Última actualización: 25 de mayo de 2018
Las presentes Condiciones de TuLigaEnDirecto para el Tratamiento de Datos (en conjunto con los anexos, las "Condiciones de Tratamiento de Datos") serán de aplicación al tratamiento de los Datos Personales del Cliente. Estas condiciones sirven como adenda al contrato entre Usted (el "Cliente") e Ip Family Group en relación con el uso que haga del servicio de TuLigaEnDirecto (el "Contrato"). Este Contrato podrá incluir las Condiciones de Servicio de TuLigaEnDirecto o un acuerdo de licencia de contenido, según corresponda al Cliente. Por favor, lea con atención las presentes Condiciones de Tratamiento de Datos.
1. Introducción
Las presentes Condiciones de Tratamiento de Datos reflejan el acuerdo de las partes sobre las condiciones que regularán el tratamiento y la seguridad de los Datos Personales del Cliente en relación con la legislación de Protección de Datos.
2. Definiciones e Interpretación
2.1 En estas Condiciones de Tratamiento de Datos:
Se entenderá por "Entidad Vinculada", si dicho término no estuviera ya definido en el Contrato, una entidad que directa o indirectamente controle, esté controlada por, o esté bajo control común con, una de las partes.
Se entenderá por "Datos Personales del Cliente" el contenido de audio y audiovisual que el Cliente suba a TuLigaEnDirecto con arreglo a los términos del Contrato y que Ip Family Group trate por cuenta del Cliente en la prestación de los Servicios de Encargado del Tratamiento de Ip Family Group.
Se entenderá por "Incidente de Datos" una violación de la seguridad de Ip Family Group que conlleve la destrucción, pérdida o alteración accidental o ilegítima de, o la revelación o acceso no autorizados a, los Datos Personales del Cliente en los sistemas que gestione o de cualquier otro modo controle Ip Family Group. No se entenderán incluidos en el concepto de "Incidente de Datos" los intentos infructuosos o actividades que no pongan en peligro los Datos Personales del Cliente, incluidos los intentos infructuosos de iniciar sesión, pulsos sonoros (pings), exploraciones de puertos, ataques de denegación de servicio y otros ataques de red a los cortafuegos o a sistemas en red.
Se entenderá por "Legislación de Protección de Datos", según corresponda: (a) el Reglamento General de Protección de datos (RGPD); y/o la Ley Federal (Suiza) de Protección de Datos de 19 de junio de 1992.
Se entenderá por "Herramienta del Interesado" una herramienta (si la hubiera) que Ip Family Group ponga a disposición de los interesados titulares de los datos que permita a Ip Family Group responder directamente y de manera estandarizada a ciertas solicitudes de los interesados en relación con los Datos Personales del Cliente (por ejemplo, configuración de la publicidad por internet, o un complemento (plugin) de inhabilitación para navegadores).
Se entenderá por "EEE" el Espacio Económico Europeo.
Se entenderá por "RGPD" (Reglamento General de Protección de Datos) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Se entenderá por "Ip Family Group" la Entidad de Ip Family Group que sea parte en su Contrato.
"Subencargados del Tratamiento Vinculados a Ip Family Group" tiene el significado que se indica en la Cláusula 11.1 (Consentimiento para Contratar Subencargados del Tratamiento).
Se entenderá por "Entidad de Ip Family Group" Ip Family Group, TuLigaEnDirecto, Embly, Ip Asesor, o cualquier otra Entidad Vinculada a Ip Family Group
Se entenderá por "Certificación ISO 27001" la certificación ISO/IEC 27001:2013 o una certificación comparable de los Servicios del Encargado del Tratamiento.
Se entenderá por "Dirección de Correo Electrónico para Notificaciones" la dirección de correo electrónico (si la hubiera) designada por el Cliente a través de la interfaz de usuario de los Servicios del Encargado del Tratamiento o por cualesquiera otros medios que facilite Ip Family Group, para recibir determinadas notificaciones de Ip Family Group relativas a las presentes Condiciones de Tratamiento de Datos.
Se entenderá por "Privacy Shield" el marco jurídico denominado Privacy Shield establecido entre la UE y EE. UU. y entre Suiza y EE. UU.
Se entenderá por "Servicios del Encargado del Tratamiento" los servicios de tratamiento de los Datos Personales del Cliente de conformidad con las presentes Condiciones de Tratamiento de Datos.
Se entenderá por "Documentación de Seguridad" el certificado expedido por la Certificación ISO 27001, si lo hubiere, y cualesquiera otras certificaciones de seguridad o documentos que Ip Family Group ponga a disposición respecto de los Servicios del Encargado del Tratamiento.
"Medidas de Seguridad" tiene el significado que se indica en la Cláusula 7.1.1 (Medidas de Seguridad de Ip Family Group).
Se entenderá por "Subencargados del Tratamiento" aquellos terceros autorizados con arreglo a las presentes Condiciones de Tratamiento de Datos para tener acceso lógico y tratar los Datos Personales del Cliente a efectos de facilitar partes de los Servicios del Encargado del Tratamiento y la correspondiente asistencia técnica.
"Terceros Subencargados del Tratamiento" tiene el significado que se indica en la Cláusula 11.1 (Consentimiento para Contratar Subencargados del Tratamiento).
2.2 Los términos"responsable del tratamiento", "interesado", "datos personales", "tratamiento", "encargado del tratamiento" y "autoridad de control" tal como se utilizan en estas Condiciones de Tratamiento de Datos tienen el significado que se les da en el RGPD.
2.3 Toda referencia a un marco jurídico, cuerpo legal u otro instrumento legislativo es una referencia al mismo en su versión actualizada y vigente en cada momento.
