logo

Acuerdo de procesamiento de datos

Entrada en vigor: 25 de julio de 2023

ARBITRATION NOTICE: YOU ARE BOUND BY THE ARBITRATION PROVISION SET FORTH IN THE BUSINESS SERVICES TERMS. IF YOU ARE CONTRACTING WITH SNAP INC., THEN YOU AND SNAP INC. WAIVE ANY RIGHT TO PARTICIPATE IN A CLASS-ACTION LAWSUIT OR CLASS-WIDE ARBITRATION.

Introducción

El presente Acuerdo de procesamiento de datos ("Acuerdo") es un contrato legalmente vinculante entre Snap y tú, se aplica en la medida en que Snap procesa datos personales del cliente en su nombre cuando tú eres el Responsable del tratamiento de datos, y se incorpora a las Condiciones de los servicios empresariales. Algunos términos empleados en este Acuerdo se encuentran definidos en las Condiciones de servicios empresariales.

En resumen: este Acuerdo se aplica cuando Snap procesa los datos personales de los clientes cuando tú ere el responsable del tratamiento de datos y Snap es el procesador de datos.

1. Definitions

“Customer Personal Data” means the personal data of EEA, Switzerland, UK, and Brazilian data subjects provided to Snap by you or on your behalf when you are the Data Controller.

“Data Controller” means a controller as defined in the GDPR, UK GDPR or LGPD, as applicable, who alone or jointly with others determines the purposes and means of the processing of Customer Personal Data.

“Data Protection Law” means the EEA, Switzerland, UK, and Brazilian data protection laws applicable to the processing of Customer Personal Data under this Agreement, including the GDPR, the UK Data Protection Laws and LGPD.

“EEA” means the European Economic Area.

“GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.

“LGPD” means Brazilian General Data Protection Law (Lei Geral de Proteção de Dados Pessoais).

“Personal Data Breach” means the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Customer Personal Data on systems managed or controlled by Snap.

“Subprocessors” means third parties authorized under this Agreement to access and process Customer Personal Data in order to provide parts of the Business Services.

“UK” means the United Kingdom.

"UK Data Protection Laws" means the GDPR as it forms part of the law of England and Wales, Scotland and Northern Ireland by virtue of section 3 of the European Union (Withdrawal) Act 2018 in the UK ("UK GDPR") and the Data Protection Act 2018.

The terms “personal data,” “data subject,” “processing,” “controller,” ”processor,” “representative,” and “supervisory authority,” each as used in this Agreement, have the meanings given in the GDPR, UK GDPR or LGPD, as applicable, in each case irrespective of whether Data Protection Law applies.

2. Tratamiento de los datos personales de los clientes

a. Roles de las partes. Snap tratará los datos personales del cliente en nombre del Responsable del tratamiento y siguiendo sus instrucciones, de conformidad con el artículo 28 (1) del RGPD, el RGPD del Reino Unido y la LGPD, según proceda.

b. Nombramiento. El Responsable del tratamiento de datos designa a Snap para procesar los datos personales del cliente en nombre del Responsable del tratamiento solo en la medida en que sea necesario para prestar los servicios empresariales y en la medida en que las partes puedan acordarlo posteriormente por escrito.

c. Legitimidad del tratamiento. El Responsable del tratamiento de datos es el encargado de garantizar que exista una base legal válida para el procesamiento de los datos personales del cliente.

d. Detalles del tratamiento. El objeto y los detalles del procesamiento se describen en el Anexo 1 de este Acuerdo.

d. Cumplimiento de la ley. Cada una de las partes se compromete a cumplir con sus obligaciones establecidas por la Ley de Protección de Datos en relación con cualquier dato personal del cliente que procese en virtud de este Acuerdo. De conformidad con lo anterior, Snap no tratará los datos personales del cliente de forma que el Responsable del tratamiento de datos incumpla, o pueda incumplir, las obligaciones que le impone la Ley de Protección de Datos. Snap notificará de forma inmediata al Responsable del tratamiento de datos si considera que las instrucciones del Responsable del tratamiento infringen la Ley de Protección de Datos.

