Saltar al contenido principal

ACUERDO DE TRATAMIENTO DE DATOS!

  • Actualización

Índice:

  1. Datos Personales De Blip Go!
  2. Condiciones Generales De Tratamiento De Datos
  3. Obligaciones Del Responsable
  4. Obligaciones Del Encargado
  5. Seguridad De La Información
  6. Incidentes De Seguridad
  7. Compartición
  8. Responsabilidad
  9. Disposiciones Generales

Datos Personales De Blip Go!

DEFINICIONES

Para los fines de este Acuerdo, se consideran las siguientes definiciones, en conformidad con el art. 5º de la Ley nº 13.709/18 (Ley General de Protección de Datos – “LGPD”):

a) Dato(s) Personal(es): información relacionada con una persona natural identificada o identificable; y que, cuando corresponda, podrá incluir Dato(s) Personal(es) Sensible(s), que son Datos Personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación a sindicatos o a organizaciones de carácter religioso, filosófico o político, datos relacionados con la salud o la vida sexual, datos genéticos o biométricos, cuando vinculados a una persona natural;

b) Titular(es): persona natural a la que se refieren los Datos Personales que son objeto de Tratamiento, como Usuarios Finales y colaboradores del cliente de BLIP (en adelante denominado simplemente “CLIENTE”);

c) Controlador(a): persona natural o jurídica, de derecho público o privado, responsable de tomar las decisiones principales sobre el Tratamiento de Datos Personales y de definir la finalidad de dicho Tratamiento. En cuanto a los Datos Personales proporcionados por el CLIENTE y procesados en la solución conversacional contratada, el CLIENTE será considerado el “CONTROLADOR”;

d) Operador(a): persona natural o jurídica, de derecho público o privado, que realiza el Tratamiento de Datos en nombre del Controlador, según la finalidad indicada. En cuanto a los Datos Personales proporcionados por el CLIENTE y procesados en la solución conversacional contratada, BLIP será considerada la “OPERADORA”;

e) Tratamiento: cualquier operación realizada con Datos Personales, tales como la recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción.

Cuando otros términos definidos en la LGPD sean utilizados en este Acuerdo, dichos términos tendrán el mismo significado que los previstos en la ley.

 

CONDICIONES GENERALES DE TRATAMIENTO DE DATOS

En el desarrollo de cualquier actividad relacionada con el uso de la solución conversacional, las Partes deberán observar el régimen legal de protección de Datos Personales, comprometiéndose a realizar el Tratamiento de Datos Personales que resulte necesario, en estricto y riguroso cumplimiento de la LGPD y de las normas y procedimientos que puedan ser publicados y/o requeridos por entidades reguladoras y otras autoridades competentes, incluida la Autoridad Nacional de Protección de Datos (“ANPD”), asegurando que sus colaboradores, representantes, consultores, subcontratistas y/o proveedores de servicios también cumplan con las disposiciones legales aplicables.

Legitimidad del Tratamiento: En razón del uso de la solución conversacional, el CONTROLADOR garantiza que los Datos Personales compartidos con la OPERADORA estarán amparados por una base legal válida, legítima y adecuada para la(s) finalidad(es) del Tratamiento en cuestión, de acuerdo con la legislación aplicable, manteniendo a la OPERADORA indemne de cualquier responsabilidad en este sentido.

Finalidades del Tratamiento: La OPERADORA podrá realizar el Tratamiento de los Datos Personales necesarios para la concesión de la licencia de la solución conversacional, así como para la adopción de mejoras y el desarrollo del producto y de las funcionalidades relacionadas, buscando siempre la mejor experiencia para el CLIENTE. Es responsabilidad del CONTROLADOR obtener todas las autorizaciones necesarias en este sentido.

Duración del Tratamiento: La OPERADORA llevará a cabo el Tratamiento de los Datos Personales por el tiempo necesario para la consecución de las finalidades previstas en este Acuerdo. El término del Tratamiento también ocurrirá en caso de solicitud expresa, por escrito, del CONTROLADOR, para la devolución y/o eliminación de los Datos.
Se autoriza la conservación de los Datos por parte de la OPERADORA para el cumplimiento de una obligación legal o regulatoria durante el plazo legal aplicable, así como para uso exclusivo de la OPERADORA, de acuerdo con el ítem 2.3 mencionado anteriormente, y siempre que los Datos sean anonimizados, sin perjuicio de las demás hipótesis de conservación y almacenamiento previstas legalmente.