3. Duración de las presentes Condiciones de Tratamiento de Datos
La vigencia ("Vigencia") de las presentes Condiciones de Tratamiento de Datos y de la prestación por Ip Family Group de los Servicios del Encargado del Tratamiento comenzará el 25 de mayo de 2018 (o en la fecha del Contrato, si fuera posterior al 25 de mayo de 2018) (la "Fecha de Entrada en Vigor de las Condiciones") y continuará hasta que Ip Family Group elimine los Datos Personales del Cliente según se describe en las presentes Condiciones de Tratamiento de Datos.
4. Aplicación de las presentes Condiciones de Tratamiento de Datos
Aplicación de la Legislación de Protección de Datos. Las presentes Condiciones de Tratamiento de Datos solo se aplicarán en la medida en que la Legislación de Protección de Datos sea de aplicación al tratamiento de los Datos Personales del Cliente, lo que incluye si:
(a) el tratamiento se produce en el contexto de las actividades de un establecimiento del Cliente en el EEE; y/ o
(b) los Datos Personales del Cliente son los datos de carácter personal relativos a interesados que estén en el EEE y el tratamiento se refiere a la oferta a dichos interesados de productos o servicios o al control de su comportamiento en el EEE.
5. Tratamiento de Datos
5.1 Funciones y Cumplimiento Normativo; Autorización.
5.1.1 Responsabilidades del Encargado y del Responsable del Tratamiento .
(a) Las presentes Condiciones de Tratamiento de Datos describen el objeto y los detalles del tratamiento de los Datos Personales del Cliente;
(b) Ip Family Group tiene la condición de encargado del tratamiento de los Datos Personales del Cliente con arreglo a la Legislación de Protección de Datos;
(c) el Cliente tiene la condición de responsable o de encargado del tratamiento, según sea el caso, de los Datos Personales del Cliente con arreglo a la Legislación de Protección de Datos; y
(d) cada parte deberá cumplir con las obligaciones que le sean aplicables en virtud de la Legislación de Protección de Datos con respecto al tratamiento de los Datos Personales del Cliente.
5.1.2 Autorización por un Tercero Responsable del Tratamiento. Si el Cliente tiene la condición de encargado del tratamiento, el Cliente garantiza a Ip Family Group que las instrucciones y las acciones del Cliente respecto de los Datos Personales del Cliente, incluyendo el nombramiento por su parte de Ip Family Group como encargado del tratamiento adicional, han sido autorizadas por el correspondiente responsable del tratamiento.
5.2 Instrucciones del Cliente. El Cliente da instrucciones a Ip Family Group para que trate los Datos Personales del Cliente solo de conformidad con la legislación aplicable y con las presentes Condiciones de Tratamiento de Datos: (a) al objeto de prestar los Servicios del Encargado del Tratamiento y la correspondiente asistencia técnica; (b) según se especifique en mayor detalle a través del uso que el Cliente haga de los Servicios del Encargado del Tratamiento (lo que incluye la configuración y demás funcionalidades de los Servicios del Encargado del Tratamiento) y de la correspondiente asistencia técnica; y (c) según se documente en forma de Contrato, incluyendo las presentes Condiciones de Tratamiento de Datos.
5.3 Cumplimiento de las Instrucciones por Ip Family Group Ip Family Group, deberá cumplir con las instrucciones que se describen en la Cláusula 5.2 (Instrucciones del Cliente) (incluidas aquellas con respecto a las transferencias de datos) a menos que el Derecho de la UE o de un Estado Miembro de la UE al que esté sujeto Ip Family Group, exija otro tratamiento de los Datos Personales del Cliente por parte de Ip Family Group, en cuyo caso Ip Family Group, deberá informar al Cliente (a menos que dicha legislación prohíba a Ip Family Group, hacerlo por razones importantes de interés público).
6 Supresión de los datos.
6.1 Supresión durante la Vigencia
6.1.1 Servicios del Encargado del Tratamiento con funcionalidad de supresión Durante la Vigencia, siempre y cuando:
(a) la funcionalidad de los Servicios del Encargado del Tratamiento incluya la opción para el Cliente de suprimir los Datos Personales del Cliente;
(b) el Cliente utilice los Servicios del Encargado del Tratamiento para suprimir determinados Datos Personales del Cliente; y
(c) el Cliente no puede recuperar los Datos Personales del Cliente borrados (por ejemplo, de la "papelera"),
Ip Family Group deberá eliminar dichos Datos Personales del Cliente de sus sistemas tan pronto como sea razonablemente posible, a menos que la legislación de la UE o del Estado Miembro de la UE exija su conservación.
6.1.2 Servicios del Encargado del Tratamiento sin funcionalidad de supresión. Durante la Vigencia, si la funcionalidad de los Servicios del Encargado del Tratamiento no incluye la opción para el Cliente de suprimir los Datos Personales del Cliente, Ip Family Group deberá cumplir con cualquier solicitud razonable que le haga el Cliente de facilitar dicha supresión, en la medida en que sea posible teniendo en cuenta la naturaleza y funcionalidad de los Servicios del Encargado del Tratamiento. Ip Family Group podrá cobrar una tarifa (basada en los costes razonables para Ip Family Group) por la supresión de datos con arreglo a la presente Cláusula 6.1.2 (Servicios del Encargado del Tratamiento sin funcionalidad de supresión). Ip Family Group deberá facilitar al Cliente información de la tarifa aplicable, y la base para su cálculo, antes de proceder a dicha supresión de los datos.
6.2 Supresión una vez extinguido Contrato. Una vez extinguido o resuelto el Contrato, el Cliente da instrucciones a Ip Family Group para que suprima todos los Datos Personales del Cliente (incluyendo las copias que existan) de los sistemas de Ip Family Group, conforme a la legislación aplicable. Ip Family Group deberá cumplir con estas instrucciones tan pronto como sea razonablemente posible, a menos que: (i) la legislación de la UE o del Estado Miembro de la UE exija su conservación; o (ii) el Contrato se vea reemplazado por un nuevo contrato o unas nuevas condiciones entre el Cliente y Ip Family Group acerca del uso por el Cliente del servicio de TuLigaEnDirecto y el Cliente confirme que los Datos Personales del Cliente (incluidas las copias existentes que ya se hubieran subido al Servicio de TuLigaEnDirecto) deben seguir tratándose de conformidad con estas Condiciones de Tratamiento de Datos.