En resumen, confías a Snap la responsabilidad de procesar los datos personales del cliente en tu nombre. Seguirás siendo responsable de establecer una base jurídica válida para el tratamiento de los datos personales. Ambas partes se comprometen a cumplir la legislación en materia de protección de datos.

3. Obligaciones de Snap

a. Proceso de datos personales de clientes. Snap se compromete a procesar únicamente los datos personales del cliente de acuerdo con las Condiciones de los servicios empresariales y el presente Acuerdo, y se abstendrá de utilizar o procesar los datos personales del cliente para ningún otro fin que no sea en su calidad de procesador designado por el Responsable del tratamiento de datos.

b. Seguridad de los datos. De conformidad con el Artículo 32 del RGPD, el RGPD del Reino Unido y la LGPD, según corresponda, y según se describe en el Anexo 2 del presente Acuerdo, Snap implementará y se encargará del mantenimiento de todas las medidas técnicas, administrativas y organizativas adecuadas necesarias para: (i) garantizar un nivel de confidencialidad y seguridad adecuado a los riesgos que representa el procesamiento y la naturaleza de los datos personales del cliente; y (ii) prevenir el procesamiento no autorizado o ilegal de los datos personales del cliente, así como la pérdida, divulgación o destrucción accidental de los mismos, o cualquier daño que pueda afectarlos.

c. No divulgación. Snap se compromete a no publicar, revelar ni divulgar (y asegurará de que su personal no publique, revele ni divulgue) los datos personales del cliente a terceros, a menos que se haya obtenido el consentimiento previo por escrito del Responsable del tratamiento de datos.

d. Confidencialidad. Snap garantizará que solo el personal responsable del cumplimiento de sus obligaciones en virtud de las Condiciones de los Servicios Empresariales o del presente Acuerdo tenga acceso a los datos personales del cliente y que dicho personal esté sujeto a las obligaciones de confidencialidad pertinentes, y adoptará todas las medidas razonables de acuerdo con las mejores prácticas del sector para garantizar la confidencialidad de los datos personales del cliente.

e. Cooperación. Snap colaborará y brindará la asistencia necesaria al Responsable del tratamiento de datos para que este pueda cumplir con sus obligaciones de acuerdo con los artículos 32 a 36 del RGPD, el RGPD del Reino Unido y la LGPD, según corresponda. Esto incluye la cooperación en materia de seguridad de los datos, la notificación de violaciones de datos, las evaluaciones de impacto de la protección de datos, la consulta previa con las autoridades de control, el cumplimiento de los derechos de los interesados y cualquier consulta, notificación o investigación por parte de una autoridad de control, según se detalla en el presente Acuerdo.

f. Sujeto de los datos y las autoridades de control. Snap informará de manera inmediata y, en todo caso, dentro de un plazo máximo de dos días laborables, al Responsable del tratamiento de datos sobre cualquier consulta o queja que reciba de un sujeto de los datos o de una autoridad que realice un control en relación con los datos personales del cliente. Snap prestará asistencia al Responsable del tratamiento de datos, en la medida en que sea razonable desde el punto de vista comercial, para cumplir con la obligación del Responsable del tratamiento de responder a las solicitudes de los interesados y de las autoridades de supervisión, conforme lo requiere la legislación de protección de datos.

g. Evaluación del impacto de la protección de datos. Previa solicitud, Snap proporcionará al Responsable del tratamiento de datos información y asistencia de manera razonable y acorde con las prácticas comerciales, teniendo en cuenta la naturaleza de la actividad de tratamiento y la información de que disponga Snap, para que el Responsable del tratamiento de datos pueda llevar a cabo una evaluación de impacto de la protección de datos conforme a lo exigido por la Ley de protección de datos.

