to de (a) cualquier acce­so ile­gal a Datos del Cliente alma­ce­na­dos en el equipo de Work­sec­tion o en las insta­la­ciones de Work­sec­tion; o (b) cualquier acce­so no autor­iza­do a dicho equipo o insta­la­ciones, donde en cualquiera de los casos dicho acce­so resulte en pér­di­da, divul­gación o alteración de Datos del Cliente (cada uno un “Inci­dente de Seguri­dad”), Work­sec­tion noti­fi­cará de inmedi­a­to al Cliente del Inci­dente de Seguri­dad; y (b) tomará medi­das razon­ables para mit­i­gar los efec­tos y min­i­mizar cualquier daño resul­tante del Inci­dente de Seguridad.

7.2. El Cliente acep­ta que:

(i) un Inci­dente de Seguri­dad no exi­toso no estará suje­to a esta Sec­ción. Un Inci­dente de Seguri­dad no exi­toso es aquel que no resul­ta en acce­so no autor­iza­do a Datos del Cliente o a cualquiera de los equipos o insta­la­ciones de Work­sec­tion que alma­ce­nan Datos del Cliente, y puede incluir, sin lim­itación, pings y otros ataques broad­cast en corta­fue­gos o servi­dores de bor­de, esca­neos de puer­tos, inten­tos de ini­cio de sesión no exi­tosos, ataques de dene­gación de ser­vi­cio, sniff­ing de paque­tes (u otro acce­so no autor­iza­do a datos de trá­fi­co que no resul­ta en acce­so más allá de direc­ciones IP o encabeza­dos) o inci­dentes sim­i­lares; y

(ii) la obligación de Work­sec­tion de infor­mar o respon­der a un Inci­dente de Seguri­dad bajo esta Sec­ción no es y no será inter­pre­ta­da como un reconocimien­to por parte de Work­sec­tion de cualquier cul­pa o respon­s­abil­i­dad de Work­sec­tion con respec­to al Inci­dente de Seguridad.

7.3. Notificación(es) de Inci­dentes de Seguri­dad, si las hubiera, serán entre­gadas a uno o más de los admin­istradores del Cliente por cualquier medio que Work­sec­tion eli­ja, incluyen­do por correo elec­tróni­co. Es respon­s­abil­i­dad exclu­si­va del Cliente ase­gu­rar que los admin­istradores del Cliente man­ten­gan infor­ma­ción de con­tac­to pre­cisa en Work­sec­tion en todo momento.

8.1. Sub-proce­sadores Autor­iza­dos. El Cliente acep­ta que Work­sec­tion puede usar sub-proce­sadores para cumplir con sus obliga­ciones con­trac­tuales bajo este Anexo o para pro­por­cionar cier­tos ser­vi­cios en su nom­bre, tales como ofre­cer ser­vi­cios de soporte. Work­sec­tion mantiene una lista de sub-proce­sadores en su sitio web worksection.com/en/agreement.html. Work­sec­tion noti­fi­cará al Cliente de cualquier cam­bio pre­vis­to respec­to à la adi­ción o reem­pla­zo de sub-proce­sadores, a los cuales el Cliente puede opon­erse. Se noti­fi­ca al Cliente cuan­do Work­sec­tion actu­al­iza la lista de sub-proce­sadores en su sitio web. Si el Cliente no ha hecho tal obje­ción den­tro de los trein­ta (30) días a par­tir de la fecha de recep­ción de la notificación/fecha de actu­al­ización en el sitio web, se asumirá que el Cliente no ha hecho obje­ción. En caso de una obje­ción del Cliente, Work­sec­tion tiene dere­cho a sub­sa­nar la obje­ción del Cliente a exclu­si­vo cri­te­rio de Work­sec­tion. Si (i) no hay una opción cor­rec­ti­va razon­able­mente disponible; o (ii) las partes no han podi­do encon­trar una solu­ción mutu­a­mente acept­able, y (iii) la obje­ción no ha sido sub­sana­da den­tro de los trein­ta (30) días después de recibir la obje­ción, cualquiera de las Partes puede rescindir los Tér­mi­nos de Ser­vi­cio de for­ma inmediata.