7. Seguridad de los datos
7.1 Medidas de Seguridad de Ip Family Group y Asistencia.
7.1.1 Medidas de Seguridad de Ip Family Group. Ip Family Group deberá aplicar y mantener medidas técnicas y organizativas para proteger los Datos Personales del Cliente frente a su destrucción, pérdida o alteración accidental o ilícita, o su revelación o acceso no autorizados tal como se describe en el Anexo 2 (las "Medidas de Seguridad"). Ip Family Group podrá actualizar o modificar las Medidas de Seguridad en cualquier momento, siempre que dichas actualizaciones y modificaciones no tengan como resultado la degradación de la seguridad general de los Servicios del Encargado del Tratamiento.
7.1.2 Cumplimiento de la seguridad por el personal de Ip Family Group. Ip Family Group deberá asegurarse de que todas las personas autorizadas para tratar los Datos Personales del Cliente se hayan comprometido a respetar la confidencialidad o estén sujetas a la oportuna obligación de confidencialidad de naturaleza estatutaria.
7.1.3 Asistencia de Ip Family Group en materia de seguridad. Ip Family Group deberá (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Cliente y la información disponible para Ip Family Group) ayudar al Cliente a garantizar el cumplimiento de las obligaciones del Cliente en materia de seguridad de los datos de carácter personal y violaciones de la seguridad de los datos personales, incluyendo (en su caso) las obligaciones que correspondan al Cliente con arreglo a los artículos 32 a 34 (inclusive) del RGPD, mediante:
(a) la puesta en marcha y mantenimiento de las Medidas de Seguridad, de conformidad con lo dispuesto en la Cláusula 7.1.1 (Medidas de Seguridad de Ip Family Group);
(b) el cumplimiento de lo dispuesto en la Cláusula 7.2 (Incidentes de Datos); y
(c) la aportación al Cliente de la Documentación de Seguridad de conformidad con lo dispuesto en la Cláusula 7.5.1 (Revisiones de la Documentación de Seguridad) y la información contenida en las presentes Condiciones de Tratamiento de Datos.
7.2 Incidentes de Datos.
7.2.1 Notificación del Incidente. Si Ip Family Group tiene conocimiento de un Incidente de Datos, Ip Family Group deberá: (a) notificar al Cliente el Incidente de Datos inmediatamente y sin dilación indebida; y (b) adoptar inmediatamente medidas razonables para reducir al mínimo los daños y asegurar los Datos Personales del Cliente.
7.2.2 Detalles del Incidente de Datos. Las notificaciones que se practiquen con arreglo a la Cláusula 7.2.1 (Notificación de Incidentes) deberán describir, en la medida de lo posible, los detalles del Incidente de Datos, incluidas las medidas adoptadas para mitigar los posibles riesgos y las medidas que Ip Family Group recomiende al Cliente adoptar para dar respuesta al Incidente de Datos.
7.2.3 Entrega de la Notificación. Ip Family Group deberá practicar la notificación de cualquier Incidente de Datos a la Dirección de Correo Electrónico para Notificaciones o mediante otra forma de comunicación directa (por ejemplo, llamada telefónica o reunión en persona). El Cliente deberá adoptar todas las medidas oportunas para facilitar la Dirección de Correo Electrónico para Notificaciones y asegurarse de que dicha Dirección de Correo Electrónico para Notificaciones esté operativa y sea válida.
7.2.4 Notificaciones a Terceros. El Cliente es el único responsable de cumplir con la legislación en materia de notificación de incidencias aplicable al Cliente y de cumplir con las obligaciones de notificación a terceros en relación con cualquier Incidente de Datos.
7.2.5 No asunción de culpa por parte de Ip Family Group. La notificación o respuesta de Ip Family Group a un Incidente de Datos con arreglo a la presente Cláusula 7.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Ip Family Group de ninguna culpa o responsabilidad con respecto al Incidente de Datos.
7.3 Responsabilidades del Cliente en materia de seguridad y evaluación.
7.3.1 Responsabilidades del Cliente en materia de seguridad. Sin perjuicio de las obligaciones de Ip Family Group recogidas en las Cláusulas 7.1 (Medidas de Seguridad de Ip Family Group y asistencia) y 7.2 (Incidentes de Datos):
(a) El Cliente es el único responsable del uso que haga de los Servicios del Encargado del Tratamiento, incluyendo:
(i) hacer un uso adecuado de los Servicios del Encargado del Tratamiento para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Cliente; y
(ii) mantener seguros las credenciales, los sistemas y los dispositivos de autenticación de la cuenta que el Cliente utilice para acceder a los Servicios del Encargado del Tratamiento; y
(b) Ip Family Group no tiene obligación alguna de proteger los Datos Personales del Cliente que el Cliente opte por almacenar o transferir fuera de los sistemas de Ip Family Group y de sus Subencargados del Tratamiento.
7.3.2 Evaluación de seguridad del Cliente El Cliente reconoce y acepta que (teniendo en cuenta el estado de la técnica, los costes de implantación y la naturaleza, alcance, contexto y finalidades del tratamiento de los Datos Personales del Cliente, así como los riesgos para las personas físicas) las Medidas de Seguridad implementadas y mantenidas por Ip Family Group con arreglo a lo dispuesto en la Cláusula 7.1.1 (Medidas de Seguridad de Ip Family Group) proporcionan un nivel de seguridad adecuado al riesgo respecto de los Datos Personales del Cliente.
7.4 Certificación de Seguridad. Con el objeto de evaluar y ayudar a garantizar la efectividad continuada de las Medidas de Seguridad, Ip Family Group podrá, en cualquier momento, obtener la Certificación ISO 27001.