h. Presentación de pruebas. Durante la vigencia del presente Acuerdo y durante un período posterior de un año, Snap pondrá a disposición del Responsable del tratamiento de datos o a una empresa de auditoría internacionalmente reconocida que actúe en nombre del Responsable del tratamiento de datos, toda la información pertinente para demostrar el cumplimiento de este Acuerdo por parte de Snap. Asimismo, Snap permitirá y colaborará en las auditorías realizadas por el Responsable del tratamiento de datos o sus representantes, que estarán sujetos a las obligaciones de confidencialidad pertinentes; si (i) el Responsable del tratamiento de datos notifica por escrito a Snap con una antelación menor a diez días laborables; (ii) dicha auditoría se lleva a cabo durante el horario laboral normal de Snap y de forma que no interfiera de forma injustificada con las operaciones comerciales normales de Snap; (iii) la duración total de la auditoría no excederá de tres días laborables. (iv) En ningún caso, el Responsable del tratamiento de datos (o cualquier auditor externo autorizado) tendrá derecho a acceder o recibir información confidencial o de propiedad exclusiva de Snap. salvo en la medida estrictamente necesaria para demostrar el cumplimiento del presente Acuerdo; y (v) el Responsable del tratamiento de datos está obligado a reembolsar a Snap los gastos debidamente justificados y documentados en caso de que la auditoría determine que Snap cumple con el presente Acuerdo. En el supuesto de que la auditoría determine que Snap no cumple con los términos del presente Acuerdo, Snap asumirá todos los gastos justificados derivados de dicha auditoría.

i. Devolución o destrucción de los datos personales del cliente. Una vez cumplidas las obligaciones de Snap en relación con el procesamiento de los datos personales del cliente según lo estipulado en este Acuerdo o a solicitud del Responsable del tratamiento en cualquier momento durante la vigencia del mismo (y, si el Responsable del tratamiento de datos así lo solicita, a intervalos regulares establecidos por el Responsable del tratamiento de datos), Snap procederá de la siguiente manera: (i) devolverá al Responsable del tratamiento de datos todos o parte de los datos personales del cliente que estén en su posesión; (ii) anonimizará todos o parte de los datos personales del cliente de manera que ya no sean identificables como datos personales; o (iii) eliminará de forma permanente o volverá ilegibles todos o parte de los datos personales del cliente. A solicitud del Responsable del tratamiento, Snap estará obligada a proporcionar al Responsable del tratamiento de datos una confirmación por escrito sobre la anonimización, devolución y eliminación de los datos personales del cliente.

j. Datos personales del cliente codificados. Si Snap recibe datos personales del cliente en un formato cifrado u ofuscado, Snap deberá: (i) abstenerse de realizar operaciones de ingeniería inversa o intentar volver a identificar los datos personales del Responsable del tratamiento cifrados u ofuscados, a menos que el Responsable del tratamiento de datos solicite a Snap que lo realice; y (ii) solo compartirá los datos personales del cliente en el formato en el que Snap los recibió del Responsable del tratamiento de datos.

En resumen, Snap se compromete a cumplir una serie de obligaciones, algunas de las cuales son requisitos legales, al procesar los datos personales de los clientes que nos haya proporcionado, tal y como se ha expuesto anteriormente.

4. Violación de datos personales

a. Notificación. De acuerdo con las disposiciones del artículo 33 del RGPD, el RGPD del Reino Unido y la LGPD, en caso de producirse una violación de datos personales, Snap informará al Responsable del tratamiento de datos de manera oportuna y, en la medida de lo posible, dentro de un plazo máximo de 72 horas después de tener conocimiento de dicha violación. Snap también proporcionará al Responsable del tratamiento una descripción de la violación de los datos personales, el tipo de datos objeto de la violación de los datos personales, (en la medida en que Snap lo sepa) las categorías de interesados afectados y otra información exigida por la ley de protección de datos aplicable, dicha información se proporcionará tan pronto como sea posible una vez recopilada o esté disponible. Asimismo, Snap colaborará de manera activa y responderá a cualquier solicitud razonable realizada por el Responsable del tratamiento de datos en relación con la Violación de datos personales.

b. Investigación. Snap se compromete a tomar medidas de inmediato para investigar la violación de los datos personales, identificar, prevenir y mitigar los efectos de dicha violación y, con el consentimiento previo del responsable del tratamiento, llevar a cabo cualquier acción de recuperación o de otro tipo necesaria para remediar la violación de los datos personales.

