logo

Acuerdo de intercambio de datos

Vigente: 27 de septiembre de 2021

NOTA: HEMOS ACTUALIZADO LAS CONDICIONES QUE FIGURAN A CONTINUACIÓN EN RELACIÓN CON LAS NUEVAS CLÁUSULAS CONTRACTUALES APROBADAS POR LA COMISIÓN EUROPEA, CON FECHA DE ENTRADA EN VIGOR EL 27 DE SEPTIEMBRE DE 2021

NOTIFICACIÓN DE ARBITRAJE: ESTÁS SUJETO A LA DISPOSICIÓN SOBRE ARBITRAJE ESTABLECIDA EN LAS CONDICIONES DE SERVICIOS EMPRESARIALES. SI ESTÁS REALIZANDO UNA CONTRATACIÓN CON SNAP INC., SNAP INC. Y TÚ RENUNCIAS AL DERECHO DE PARTICIPACIÓN EN ARBITRAJES O DEMANDAS COLECTIVAS.

Introducción

Este Acuerdo de intercambio de datos ("Acuerdo") representa un contrato legalmente obligatorio entre el usuario y Snap. Tiene efecto siempre que el usuario y Snap compartan datos personales del cliente, tal como se detalla a continuación, y este Acuerdo se incorpora a la Política de privacidad y a las Condiciones de los servicios empresariales. Algunos términos utilizados en el presente Acuerdo se definen en las Condiciones de los servicios para empresas

1. Definiciones

El término "datos personales del cliente" hace referencia a la información personal de los sujetos de datos procedentes del EEE, Suiza, Reino Unido y Brasil, que son proporcionados a ti o a Snap (la "parte receptora"), ya sea por la otra parte (la "parte divulgadora") cuando tanto la parte receptora como la parte divulgadora son cada una un responsable del tratamiento.

"Ley de Protección de Datos" hace referencia a las leyes de protección de datos del EEE, Suiza, Reino Unido y Brasil aplicables al tratamiento de los datos personales del cliente en virtud del presente Acuerdo, incluido el RGPD, las leyes de protección de datos del Reino Unido y la LGPD.

«EEE» significa Espacio Económico Europeo.

"RGPD" hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

"LGPD" se refiere a la ley general de protección de datos de Brasil (Lei Geral de Proteção de Dados Pessoais).

"Incumplimiento de datos personales" hace referencia a la destrucción accidental o ilegal, pérdida, alteración, revelación no autorizada o acceso a los datos personales del cliente en los sistemas gestionados o controlados por una parte.

«UK» significa el Reino Unido.

"Leyes de protección de datos del Reino Unido" hace referencia al RGPD tal y como forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 en el Reino Unido ("RGPD del Reino Unido") y la ley de protección de datos de 2018.

Los términos "datos personales", "sujeto de los datos", "tratamiento", "controlador", "procesador", "representante" y "autoridad supervisora", tal como se utilizan en este Acuerdo, tienen los significados dados en el RGPD, las Leyes de Protección de Datos del Reino Unido o la LGPD, según corresponda, en cada caso independientemente de si se aplica la Ley de Protección de Datos.

2. Funciones y restricciones

a. Funciones de las partes. Tú y Snap actúan como responsables del tratamiento de datos independientes en relación con los datos personales del cliente. Sujeto a las limitaciones establecidas en este Acuerdo y en las Condiciones de los servicios empresariales, así como en las Condiciones y políticas complementarias, cada parte determinará de manera autónoma los propósitos y los medios de procesamiento de los datos personales del cliente, conforme a lo dispuesto en la Ley de Protección de Datos.

b. Transparencia y Derechos de Protección de Datos. Tanto tú como Snap proporcionarán información individual a los interesados y les permitirán ejercer sus derechos de acuerdo con la Ley de Protección de Datos.

c. Detalles del tratamiento de datos. El tema y los detalles del tratamiento se describen en el Anexo 1 del presente Acuerdo.

d. Cumplimiento de la Ley. Cada una de las partes acuerda que cumplirá con sus obligaciones en virtud de la Ley de Protección de Datos en relación con cualquier dato personal del cliente que procese en virtud de este acuerdo o en relación con el mismo.

e. Seguridad de los datos. De acuerdo con la Ley de Protección de Datos, cada parte implementará y mantendrá las medidas técnicas, administrativas y organizativas necesarias para: (i) garantizar un nivel adecuado de confidencialidad y seguridad en relación con los riesgos asociados al procesamiento y la naturaleza de los datos personales del cliente; y (ii) prevenir el procesamiento no autorizado o ilícito de los datos personales del cliente, así como la pérdida accidental, la divulgación o la destrucción de dichos datos.