8.2. Obliga­ciones del Sub-proce­sador. Donde Work­sec­tion autorice a algún sub-proce­sador como se describe en esta Sección:

(i) Work­sec­tion lim­i­tará el acce­so del sub-proce­sador a los Datos del Cliente sola­mente a lo que sea nece­sario para man­ten­er los Ser­vi­cios o para pro­por­cionar los Ser­vi­cios al Cliente de acuer­do con los Tér­mi­nos de Ser­vi­cio y Work­sec­tion pro­hibirá al sub-proce­sador acced­er a los Datos del Cliente para cualquier otro propósito.

(ii) Work­sec­tion impon­drá obliga­ciones con­trac­tuales apropi­adas por escrito al sub-proce­sador que no sean menos pro­tec­toras que este Anexo, incluyen­do obliga­ciones con­trac­tuales rel­e­vantes con respec­to à la con­fi­den­cial­i­dad, pro­tec­ción de datos, seguri­dad de datos y dere­chos de audi­toría; y

(iii) Work­sec­tion seguirá sien­do respon­s­able de su cumplim­ien­to con las obliga­ciones de este Anexo y por cualquier acto u omisión del sub-proce­sador que cause a Work­sec­tion incumplir cualquiera de las obliga­ciones de Work­sec­tion bajo este Anexo.

Si los Datos del Cliente se ven suje­tos a con­fis­cación durante pro­ced­imien­tos de quiebra o insol­ven­cia, o medi­das sim­i­lares por parte de ter­ceros mien­tras son proce­sa­dos por Work­sec­tion, Work­sec­tion infor­mará al Cliente sin demo­ra inde­bi­da. Work­sec­tion noti­fi­cará, sin demo­ra inde­bi­da, a todas las partes rel­e­vantes en dicha acción (por ejem­p­lo, acree­dores, fide­icomis­ario de la quiebra) que cualquier Datos del Cliente someti­dos a esos pro­ced­imien­tos son propiedad del Cliente y área de respon­s­abil­i­dad y que los Datos del Cliente están a dis­posi­ción exclu­si­va del Cliente.

Tras la ter­mi­nación del Acuer­do y la cesación de los Ser­vi­cios, a elec­ción del Cliente (indi­ca­do a través de la Platafor­ma o en noti­fi­cación por escrito al Proce­sador), el Proce­sador deberá elim­i­nar o devolver al Cliente todos los Datos Per­son­ales que pro­cese exclu­si­va­mente en nom­bre del Cliente de la man­era descri­ta en el Acuer­do, y el Proce­sador deberá elim­i­nar las copias exis­tentes de dichos Datos Per­son­ales, a menos que las Leyes de Pro­tec­ción de Datos exi­jan lo con­trario. En la medi­da en que esté autor­iza­do o requeri­do por la ley aplic­a­ble, el Proce­sador tam­bién podrá reten­er una copia de los Datos Per­son­ales úni­ca­mente para fines de evi­den­cia y/o para el establec­imien­to, ejer­ci­cio o defen­sa de recla­ma­ciones legales y/o para el cumplim­ien­to de obliga­ciones legales.

El Cliente puede enviar Datos Per­son­ales al Ser­vi­cio que pueden incluir, pero no se lim­i­tan a, Datos Per­son­ales rela­ciona­dos con las sigu­ientes cat­e­gorías de Suje­tos de Datos:

● Usuar­ios invi­ta­dos del Cliente

● Emplea­d­os del Cliente

● Con­sul­tores del Cliente

● Agentes del Cliente

● Asesores del Cliente

● Socios com­er­ciales y provee­dores del Cliente (que son per­sonas físicas)

Cualquier otro indi­vid­uo de ter­ceros con el que el Cliente deci­da comu­ni­carse a través del Servicio.

Cualquier dato per­son­al com­pren­di­do en los Datos del Cliente, es decir, Datos Per­son­ales que son car­ga­dos por el Cliente a los Ser­vi­cios bajo las cuen­tas de Work­sec­tion del Cliente o de otro modo proce­sa­dos por Work­sec­tion en nom­bre del Cliente, en conex­ión con el uso que hace el Cliente de los Servicios.

El Cliente reconoce y com­prende que los Ser­vi­cios se uti­lizan para colab­o­ración y plan­i­fi­cación, y que no están dis­eña­dos para el tratamien­to de cat­e­gorías espe­ciales de datos personales.