En resumen: si se produce una violación de datos, Snap le notificará en un plazo de 72 horas desde que tenga conocimiento de la misma, proporcionará la información necesaria y tomará medidas inmediatas para investigar y mitigar los efectos de la violación.

5. Subprocesadores

a. Subprocesadores autorizados. El Controlador de datos otorga su autorización expresa para que las filiales de Snap para procesar los datos personales del cliente y el Responsable del tratamiento de datos autoriza en general la contratación de cualquier otro tercero como Subprocesador para tratar los datos personales del cliente.

b. Obligaciones del subprocesador. De conformidad con el Artículo 28 (4) del GDPR, el GDPR del Reino Unido y la LGPD, según corresponda, en virtud de estas normativas, Snap establecerá condiciones contractuales con cada subprocesador que sean legalmente vinculantes y que sean igualmente restrictivas a las contenidas en el presente Acuerdo.

c. Acceso restringido. Snap garantizará que cada subprocesador solo tenga acceso y utilice los datos personales del cliente en la medida necesaria para cumplir con las obligaciones subcontratadas y de acuerdo con los términos establecidos en el presente Acuerdo.

d. Actualizaciones de los subprocesadores. Según lo dispuesto en el Artículo 28 (2) del RGPD y el RGPD del Reino Unido (según corresponda), a continuación se presenta una lista actualizada que incluye lo siguiente: (i) todos los subprocesadores involucrados en el procesamiento de los datos personales del cliente; (ii) los fines para los cuales los subprocesadores procesan los datos personales del cliente; y (iii) la ubicación de cada subprocesador. Snap notificará al Responsable del tratamiento al menos 30 días antes de añadir un nuevo subprocesador.

e. Derecho de oposición. El Responsable del tratamiento de datos tiene derecho a oponerse a la incorporación de un nuevo subprocesador, tal y como se describe en esta Sección. Si el Responsable del tratamiento de datos se opone al tratamiento de los datos personales del cliente por parte de un nuevo subprocesador, deberá notificarlo de inmediato a Snap. En respuesta, Snap tomará una de las siguientes medidas: (i) dar instrucciones al subprocesador para que cese el tratamiento de los datos personales del cliente, sin afectar el presente Acuerdo; o (ii) permitir al Responsable del tratamiento de datos rescindir de inmediato el presente Acuerdo.

En resumen: al autorizar a Snap a actuar como encargado del tratamiento de datos, también autoriza a las filiales de Snap a tratar los datos personales de los clientes como subaprocesadores. Snap firmará un acuerdo legalmente vinculante con todos los subprocesadores y mantendrá una lista actualizada de los designados. Tiene el derecho de oponerte a la designación de un subprocesador por parte de Snap.

6. Transferencia de datos

a. Si el responsable del tratamiento de datos está ubicado en el EEE, Suiza o el Reino Unido y realiza transferencias de datos personales a Snap Inc., el Acuerdo de transferencia de datos deberá:

(i) aplicar a dichas transferencias; 

(ii) prevalecer sobre todos los demás términos y condiciones de este Acuerdo, con respecto a dichas transferencias;

(iii) constituir un contrato legalmente vinculante entre tú como exportador de los datos y Snap como o en nombre del importador de los datos; y 

(iv) ser incorporado por medio del presente a los Términos de servicios comerciales

b. Con relación a los datos personales de los sujetos de datos del EEE, Suiza y el Reino Unido, el Responsable del tratamiento de datos y Snap acuerdan que Snap podrá llevar a cabo el procesamiento de los datos personales del cliente fuera del EEE, Suiza y el Reino Unido, siempre y cuando se cumplan los requisitos establecidos por la Ley de protección de datos (incluidos, si procede, los artículos 44 a 47 del RGPD) o se aplique una excepción (incluidas, si procede, las enumeradas en el artículo 49 del RGPD).

c. Con relación a los datos personales de los interesados brasileños, el Responsable del tratamiento de datos acepta que Snap pueda llevar a cabo el procesamiento de los datos personales del cliente fuera de Brasil, y declara y garantiza que dicha transferencia de datos personales del cliente cumple con lo establecido en la Ley General de Protección de Datos (LGPD).