Confidencialidad. Cada una de las partes se asegurará de que solo tenga acceso a los datos personales del cliente el personal que pueda ser necesario para ayudar a cumplir sus obligaciones en virtud de las Condiciones de los servicios empresariales o del presente Acuerdo, y de que dicho personal esté sujeto a las obligaciones de confidencialidad adecuadas, y tomará todas las medidas razonables de conformidad con las prácticas recomendadas del sector para garantizar la confidencialidad de los datos personales del cliente.

3. Incumplimiento de los datos personales

a. Notificación. Comunicará a Snap de manera inmediata y, cuando sea factible, en un lapso de hasta 72 horas después de haber tomado conocimiento de un incumplimiento de los datos personales. También proporcionarás a Snap una explicación detallada del incumplimiento de los datos personales, la naturaleza de los datos involucrados en el incumplimiento de los datos personales, (en la medida en que se conozcan) las categorías de sujetos de datos afectados y otra información requerida por la ley de protección de datos aplicable, tan pronto como dicha información pueda recopilarse o esté disponible de otro modo, y cooperarás con cualquier solicitud razonable realizada por Snap en relación con el incumplimiento de los datos personales.

b. Investigación. Aceptas tomar medidas de forma inmediata para investigar el incumplimiento de los datos personales, identificar, prevenir y mitigar los efectos de dicho incumplimiento y, con el consentimiento previo de Snap, llevar a cabo cualquier recuperación u otra acción necesaria para remediar el incumplimiento de los datos personales.

Transferencias de datos

a. Si se producen transferencias de datos personales del cliente de una parte a otra fuera del EEE o del Reino Unido, el Acuerdo de transferencia de datos deberá:

(i) se aplicará a dichas transferencias;

(ii) prevalecerá sobre cualquier otro término, incluidos los términos de este Acuerdo, en relación con dichas transferencias;

(iii) constituirá un contrato legalmente vinculante entre tú como exportador de datos y Snap como importador de datos o en nombre de este; y

(iv) se incorporan a las Condiciones de los servicios para empresas.

b. Con respecto a los datos personales de los sujetos de datos del EEE, Suiza y el Reino Unido, tanto tú como Snap acuerdan que cada una de las partes podrá procesar los datos personales del cliente fuera del EEE, Suiza y el Reino Unido cuando se cumplan los requisitos de la Ley de Protección de Datos (incluidos, en su caso, los artículos 44 a 47 del RGPD) o se aplique una excepción (incluidas, en su caso, las enumeradas en el artículo 49 del RGPD).

c. Con respecto a los datos personales de los interesados brasileños, tanto tú como Snap acuerdan que cada una de las partes podrá procesar los datos personales del cliente fuera de Brasil, y declaran y garantizan que dicha transferencia de datos personales del cliente cumple con la LGPD.

6. Conflictos

En caso de que el presente Acuerdo o el Acuerdo de transferencia de datos entren en contradicción con las Condiciones de los servicios empresariales, las Condiciones y políticas complementarias, o los Términos del servicio de Snap, se establece el siguiente orden de prioridad en caso de conflicto: en primer lugar el Acuerdo de transferencia de datos (en la medida en que sea aplicable según la sección 4.a anterior), seguido por el presente Acuerdo, luego las Condiciones y políticas complementarias, seguidas por las Condiciones de los servicios empresariales, y finalmente los Términos del servicio de Snap.

Anexo 1: Detalles del intercambio de datos
A. Lista de partes
Exportador(es) de datos

Eres el exportador de datos, con el nombre, la dirección y los datos de contacto facilitados a Snap a través de los servicios empresariales. Las actividades relevantes para los datos transferidos en virtud de las presentes Cláusulas incluyen el uso de los Servicios para empresas pertinentes de acuerdo con las Condiciones de los servicios empresariales y las Condiciones y políticas complementarias aplicables El exportador de datos desempeñará la función del responsable del tratamiento.

Importador(es) de datos

El importador de datos será Snap Inc. con domicilio en 3000 31st Street, Santa Monica, California 90405, si el exportador de datos transfiere datos personales a Snap Inc. en virtud del presente Acuerdo. Las actividades relevantes para los datos transferidos en virtud de estas Cláusulas incluyen la disposición por parte de Snap de los servicios empresariales pertinentes de acuerdo con las Condiciones de los servicios empresariales y las Condiciones y políticas suplementarias aplicables. El importador de datos desempeñará la función de encargado del tratamiento.

B. Descripción de la transferencia

Las actividades de intercambio de datos llevadas a cabo por Snap en virtud del presente Acuerdo son las siguientes:

Tema

Prestación de los servicios empresariales por parte de Snap.

Naturaleza y propósito

Los datos son compartidos con el propósito de que Snap te proporcione los servicios empresariales de acuerdo con lo especificado en las Condiciones de los servicios empresariales y en este Acuerdo.