Suje­to a cualquier Sec­ción del DPA y/o del Acuer­do que trate sobre la duración del tratamien­to y las con­se­cuen­cias de la expiración o ter­mi­nación del mis­mo, Work­sec­tion proce­sará Datos Per­son­ales de acuer­do con el DPA y el Acuer­do durante la duración del Acuer­do, a menos que se acuerde lo con­trario por escrito. El Cliente elim­i­nará los Datos Per­son­ales car­ga­dos a los Ser­vi­cios, de acuer­do con sus propias políti­cas de retención.

El tratamien­to tiene lugar de man­era con­tin­ua, a medi­da que el Cliente uti­liza los Servicios.

Los datos per­son­ales pueden estar suje­tos a las sigu­ientes activi­dades de procesamiento:

● alma­ce­namien­to y otros tratamien­tos nece­sar­ios para pro­por­cionar, man­ten­er y mejo­rar los Ser­vi­cios pro­por­ciona­dos al Expor­ta­dor de Datos;

● pro­por­cionar soporte al cliente y téc­ni­co al Expor­ta­dor de Datos;

● divul­ga­ciones de acuer­do con el Acuer­do, según lo exi­ja la ley.

Se con­tratan sub-proce­sadores por Work­sec­tion para análi­sis web, ERP, análi­sis de datos de clientes, soporte al cliente, servi­dores y alo­jamien­to, y fun­cional­i­dades de correo electrónico.

Work­sec­tion mantiene los datos de los clientes cifra­dos en reposo usan­do una fuerza de cifra­do equiv­a­lente a 256 bits simétri­cos o mejor. Los datos están cifra­dos en trán­si­to usan­do TLS 1.2 o posterior.

La infraestruc­tura para los ser­vi­cios de Work­sec­tion abar­ca múlti­ples cen­tros de datos en difer­entes país­es de la UE y en Ucrania.

Work­sec­tion respal­da los datos de los clientes en tiem­po real. Las copias de seguri­dad se con­ser­van de man­era redun­dante en múlti­ples cen­tros de datos y están cifradas en trán­si­to y en reposo con cifra­dos están­dar de la indus­tria con una fuerza de cifra­do equiv­a­lente a 256 bits simétricos.

Work­sec­tion mantiene un pro­gra­ma de seguri­dad basa­do en están­dares ISO 27001. Esto incluye sal­va­guardias admin­is­tra­ti­vas, orga­ni­za­ti­vas, téc­ni­cas y físi­cas dis­eñadas para pro­te­ger la con­fi­den­cial­i­dad, inte­gri­dad y disponi­bil­i­dad de los datos de los clientes. Work­sec­tion real­iza prue­bas de pen­e­tración anuales de apli­ca­ciones y redes por parte de terceros.

Se requiere que el per­son­al de Work­sec­tion util­ice cre­den­ciales de usuario úni­cas y secre­tos para la autenticación.

Los datos del cliente están cifra­dos con cifra­do TLS 1.2 o pos­te­ri­or durante la trans­misión entre el cliente y Work­sec­tion, así como inter­na­mente entre los sis­temas de Worksection.

Los datos del cliente se alma­ce­nan cifra­dos usan­do cifra­dos simétri­cos de 256 bits están­dar de la industria.

Work­sec­tion apli­ca están­dares de Ciclo de Vida de Desar­rol­lo de Soft­ware Seguro (Secure SDLC) para realizar numerosas activi­dades rela­cionadas con la seguri­dad para los Ser­vi­cios a través de difer­entes fas­es del ciclo de creación del pro­duc­to, des­de la recopi­lación de req­ui­si­tos y el dis­eño del pro­duc­to has­ta la imple­mentación del pro­duc­to. Estas activi­dades incluyen, pero no se lim­i­tan a, la real­ización de (a) revi­siones de seguri­dad inter­nas antes de que se imple­menten nuevos ser­vi­cios; (b) prue­bas de pen­e­tración anuales por parte de ter­ceros inde­pen­di­entes; y © mod­e­los de ame­nazas para nuevos ser­vi­cios para detec­tar cualquier prob­le­ma de seguri­dad potencial.