En resumen: si tiene su sede en el EEE, Suiza o el Reino Unido, el Acuerdo de transferencia de datos se aplicará a todas las transferencias de datos personales a Snap. Con relación a los datos personales de los interesados del EEE, Suiza y el Reino Unido, Snap y tú os comprometéis a cumplir con las disposiciones relacionadas con las transferencias internacionales en virtud del RGPD. Con relación a los datos personales de los interesados brasileños, garantizas a Snap que el tratamiento de dichos datos personales por parte de Snap fuera de Brasil cumplirá con la Ley General de Protección de Datos de Brasil.

7. Indemnización; responsabilidad del subprocesador

a. Indemnización. Snap se compromete a compensar al responsable del tratamiento de datos por todas las quejas, gastos, indemnizaciones, pérdidas, costos, responsabilidades y cargos de terceros que surjan, estén relacionados o sean consecuencia de cualquier incumplimiento del presente Acuerdo por parte de Snap.

b. Proceso de indemnización. El Responsable del tratamiento de datos notificará de inmediato a Snap por escrito sobre cualquier reclamación de indemnización, aunque la falta de notificación no eximirá a Snap de ninguna responsabilidad u obligación de indemnización que pueda tener, excepto en los casos en que Snap se vea materialmente perjudicado por dicho incumplimiento. El Responsable del tratamiento de datos cooperará de manera razonable con Snap, con los gastos a cargo de Snap, en lo que respecta a la defensa, el acuerdo o la resolución de cualquier reclamación de indemnización. Snap no se comprometerá ni resolverá reclamos de ningún tipo, ni admitirá responsabilidad alguna, sin el consentimiento previo por escrito del Controlador de datos, quien puede otorgar dicho consentimiento a su entera discreción. El Responsable del tratamiento de datos tiene el derecho de participar (a su propio costo) en la defensa, negociación y resolución de la reclamación con un abogado de su elección.

c. Responsabilidad del subprocesador. Snap reconoce y acepta que seguirá siendo responsable ante el Responsable del tratamiento de datos en caso de incumplimiento de los términos del presente Acuerdo por parte de un subprocesador y de cualquier otro encargado del tratamiento designado posteriormente por la empresa.

En resumen, Snap asumirá la responsabilidad de indemnizar cualquier pérdida sufrida por terceros debido al incumplimiento de este Acuerdo por parte de Snap.

8. Rescisión

a. Rescisión. Este Acuerdo se rescindirá automáticamente a la terminación de los Condiciones de los servicios comerciales.

b. Vigencia. Las obligaciones de Snap con respecto a la devolución o eliminación de los datos ersonales del cliente continuarán vigentes incluso después de la rescisión de las Condiciones de los servicios empresariales y del presente Acuerdo, hasta que Snap haya devuelto o eliminado los datos personales del cliente de acuerdo con lo establecido en este Acuerdo.

En resumen: el presente Acuerdo finalizará al mismo tiempo que terminen las Condiciones de los servicios mpresariales; sin embargo, Snap seguirá estando obligada a devolver o eliminar los datos personales del cliente.

9. Conflictos

En caso de conflicto o incoherencia entre el presente Acuerdo, el Acuerdo de transferencia de datos, las Condiciones de los servicios empresariales, las Condiciones y políticas suplementarias aplicables o las Condiciones de servicio de Snap, el orden de prioridad será: el Acuerdo de transferencia de datos (pero solo en la medida en que se aplique en virtud de la sección 6.a anterior), el presente Acuerdo, las Condiciones y políticas suplementarias, las Condiciones de los servicios empresariales y las Condiciones de servicio de Snap.

En resumen: si existe un conflicto entre alguna de las disposiciones de los distintos términos y políticas de Snap, se seguirá el orden de prioridad establecido anteriormente.