7.5. Revisiones y auditorías de cumplimiento normativo.
7.5.1 Revisiones de la Documentación de Seguridad. Con el objeto de demostrar el cumplimiento por parte de Ip Family Group de las obligaciones que le incumben con arreglo a las presentes Condiciones de Tratamiento de Datos, Ip Family Group pondrá la Documentación de Seguridad a disposición del Cliente para su revisión.
7.5.2 Derecho de auditoría del Cliente.
(a) Ip Family Group deberá permitir al Cliente o a un tercero auditor nombrado por el Cliente llevar a cabo auditorías (lo que incluye inspecciones) para verificar el cumplimiento por parte de Ip Family Group de las obligaciones que le incumben con arreglo a las presentes Condiciones de Tratamiento de Datos de conformidad con la Cláusula 7.5.3 (Condiciones Comerciales Adicionales para Auditorías). Ip Family Group colaborará en dichas auditorías, tal como se describe en la Cláusula 7.4 (Certificación de Seguridad) y en la presente Cláusula 7.5 (Revisiones y auditorías de cumplimiento normativo).
(b) el Cliente podrá también llevar a cabo auditorías para verificar el cumplimiento por Ip Family Group de las obligaciones que le incumben con arreglo las presentes Condiciones de Tratamiento de Datos revisando el certificado expedido por la Certificación ISO 27001 (que deberá reflejar el resultado de una auditoría realizada por un tercero auditor), si dicha certificación estuviera disponible en el momento de la solicitud del Cliente.
7.5.3 Condiciones comerciales adicionales para auditorías.
(a) El Cliente deberá enviar toda solicitud de auditoría al amparo de la Cláusula 7.5.2(a) a Ip Family Group tal como se describe en la Cláusula 12.1 (Contacto con Ip Family Group).
(b) A la recepción por Ip Family Group de una solicitud al amparo de la Cláusula 7.5.3(a), Ip Family Group y el Cliente entablarán negociaciones y acordarán por adelantado una fecha de inicio razonable, el ámbito y la duración y los controles de seguridad y de confidencialidad aplicables a la auditoría con arreglo a lo dispuesto en la Cláusula 7.5.2(a).
(c) Ip Family Group podrá cobrar una tarifa (en base a los costes razonables para Ip Family Group) por las auditorías que realice al amparo de la Cláusula 7.5.2(a). Ip Family Group deberá facilitar al Cliente información de la tarifa aplicable, y la base para su cálculo, antes de proceder a dicha auditoría. El Cliente será responsable de pagar los honorarios que cobre el tercero auditor nombrado por el Cliente para realizar la auditoría.
(d) Ip Family Group podrá oponerse a cualquier tercero auditor nombrado por el Cliente para llevar a cabo la auditoría al amparo de la Cláusula 7.5.2 (a) si el auditor no está, a juicio razonable de Ip Family Group, debidamente cualificado o no es independiente, es un competidor de Ip Family Group o es por cualquier otro motivo manifiestamente inadecuado. La correspondiente oposición de Ip Family Group obligará al Cliente a nombrar un auditor distinto o realizar él mismo la auditoría.
Nada de lo previsto en las presentes Condiciones de Tratamiento de Datos exigirá a Ip Family Group que revele al Cliente o a su tercero auditor, o permita al Cliente o al tercero auditor el acceso a:
(i) los datos de cualquier otro cliente de una Entidad de Ip Family Group;
(ii) la contabilidad interna e información financiera de una Entidad de Ip Family Group;
(iii) cualquier secreto comercial de una Entidad de Ip Family Group;
(iv) cualquier información que, a juicio razonable de Ip Family Group, pueda: (A) poner en peligro la seguridad de los sistemas o los locales de una Entidad de Ip Family Group; o (B) provocar el incumplimiento por parte de una Entidad de Ip Family Group de sus obligaciones con arreglo a la Legislación de Protección de Datos o sus obligaciones en materia de seguridad o de privacidad para con el Cliente o cualquier tercero; o
(v) cualquier información a la que el Cliente o su tercero auditor intenten acceder por razones distintas del cumplimiento de buena fe de las obligaciones del Cliente con arreglo a la Legislación de Protección de Datos.
8 Evaluaciones de Impacto y consultas.
Ip Family Group deberá (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Ip Family Group) ayudar al Cliente a garantizar el cumplimiento de las obligaciones del Cliente en materia de evaluaciones de impacto en protección de datos y consultas previas, incluyendo (si resulta aplicable) las obligaciones del Cliente con arreglo a los artículos 35 y 36 del RGPD, mediante:
(a) la aportación de la Documentación de Seguridad según lo previsto en la Cláusula 7.5.1 (Revisiones de la Documentación de Seguridad);
(b) la aportación de la información contenida en las presentes Condiciones de Tratamiento de Datos; y
(c) la aportación o puesta a disposición, de conformidad con la práctica habitual de Ip Family Group, de otros materiales relativos a la naturaleza de los Servicios del Encargado del Tratamiento y al tratamiento de los Datos Personales del Cliente (por ejemplo, materiales del centro de ayuda).
9. Derechos de los interesados
9.1 Respuestas a las solicitudes de los interesados. Si recibe una solicitud de un interesado en relación con los Datos Personales del Cliente, Ip Family Group deberá:
(a) si la solicitud se realiza a través de una Herramienta de Datos del Interesado, responder directamente a la solicitud del interesado, de conformidad con las normas de funcionalidad habitual de dicha Herramienta de Datos del Interesado; o
(b) si la solicitud no se realiza a través de una Herramienta de Datos del Interesado, advertir al interesado para que presente su solicitud al Cliente, y será el Cliente el responsable de responder a dicha solicitud.