OBLIGACIONES DEL CONTROLADOR

Sin perjuicio de las demás obligaciones previstas en este Acuerdo y en un instrumento propio, el CONTROLADOR se compromete a:

a) Garantizar el pleno cumplimiento, legitimidad, legalidad y observancia de los preceptos legales en relación con los Datos Personales transferidos para su Tratamiento por la OPERADORA;

b) Garantizar la existencia de una base legal válida para compartir los Datos Personales con la OPERADORA, así como para el Tratamiento por parte de la OPERADORA en nombre del CONTROLADOR.

c) Proveer instrucciones y establecer reglas para el Tratamiento de los Datos Personales por parte de la OPERADORA, respetando tanto los límites técnicos de la solución conversacional, como aquellos dispuestos en la LGPD;

d) Comunicar a la OPERADORA, cuando sea necesario que esta actúe, con la mayor brevedad posible y en tiempo hábil, sobre cualquier solicitud de acceso, rectificación, portabilidad o eliminación realizada por los Titulares de los Datos Personales, así como en caso de requerimiento, notificación o cuestionamiento de autoridad competente;

e) Realizar la gestión y el control de accesos de sus colaboradores en el entorno de la solución conversacional, observando las reglas de seguridad adecuadas, responsabilizándose por todos los actos de estos, así como por solicitudes realizadas por estos ante la OPERADORA; y

f) Auxiliar a la OPERADORA en la elaboración de cualquier informe deimpacto a la protección de los Datos Personales, así como en el suministro de la información que las autoridades competentes puedan exigir.

El CONTROLADOR podrá estar sujeto al cumplimiento de normas previstas en la legislación específica de su área de actuación, las cuales no necesariamente serán obligatorias para la OPERADORA, tales como reglas diferenciadas de almacenamiento de datos.

 

OBLIGACIONES DEL OPERADOR

Sin perjuicio de las demás obligaciones previstas en este Acuerdo y en documento propio, el OPERADOR se compromete a:

a) Tratar los Datos Personales para las finalidades previstas en este Acuerdo o para aquellas indicadas por el CONTROLADOR, no utilizándolos para fines distintos;

b) Realizar el Tratamiento de los Datos Personales de acuerdo con las instrucciones del CONTROLADOR, teniendo siempre en cuenta la capacidad técnica de la solución conversacional contratada;

c) Informar al CONTROLADOR, con la mayor brevedad posible y en tiempo hábil, sobre la recepción de cualquier solicitud de los Titulares de los Datos Personales o de una autoridad competente, y asistirlo en la respuesta a dichas solicitudes, garantizando que el CONTROLADOR tenga toda la información necesaria para cumplir con sus deberes previstos en la LGPD;

d) Informar al CONTROLADOR si no puede y/o está impedido de atender cualquiera de las orientaciones que le haya transmitido o cualquiera de las especificaciones establecidas en la legislación aplicable;
e) No comunicar ni compartir los Datos Personales con terceros sin la previa autorización por escrito del CONTROLADOR, salvo en los casos expresamente previstos en este Acuerdo o en documento propio;

f) Realizar, dentro de un plazo razonable, y bajo la instrucción expresa del CONTROLADOR, la eliminación inequívoca de los Datos Personales compartidos debido al uso de la solución conversacional, respetando las hipótesis de conservación y almacenamiento de datos legalmente previstas;

g) Asistir al CONTROLADOR en la elaboración de cualquier informe de impacto sobre la protección de los Datos Personales, así como en el suministro de información que pueda ser requerida por las autoridades competentes.
El OPERADOR no estará obligado a cumplir o seguir las instrucciones del CONTROLADOR si estas están en desacuerdo con la LGPD.

SEGURIDAD DE LA INFORMACIÓN

Las Partes deberán adoptar medidas de seguridad técnicas y administrativas necesarias y adecuadas para proteger los Datos Personales en su confidencialidad, disponibilidad e integridad, incluyendo, pero no limitándose, a la protección contra accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de Tratamiento inadecuado, ilícito o en desacuerdo con las directrices técnico-normativas de agencias reguladoras, como la ANPD.

Al evaluar el nivel adecuado de seguridad, las Partes deberán tener en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los riesgos involucrados en el Tratamiento para los Titulares de los Datos.

contexto, las finalidades del Tratamiento y los riesgos involucrados en el Tratamiento para los Titulares de los Datos.
El CONTROLADOR declara tener conocimiento y estar de acuerdo en que, para la realización de pruebas y evaluaciones de seguridad, de forma automatizada o manual, como análisis de vulnerabilidad y/o de intrusión (o Pentest), en los productos, servicios o en la infraestructura del OPERADOR, deberá solicitar, de forma fundamentada y por escrito, autorización expresa al OPERADOR, siendo facultado al OPERADOR negar la autorización solicitada si existen criterios técnicos para ello.