Anexo 1: Detalles del tratamiento de datos
A. Lista de partes
Exportador(es) de datos

El exportador de datos actuará como el Responsable del tratamiento de datos, según se define en este Acuerdo, y proporcionará a Snap su nombre, dirección y datos de contacto a través de los servicios comerciales. Las actividades relevantes para los datos transferidos en virtud de estas Cláusulas incluyen el uso de los servicios empresariales pertinentes de acuerdo con lasCondiciones de los servicios empresariales y las Condiciones y políticas complementarias aplicables. El exportador de datos actuará como controlador.

Importador(es) de datos

El importador de datos será:

Snap Inc, con domicilio en 3000 31st Street, Santa Monica, California 90405

Las actividades relevantes para los datos transferidos en virtud de las presentes Cláusulas incluyen la prestación de los servicios empresariales pertinentes de conformidad con las Condiciones de los servicios empresariales y las Condiciones y políticas complementarias aplicables. El importador de datos actuará como encargado del tratamiento.

B. Descripción de la transferencia

Las actividades de tratamiento de datos realizadas por Snap en virtud del presente Acuerdo son las siguientes:

Tema

La prestación de los servicios empresariales por parte de Snap al Responsable del tratamiento de datos.

Duración del tratamiento y conservación

Durante la vigencia del presente Acuerdo, más el período comprendido entre la expiración de la vigencia del presente Acuerdo y la anonimización, devolución o eliminación de los datos de conformidad con el presente Acuerdo.

Naturaleza y finalidad

Snap procesará los datos personales del cliente con el objetivo de prestar los servicios empresariales al Responsable del tratamiento de acuerdo con lo descrito en las Condiciones de los servicios empresariales y en el presente Acuerdo.

Categorías de datos

Los datos personales del cliente relativos a personas físicas proporcionados a Snap a través de los servicios empresariales, por (o bajo la dirección de) el Responsable del tratamiento de datos, que pueden incluir:

  • dirección de correo electrónico

  • número de teléfono

  • Id. de anuncio para móviles (IDFA/AAID)

  • la dirección IP

  • Id. de cookie

  • agente de usuario del navegador

  • las acciones y eventos realizados en sitios web y aplicaciones, como las páginas visitadas, compras, búsquedas, eventos de pago, listas de deseos, instalaciones y métodos de registro de usuarios

Datos sensibles transferidos

No procede

Frecuencia de la transferencia

Continúa

Sujetos de datos

Los sujetos de datos son personas físicas del EEE, Suiza, Reino Unido y Brasil sobre las que Snap recibe datos personales a través de los servicios empresariales por parte del Responsable del tratamiento de datos (o bajo su dirección).

C. Autoridad de supervisión competente

La Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens, AP) será la autoridad supervisora competente en este caso.

En resumen: el tema y los detalles del tratamiento son los siguientes

Anexo 2 - Medidas de seguridad Snap

1. Implementación y cumplimiento de un programa de seguridad de la información por escrito que cumpla con las normas establecidas del sector y que incluya medidas de protección administrativas, técnicas y físicas adecuadas a la naturaleza de los datos personales del cliente y diseñadas para proteger dicha información de: accesos, destrucción, uso, modificación o divulgación no autorizados; accesos o usos no autorizados que puedan provocar daños o inconvenientes sustanciales al Responsable del tratamiento, a los clientes del Responsable del tratamiento de datos o a los empleados del Responsable del tratamiento; y cualquier amenaza o peligro imprevisto para la seguridad o integridad de dicha información.

2. Adoptar y aplicar políticas y normas razonables en materia de seguridad.

3. Designar a los encargados de la gestión de la seguridad informática.

4. Dedicar recursos de personal adecuados a la seguridad informática.

5. Realizar controles de verificación del personal permanente que tendrá acceso a los datos personales del cliente.

6. Realizar las verificaciones de antecedentes pertinentes y exigir a los empleados, proveedores y demás personas con acceso a los datos personales del cliente que suscriban acuerdos de confidencialidad por escrito.

7. Realizar cursos de formación para que los empleados y demás personas con acceso a los datos personales del cliente sean conscientes de los riesgos para la seguridad de la información y fomentar el cumplimiento de las políticas y normas de Snap relacionadas con la protección de datos.