9.2 Asistencia de Ip Family Group con la solicitud del interesado. Ip Family Group deberá (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Cliente y, en su caso, el artículo 11 del RGPD) ayudar al Cliente a cumplir con la obligación que tiene de responder a las solicitudes de los interesados, incluidas (si procede) la obligación del Cliente de responder a las solicitudes de ejercicio por los interesados de los derechos establecidos en el Capítulo III del RGPD, mediante:
(a) la aportación de la funcionalidad de los Servicios del Encargado del Tratamiento;
(b) el cumplimiento de los compromisos estipulados en Cláusula 9.1 (Respuestas a las solicitudes de los interesados); y
(c) si resulta aplicable a los Servicios del Encargado del tratamiento, la puesta a disposición de la Herramienta de Datos del Interesado.
10. Transferencias de Datos
10.1 Instalaciones de almacenamiento y tratamiento de datos. Ip Family Group podrá, con sujeción a lo dispuesto en la Cláusula 10.2 (Transferencias de datos fuera del EEE y Suiza), almacenar y tratar los Datos Personales del Cliente en los Estados Unidos de América y en cualquier otro país en el que Ip Family Group o cualquiera de sus Subencargados del Tratamiento mantenga sus instalaciones.
10.2 Transferencias de datos fuera del EEE y Suiza. Ip Family Group se asegurará de que:
(a) la empresa matriz del grupo Ip Family Group, Ip Family Group LLC, siga manteniendo la autocertificación del Privacy Shield en nombre propio y en el de sus filiales íntegramente participadas de Estados Unidos; y
(b) el alcance de la certificación del Privacy Shield de Ip Family Group LLC incluya los Datos Personales del Cliente.
10.3 Información del Centro de Datos. La información sobre la ubicación de los centros de datos de Ip Family Group está disponible en: www.ipfamilygroup.com/about/datacenters/inside/locations/index.html.
11. Subencargados del Tratamiento
11.1 Consentimiento para la contratación de Subencargados del Tratamiento. El Cliente autoriza expresamente la contratación de las Entidades Vinculadas a Ip Family Group como Subencargados del Tratamiento ("Entidades Vinculadas a Ip Family Group Subencargados del Tratamiento") Además, el Cliente autoriza de manera general la contratación de cualesquiera otros terceros como Subencargados del Tratamiento (los "Terceros Subencargados del Tratamiento").
11.2 Información sobre los Subencargados del Tratamiento. La información acerca de los Subencargados del Tratamiento puede encontrarse en privacy.Ip Family Group.com/businesses/subprocessors.
11.3 Requisitos para la contratación de Subencargados del Tratamiento. A la hora de contratar un Subencargado del Tratamiento, Ip Family Group deberá:
(a) asegurarse mediante un contrato por escrito de que:
(i) el Subencargado del Tratamiento solo acceda y use los Datos Personales del Cliente en la medida necesaria para dar cumplimiento a las obligaciones que se le han subcontratado, y lo haga de conformidad con el Contrato (incluyendo estas Condiciones del Tratamiento de Datos) y Privacy Shield; y
(ii) si el RGPD resulta aplicable al tratamiento de los Datos Personales del Cliente, se impongan al Subencargado del Tratamiento las obligaciones en materia de protección de datos establecidas en el artículo 28(3) del RGPD; y
(b) seguir siendo plenamente responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del Subencargado del Tratamiento.
12. Contacto con Ip Family Group; Registros del Tratamiento.
12.1 Contacto con Ip Family Group. El Cliente se podrá poner en contacto con Ip Family Group para ejercer los derechos que le asisten con arreglo a estas Condiciones de Tratamiento de Datos por los métodos que se describen en http://support.Ip Family Group.com/TuLigaEnDirecto/?p=data_applicability o por cualesquiera otros métodos que Ip Family Group pueda ofrecer en cada momento.
12.2 Registros del Tratamiento de Ip Family Group. El Cliente reconoce que Ip Family Group está obligada, en virtud del RGPD, a: (a) recopilar y mantener registros de cierta información, incluyendo el nombre y datos de contacto de cada encargado y/o responsable del tratamiento por cuya cuenta actúe Ip Family Group y (si procede) del representante local y del delegado de protección de datos de dicho encargado o responsable del tratamiento; y (b) poner dicha información a disposición de las autoridades supervisoras. Por consiguiente, el Cliente deberá, cuando se le pida y resulte aplicable al Cliente, facilitar dicha información a Ip Family Group mediante la interfaz de usuario de los Servicios del Encargado del Tratamiento o por otros medios que Ip Family Group pueda facilitar, y hará uso de dicha interfaz u otros medios para garantizar que toda la información que se facilite se mantenga precisa y actualizada.
13. Responsabilidad.
No obstante cualquier disposición del Contrato, la responsabilidad total de cada una de las partes frente a la otra por razón o en relación con las presentes Condiciones de Tratamiento de Datos estará limitada al importe máximo monetario o basado en el otro pago al que se haya limitado la responsabilidad de dicha parte en el Contrato (para mayor claridad, toda exclusión de las reclamaciones de confidencialidad o indemnización recogidas en la limitación de responsabilidad prevista en el Contrato no será de aplicación a las reclamaciones interpuestas al amparo de dicho Contrato en relación con la Legislación de Protección de Datos). Nada de lo previsto en esta Cláusula 13 (Responsabilidad) excluirá o limitará la responsabilidad de las partes por: (a) muerte o lesiones personales derivadas de su negligencia o la negligencia de sus empleados o agentes; (b) fraude o falsas declaraciones; o (c) asuntos por los que no quepa excluir o limitar la responsabilidad en virtud de la ley aplicable.
14. Efectos de las presentes Condiciones de Tratamiento de Datos.
Si se produce cualquier conflicto o discrepancia entre los términos de las presentes Condiciones de Tratamiento de Datos y el resto del Contrato, prevalecerán los términos de las presentes Condiciones de Tratamiento de Datos. Con sujeción a las modificaciones recogidas en las presentes Condiciones de Tratamiento de Datos, el Contrato permanece en pleno vigor y efecto.