 

INCIDENTES DE SEGURIDAD

En caso de que ocurra un Incidente de Seguridad (accesos no autorizados, situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión) (“Incidente”) con los Datos Personales tratados en el marco del uso de la solución conversacional, la Parte infractora deberá comunicar a la otra en el menor plazo posible desde el momento en que tenga conocimiento inequívoco del Incidente.

Dicha comunicación deberá, siempre que sea posible, contener las siguientes descripciones: (i) Fecha y hora en que la Parte infractora tuvo conocimiento del Incidente; (ii) Relación de los tipos de datos afectados por el Incidente; (iii) Número de usuarios afectados (volumen del Incidente); (iv) Datos de contacto del encargado del Tratamiento de Datos de la Parte infractora, o de otra persona con quien se pueda obtener más información sobre lo ocurrido;

información sobre lo ocurrido; (v) descripción de las posibles consecuencias del evento; así como (vi) las medidas tomadas para contener el Incidente.

La notificación deberá ser enviada, si es para el CONTROLADOR, a su correo electrónico registrado en la solución conversacional contratada; y, si es para el OPERADOR, a los correos electrónicos [email protected] y [email protected].

Las Partes acuerdan no divulgar ninguna información sobre el Incidente a terceros, excepto en los siguientes casos: (i) Si ambas Partes autorizan previamente y de forma expresa; (ii) Si existe una obligación legal que requiera dicha divulgación; o, (iii) Si se produce una determinación de las autoridades fiscalizadoras.

En caso de ocurrir un Incidente, cualquiera que sea, las Partes se comprometen a analizar todas las circunstancias involucradas y decidir, de manera conjunta, si se ajusta a la exigencia legal de comunicación a la ANPD (Autoridad Nacional de Protección de Datos).

En caso de que el CONTROLADOR identifique en su entorno o en su interacción con la solución conversacional contratada cualquier Incidente que ponga en riesgo la seguridad, la integridad y la estabilidad del producto, de cualquiera de los servicios prestados por el OPERADOR o de su infraestructura, tales como, pero no limitados a, ataques que involucren ransomware, compromiso o denegación de servicio, el CONTROLADOR deberá, de inmediato, notificar al OPERADOR, con una descripción detallada de lo ocurrido, así como las acciones adoptadas para revertir o mitigar los efectos del Incidente, para que el OPERADOR pueda evaluar la adopción de eventuales medidas de seguridad, sin que esto transfiera la responsabilidad del Incidente al OPERADOR.

COMPARTICIÓN

La OPERADORA deberá otorgar acceso a los Datos Personales a los miembros de su personal solo en la medida estrictamente necesaria para la implementación, gestión y monitoreo de la licencia de la solución conversacional contratada por el CLIENTE. También deberá garantizar que las personas autorizadas a procesar los Datos Personales se hayan comprometido con la correspondiente confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
El CONTROLADOR reconoce y autoriza que, para la ejecución de la licencia de la solución conversacional, la OPERADORA contrate a terceros procesadores de datos con los cuales podrá compartir los Datos Personales recibidos del CONTROLADOR, tales como proveedores de nube y herramientas de atención.
En todos los casos, la OPERADORA será responsable de todos sus suboperadores, así como exigirá a estos el cumplimiento de obligaciones y niveles de seguridad de la información de acuerdo con lo dispuesto en el presente Acuerdo.

RESPONSABILIDAD

La responsabilidad por el incumplimiento/inobservancia de cualquiera de las obligaciones aquí establecidas se determinará según lo dispuesto en la LGPD, sin perjuicio de las limitaciones de responsabilidad de BLIP previstas en un instrumento específico.
El CONTROLADOR reconoce que el Tratamiento de los Datos Personales bajo las condiciones establecidas por él, conforme lo indicado en este Acuerdo y en sus instrucciones, exime a la OPERADORA de la responsabilidad por cualquier ilegalidad en el Tratamiento realizado por el CONTROLADOR, siendo este último quien asumirá íntegramente la responsabilidad por las eventuales pérdidas y daños sufridos por la OPERADORA y/o por terceros.

DISPOSICIONES GENERALES

Las presentes cláusulas deben ser leídas e interpretadas a la luz de las disposiciones de la LGPD, de manera que no entren en conflicto con las obligaciones previstas en la ley y en los instrumentos específicos firmados por las Partes.
En caso de cualquier contradicción entre las presentes cláusulas y las disposiciones de otros acuerdos mantenidos entre las Partes y vigentes en el momento en que estas cláusulas sean acordadas o aceptadas, prevalecerán estas últimas con respecto al objeto tratado en este Acuerdo.

 

Para más información, acceda a la discusión sobre el tema en nuestra comunidad o a los videos en nuestro canal. 😃

Artículos relacionados