8. Impedir el acceso no autorizado a los datos personales del cliente mediante el uso, según corresponda, de controles de entrada físicos y lógicos (contraseñas), áreas seguras para el procesamiento de datos, procedimientos para supervisar el uso de las instalaciones de procesamiento de datos, registros de auditoría del sistema incorporados, uso de contraseñas seguras, tecnología para la detección de intrusos en la red, tecnología de encriptación y autenticación, procedimientos seguros de inicio de sesión y protección antivirus, control del cumplimiento de las políticas y normas de Snap relacionadas con la protección de datos de forma continua. En particular, Snap ha implementado y cumple, según corresponda y sin limitación:

  • Medidas de control de acceso físico para impedir el acceso no autorizado a los sistemas de procesamiento de datos (por ejemplo, tarjetas de identificación de acceso, lectores de tarjetas, vigilantes, sistemas de alarma, detectores de movimiento, alarmas antirrobo, videovigilancia y seguridad exterior);

  • Medidas de control para evitar el uso no autorizado de los sistemas de protección de datos (por ejemplo, requisitos de complejidad y cambio de contraseñas y firewalls aplicados de forma automática). ;

  • Un sistema de autorización basado en requisitos y derechos de acceso, y supervisión y registro del acceso al sistema para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos solo puedan acceder a los datos a los que estén autorizados, y que los datos personales del cliente no puedan leerse, copiarse, modificarse o eliminarse sin autorización;

  • Medidas de control de la transmisión de datos para garantizar que los datos personales del cliente no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica, las operaciones de transporte o almacenamiento en soportes de datos, y la transferencia y recepción de registros. En particular, se diseñará el programa de seguridad de la información de Snap:

    • Para encriptar durante el almacenamiento cualquier conjunto de datos en posesión de Snap, incluidos los datos personales confidenciales, utilizando niveles de encriptación adecuados basados en los estándares de encriptación líderes del sector, incluido AES -256, así como para almacenar las identidades de los usuarios en el sistema utilizando pares de valores clave como ghost_id para evitar el almacenamiento de la identificación real del usuario; y

    • Garantizar que cualquier dato personal sensible transmitido electrónicamente (que no sea mediante fax) a una persona ajena al sistema informático de Snap o transmitido a través de una red pública se codifique utilizando las versiones compatibles más recientes del protocolo TLS 1.2 para proteger la seguridad de la transmisión;

  • Medidas de control de entrada de datos para garantizar que Snap pueda comprobar y establecer si los datos personales del cliente se han introducido en los sistemas de procesamiento de datos, se han modificado o eliminado y quién lo ha hecho;

  • Garantizar que las prácticas de seguridad de la información sigan siendo pertinentes, eficaces y actualizadas, lo que incluye pruebas de penetración anuales, un programa de recompensas por errores, el uso de herramientas de escaneado de sistemas, ejercicios de simulación, pruebas de restauración de copias de seguridad, pruebas de fallos previas a la producción y la realización de autopsias sobre incidentes reales para actualizar los planes de recuperación en caso de catástrofe;

  • Supervisión de los subprocesadores para garantizar que, si se permite a Snap recurrir a subprocesadores, los datos personales del cliente se procesen estrictamente de acuerdo con las instrucciones del Responsable del tratamiento, incluidas, según corresponda:

    • Disposiciones para garantizar que los Datos personales del cliente estén protegidos de la destrucción o pérdida accidental, incluidas, según corresponda y sin limitación, políticas de copia de seguridad, retención y destrucción segura de datos; almacenamiento seguro de datos fuera del sitio lo suficiente para la recuperación en caso de desastre; suministro ininterrumpido de energía y programas de recuperación en caso de desastre; y

    • Medidas para garantizar que los datos recopilados para distintos fines puedan tratarse por separado, incluidas, según proceda, la separación física o lógica adecuada de los datos personales del cliente.

9. Adopción de otras medidas que puedan resultar apropiadas en función de las circunstancias.

En resumen: como ya se ha indicado, Snap ha adoptado una serie de medidas para garantizar la seguridad de los datos de los clientes.