15. Cambios a las presentes Condiciones de Tratamiento de Datos.
15.1 Cambios en los Servicios del Encargado del Tratamiento. Ip Family Group solo podrá modificar el listado de posibles Servicios del Encargado del Tratamiento:
(a) para reflejar un cambio en el nombre de un servicio;
(b) para añadir un nuevo servicio; o
(c) a retirar un servicio cuando bien: (i) todos los contratos para la prestación del servicio se hayan extinguido; o (ii) Ip Family Group disponga del consentimiento del Cliente.
15.2 Cambios en las condiciones de Tratamiento de Datos. Ip Family Group podrá modificar las presentes Condiciones de Tratamiento de Datos si el cambio:
(a) está expresamente permitido por las presentes Condiciones de Tratamiento de Datos, incluidos los que se describen en Cláusula 15.1;
(b) refleja un cambio en el nombre o la forma de una persona jurídica;
(c) viene exigido para cumplir con la legislación o normativa aplicables, o con una orden judicial o una directriz emitida por un organismo regulador o departamento gubernamental; o
(d) no (i) provoca una degradación de la seguridad general de los Servicios del Encargado del Tratamiento; (ii) amplía el ámbito o reduce las restricciones al tratamiento por parte de Ip Family Group de los Datos Personales del Cliente, según se describe en Cláusula 5.3 (Cumplimiento de las Instrucciones por Ip Family Group); y (iii) de cualquier otro modo tiene un impacto adverso significativo sobre los derechos del Cliente con arreglo a las presentes Condiciones de Tratamiento de Datos, según determine Ip Family Group a su juicio razonable.
Anexo 1: Objeto y detalles del Tratamiento de Datos
Objeto
La prestación por Ip Family Group de los Servicios del Encargado del Tratamiento y la correspondiente asistencia técnica al Cliente.
Duración del Tratamiento
La Vigencia más el período que va desde que expire la Vigencia hasta que Ip Family Group suprima todos los Datos Personales del Cliente de conformidad con las presentes Condiciones de Tratamiento de Datos.
Naturaleza y finalidad del tratamiento
Ip Family Group tratará (lo que incluye, en cuanto resulte aplicable a los Servicios del Encargado del Tratamiento y las instrucciones que se describen en la Cláusula 5.2 (Instrucciones del Cliente), su recogida, registro, organización, estructuración, conservación, alteración, recuperación, uso, divulgación, combinación, supresión y destrucción) los Datos Personales del Cliente con la finalidad de prestar los Servicios del Encargado del Tratamiento y la correspondiente asistencia técnica al Cliente de conformidad con las presentes Condiciones de Tratamiento de Datos.
Tipos de datos de carácter personal
Los tipos de datos personales que constituyen los Datos Personales del Cliente son el contenido de audio y audiovisual que el Cliente suba a TuLigaEnDirecto con arreglo a los términos del Contrato, y Ip Family Group los tratará por cuenta del Cliente mediante la prestación por Ip Family Group de los Servicios de Encargado del Tratamiento.
Anexo 2: Medidas de Seguridad
A partir de la Fecha de Entrada en Vigor de las Condiciones, Ip Family Group deberá poner en práctica y mantener las Medidas de Seguridad que se recogen en el presente Anexo 2. Ip Family Group podrá actualizar o modificar dichas Medidas de Seguridad en cualquier momento, siempre que dichas actualizaciones y modificaciones no tengan como resultado la degradación de la seguridad general de los Servicios del Encargado del Tratamiento.
1. Centro de Datos y seguridad de la red
(a) Centros de Datos .
Infraestructura. Ip Family Group mantiene centros de datos distribuidos geográficamente. Ip Family Group almacena todos los datos de producción en centros de datos físicamente seguros.
Redundancia. Se han diseñado sistemas de infraestructura para eliminar puntos únicos de fallo y reducir al mínimo el impacto de los riesgos medioambientales previstos. La duplicación de circuitos, conmutadores, redes u otros dispositivos necesarios ayudan a aportar esta redundancia. Los Servicios del Encargado del Tratamiento están diseñados para permitir a Ip Family Group realizar determinados tipos de mantenimiento preventivo y correctivo sin interrupción. Todos los equipos e instalaciones ambientales disponen de procedimientos de mantenimiento preventivo documentados que detallan los procesos y la frecuencia de su ejecución de conformidad con las especificaciones internas del fabricante. El mantenimiento preventivo y correctivo de los equipos de los centros de datos se programa mediante un proceso estandarizado conforme a procedimientos documentados.
Energía eléctrica Los sistemas de alimentación eléctrica del centro de datos están diseñados para ser redundantes y para que su mantenimiento no tenga repercusión en la continuidad del funcionamiento, 24 horas al día, 7 días por semana. En la mayoría de los casos se ofrece una fuente primaria y otra alternativa de alimentación eléctrica, de igual capacidad, para los componentes de infraestructura de importancia esencial en el centro de datos. La fuente de alimentación eléctrica de respaldo se facilita mediante diversos mecanismos, tales como baterías y sistemas de alimentación ininterrumpida (SAI), que suministran una protección fiable y mantenida para los casos de subidas y caídas de tensión, apagones, y situaciones de frecuencias fuera del intervalo de tolerancia de la red. Si se interrumpe el suministro de la red, el sistema de respaldo de alimentación está diseñado para aportar alimentación eléctrica de manera transitoria al centro de datos, a plena capacidad durante unos 10 minutos, hasta que tome el relevo el generador diesel. El generador diesel es capaz de arrancar automáticamente en segundos para aportar un suministro de alimentación eléctrica de emergencia suficiente para que el centro de datos funcione a plena capacidad, normalmente durante varios días.
Sistemas de funcionamiento de los servidores Los servidores de Ip Family Group utilizan sistemas operativos reforzados que se personalizan para las necesidades específicas del servidor de la empresa. Los datos se almacenan utilizando algoritmos propiedad de Ip Family Group para aumentar la seguridad de los datos y la redundancia. Ip Family Group utiliza un proceso de revisión de código para aumentar la seguridad del código utilizado para prestar los Servicios del Encargado del Tratamiento y para mejorar la seguridad de los productos en entornos de producción.
Continuidad del negocio Ip Family Group replica los datos en múltiples sistemas para protegerlos frente a la destrucción o pérdida accidental. Ip Family Group ha diseñado, planifica y prueba periódicamente sus programas y planes de continuidad del negocio y recuperación en caso de desastre.
(b) Redes y transmisión
Transmisión de Datos. Los centros de datos están normalmente conectados mediante enlaces privados de alta velocidad para ofrecer una transferencia rápida y segura de datos entre los distintos centros de datos. Este diseño pretende evitar que los datos se puedan leer, copiar, alterar o retirar sin autorización durante su transferencia electrónica o transporte o mientras se registran en los medios de almacenamiento. Ip Family Group transfiere los datos a través de protocolos estándar de Internet.
Superficie expuesta a ataques externos Ip Family Group emplea múltiples capas de dispositivos de red y de detección de intrusiones para proteger su superficie expuesta a ataques externos. Ip Family Group considera posibles vectores de ataque e incorpora tecnologías adecuadas construidas a tal efecto en los sistemas expuestos al exterior.
Detección de intrusiones. La detección de intrusiones tiene por finalidad ofrecer una perspectiva de las actividades de ataque que se desarrollan y ofrecer una información adecuada para responder a los incidentes. La detección de intrusiones de Ip Family Group implica:
1. Controlar estrechamente el tamaño y la composición de la superficie de Ip Family Group expuesta a ataques mediante medidas preventivas;
2. Emplear controles de detección inteligente en los puntos de entrada de datos; y
3. Emplear tecnologías que corrijan automáticamente ciertas situaciones peligrosas.
Respuesta ante Incidentes. Ip Family Group supervisa una variedad de canales de comunicación de incidentes de seguridad, y el personal de seguridad de Ip Family Group reaccionará rápidamente ante los incidentes de los que tengan conocimiento.
Tecnologías de cifrado. Ip Family Group pone a disposición un cifrado HTTPS (también conocido como conexión SSL o TSL). Los servidores de Ip Family Group soportan el intercambio con una clave de cifrado de curva elíptica Diffie Hellman firmada con RSA y ECDSA. Estos métodos "secreto-perfecto-adelante" o PFS (por sus siglas en inglés, perfect forward secrecy) ayudan a proteger el tráfico y minimizan el impacto de que se descubra una clave, o se produzca una ruptura del encriptado.
2. Controles de acceso y del sitio.
(a) Controles del sitio
Servicio de seguridad local del Centro de Datos Los centros de datos de Ip Family Group mantienen un responsable del servicio de seguridad in situ para todas las funciones de seguridad física del centro, 24 horas al día, 7 días por semana. El personal del servicio de seguridad local supervisa las cámaras y sistemas de alarma de un circuito cerrado de televisión (CCTV). El personal del servicio de seguridad local patrulla el interior y el exterior del centro de datos con regularidad.
Procedimientos de acceso al Centro de Datos. Ip Family Group mantiene procedimientos formales de acceso para permitir el acceso físico a los centros de datos. Los centros de datos se alojan en instalaciones que requieren una tarjeta electrónica con clave de acceso, dotados de alarmas que están conectadas con el servicio de seguridad local. Todas las personas que entran en el centro de datos están obligadas a identificarse, así como a mostrar al servicio de seguridad un documento que acredite su identidad. Solo se permite la entrada a los centros de datos a los empleados, contratistas y visitantes autorizados. Solo se permite a los empleados y contratistas autorizados solicitar la tarjeta electrónica con clave de acceso a estas instalaciones. Las solicitudes de tarjeta electrónica con clave de acceso al Centro de Datos se deben presentar por adelantado y por escrito, y exigen la aprobación del gerente del solicitante y del director del centro de datos. Todas las demás personas que necesiten un acceso temporal al centro de datos deben: (i) obtener la aprobación previa de los gerentes del centro para el centro de datos específico y la zona concreta que deseen visitar; (ii) firmar a la entrada ante el servicio de seguridad local; y (iii) hacer referencia a un registro de acceso al centro de datos previamente aprobado en el que se identifique a la persona como autorizada.
Dispositivos de seguridad local del Centro de Datos Los centros de datos de Ip Family Group utilizan un sistema de control de acceso biométrico y mediante tarjeta electrónica con clave que está vinculado a un sistema de alarma. El sistema de control de acceso supervisa y registra cada tarjeta electrónica con clave cada vez que se accede a las puertas del perímetro, las zonas de envío y recepción y otras zonas sensibles. La actividad no autorizada y los intentos infructuosos de acceso se registran en el sistema de control de acceso y se investigan cuando procede. El acceso autorizado a todas las zonas empresariales y centros de datos está restringido por zonas y según las funciones profesionales de la persona. Las puertas contra incendios de los centros de datos están dotadas de alarmas. Hay cámaras del sistema CCTV funcionando tanto en el interior como en el exterior de los centros de datos. La posición de las cámaras está diseñada para que cubran zonas estratégicas, entre las que se encuentran el perímetro, las puertas al edificio del centro de datos, y las zonas de envío y recepción. El personal del servicio de seguridad local maneja los equipos de seguimiento por CCTV, registro y control. Cables de seguridad a lo largo de todos los centros de datos se conectan con el equipo de CCTV. Las cámaras graban in situ a través de grabadores de video digital 24 horas al día, 7 días a la semana. Los registros de seguridad se conservan durante al menos 7 días, en función de la actividad.
(b) Control de acceso.
Personal de seguridad de infraestructuras. Ip Family Group ha establecido y mantiene una política de seguridad para su personal, y exige formación en seguridad como parte del paquete formativo de su personal. El personal de seguridad de la infraestructura de Ip Family Group es responsable de la supervisión continua de la infraestructura de seguridad de Ip Family Group, la revisión de los Servicios del Encargado de Tratamiento, y de responder a los incidentes de seguridad.
Control de acceso y gestión de privilegios Los administradores y usuarios del Cliente deben autenticarse mediante un sistema de autenticación centralizado o mediante un sistema de identificación de ingreso único para poder usar los Servicios del Encargado del Tratamiento.
Políticas y procedimientos de acceso a datos internos - Política de acceso. Las políticas y procedimientos de acceso a datos internos de Ip Family Group están diseñados para evitar que personas y/o sistemas no autorizados tengan acceso a los sistemas que se usan para tratar los datos de carácter personal. Ip Family Group tiene por objetivo diseñar sus sistemas para que: (i) solo permitan a las personas autorizadas acceder a los datos a los que tienen permiso para acceder. y (ii) garanticen que dichos datos de carácter personal no se puedan leer, copiar, alterar o eliminar sin autorización durante su tratamiento, su uso y tras su grabación. Los sistemas están diseñados para detectar cualquier acceso inadecuado. Ip Family Group utiliza un sistema de gestión de acceso centralizado para controlar el acceso del personal a los servidores de producción, y sólo ofrece el acceso a un número limitado de miembros del personal autorizados. LDAP, Kerberos y un sistema propio que utiliza certificados SSH están diseñados para proporcionar a Ip Family Group mecanismos de acceso flexibles y seguros. Dichos mecanismos están diseñados para conceder solo derechos de acceso aprobados a la información sobre alojamientos de sitios, registros, datos y configuración. Ip Family Group exige el uso de identificadores de usuario, contraseñas robustas, autenticación de dos factores y listados de acceso con un seguimiento cuidadoso para minimizar las posibilidades de un uso no autorizado de la cuenta. La concesión o modificación de derechos de acceso se basa en: las responsabilidades profesionales del personal autorizado, los deberes profesionales necesarios para realizar las tareas autorizadas; y la necesidad de conocer la información. La concesión o modificación de derechos de acceso debe también ser acorde con las políticas y formación de acceso a datos internos de Ip Family Group. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra para crear una pista auditable para la rendición de cuentas. Cuando se utilizan contraseñas de autenticación (por ejemplo, al abrir sesión en un equipo de trabajo), se ponen en práctica políticas de contraseñas que como mínimo siguen las prácticas habituales del sector. Entre estas prácticas se incluyen restricciones al uso repetitivo de la contraseña y que la contraseña sea suficientemente segura.
3. Datos
(a) Almacenamiento, aislamiento y autenticación de datos,
Ip Family Group almacena los datos en un entorno multiusuario en servidores propiedad de Ip Family Group. Los datos, la base de datos del Servicio del Encargado del Tratamiento y la arquitectura del sistema de archivos se replican entre distintos centros de datos geográficamente dispersos. Ip Family Group aísla digitalmente los datos de cada cliente. Se usa un sistema central de autenticación para todos los Servicios del Encargado del Tratamiento al objeto de incrementar la uniformidad en la seguridad de los datos.
(b) Directrices para la retirada y destrucción de los discos duros
Ciertos discos que contienen datos pueden experimentar problemas de ejecución, errores o fallos de hardware que conducen a su retirada del servicio (los "Discos Retirados") Cada Disco Retirado está sujeto a una serie de procesos de destrucción (las "Directrices de Destrucción de Datos") antes de abandonar las instalaciones de Ip Family Group, bien sea para su reutilización o para su destrucción. Los Discos Retirados se borran mediante un proceso de varias etapas y se verifican completamente por dos validadores independientes, como mínimo. Los resultados del borrado se registran por el número de serie del Disco Retirado para facilitar su trazabilidad futura. Por último, el Disco Retirado se libera a inventario para su reutilización y redistribución. Si por razón de un fallo de hardware el Disco Retirado no se puede borrar, se almacena de manera segura hasta que pueda ser destruido. Cada instalación se somete a auditorías regulares para comprobar el cumplimiento de las Directrices de Destrucción de Datos.
4. Seguridad del personal.
Se exige al personal de Ip Family Group que se comporte de manera acorde con las directrices de la empresa en materia de confidencialidad, ética empresarial, uso adecuado y normas profesionales. Ip Family Group lleva a cabo comprobaciones de antecedentes razonablemente adecuadas en la medida en que esté legalmente permitido y de conformidad con la legislación y reglamentación laboral aplicables.
Se exige al personal que firme un contrato de confidencialidad y deben afirmar conocer y comprometerse a cumplir con todas las políticas de confidencialidad y privacidad de Ip Family Group. Se ofrece al personal formación en materia de seguridad. El personal que maneja Datos Personales del Cliente está obligado a cumplir requisitos adicionales adecuados a su función. El personal de Ip Family Group no puede tratar los Datos Personales del Cliente sin autorización.
5. Seguridad de los Subencargados del Tratamiento
Antes de contratar Subencargados del Tratamiento, Ip Family Group realiza una auditoría de las prácticas de seguridad y privacidad de los Subencargados del Tratamiento para garantizar que ofrezcan un nivel de seguridad y de privacidad adecuado para su acceso a los datos y el ámbito de los servicios para los que se les contrata. Una vez que Ip Family Group ha evaluado los riesgos que presenta el Subencargado del Tratamiento, y siempre con sujeción a los requisitos establecidos en la Cláusula 11.3 (Requisitos para la Contratación de Subencargados del Tratamiento), se exige al Subencargado del Tratamiento que firme el correspondiente contrato o contratos de seguridad, confidencialidad y privacidad.