Categorías de datos

Datos personales del cliente relativos a personas físicas proporcionados por la parte divulgadora a la parte receptora a través de los servicios empresariales, lo cual puede englobar:

  • dirección de correo electrónico

  • número de teléfono

  • Id. de anuncio para móviles (IDFA/AAID)

  • la dirección IP

  • Id. de cookie

  • Agente de usuario del navegador

  • datos demográficos

  • conexiones entre usuarios

  • Id. de sesión, transacción y usuario

  • género, altura, peso, edad y otras características personales

  • datos del producto, como Id. del producto, ruta de la categoría del producto, descripción del producto, información y datos de tallas, EAN, color del producto e información sobre el ajuste del producto

  • datos de transacciones, como información sobre compras y devoluciones

  • acciones y eventos realizados en sitios web y aplicaciones, incluidas páginas visitadas, compras, búsquedas, eventos de pago, listas de deseos, instalaciones y métodos de registro de usuarios

  • fotos

Datos sensibles transferidos

No aplica

Frecuencia de la transferencia

Continuo

Titular de los datos

Entre los interesados se encuentran los ciudadanos del EEE, Suiza, Reino Unido y Brasil sobre los que la parte divulgadora proporciona datos personales a la parte receptora a través de los servicios empresariales.

C. Autoridad de supervisión competente

La autoridad supervisora ​​competente será la autoridad holandesa de protección de datos (Autoriteit Persoonsgegevens, AP).

Anexo 2: Medidas de seguridad Snap

1. Implementación y cumplimiento de un programa de seguridad de la información redactado en conformidad con las normas establecidas del sector y que incluya salvaguardas administrativas, técnicas y físicas adecuadas a la naturaleza de los datos personales del cliente y diseñadas para proteger esta información de: el acceso, la destrucción, el uso, la modificación o la revelación no autorizados; el acceso o el uso no autorizados que puedan provocar daños o inconvenientes sustanciales al responsable del tratamiento de datos, a los clientes del responsable del tratamiento de datos o a los empleados del responsable del tratamiento de datos; y cualquier amenaza o peligro previsto para la seguridad o la integridad de dicha información.

2. Adopción y aplicación de políticas y normas razonables en materia de seguridad.

3. Asignación de responsabilidades para la gestión de la seguridad de la información.

4. Dedicación de los recursos humanos adecuados a la seguridad de la información.

5. Realización de pruebas de verificación del personal permanente que tendrá acceso a los datos personales del cliente.

6. Comprobación adecuada de los antecedentes de los empleados, proveedores y demás personas con acceso a los datos personales del cliente y exigir que suscriban acuerdos de confidencialidad por escrito.

7. Realización de capacitaciones para que los empleados y otras personas con acceso a los datos personales del cliente estén conscientes de los riesgos de seguridad de la información y para mejorar el cumplimiento de las políticas y estándares de protección de datos de Snap.

8. Prevención del acceso no autorizado a los datos personales del cliente mediante el uso, según corresponda, de controles de entrada físicos y lógicos (contraseñas), áreas seguras para el procesamiento de datos, procedimientos para supervisar el uso de las instalaciones de procesamiento de datos, registros de auditoría del sistema incorporados, uso de contraseñas seguras, tecnología para la detección de posibles intrusiones en la red, tecnología de encriptación y autenticación, procedimientos seguros de inicio de sesión y protección antivirus, controlando de forma continua el cumplimiento de las políticas y normas de Snap relacionadas con la protección de datos. En particular, Snap ha implementado y cumple, según corresponda y sin limitación, lo siguiente:

  • Medidas de control de acceso físico para evitar el acceso no autorizado a los sistemas de procesamiento de datos (por ejemplo, tarjetas de identificación de acceso, lectores de tarjetas, funcionario, sistemas de alarma, detectores de movimiento, alarmas antirrobo, videovigilancia y seguridad exterior);

  • Medidas de control de uso para prevenir el uso no autorizado de los sistemas de protección de datos (por ejemplo, requisitos de complejidad y cambio de contraseñas aplicados automáticamente, y cortafuegos) ;

  • Esquema de autorización y derechos de acceso basados en requisitos, y supervisión y registro del acceso al sistema para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos únicamente tengan acceso a los datos a los que tienen derecho a acceder, y que los datos personales del cliente no puedan leerse, copiarse, modificarse o eliminarse sin autorización;

  • Medidas de control de la transmisión de datos para garantizar que los datos personales del cliente no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en soportes de datos, y la transferencia y recepción de registros. En particular, el programa de seguridad de la información de Snap estará diseñado para:

    • Para encriptar en el sistema cualquier conjunto de datos en posesión de Snap, incluidos los datos personales sensibles, utilizando los niveles de encriptación adecuados basados en los estándares de encriptación líderes del sector, incluido AES -256, y guardando las identidades de los usuarios en el sistema utilizando pares clave-valor como ghost_id para evitar el que se almacene el ID de usuario real; y

    • Para garantizar que cualquier dato personal sensible transmitido por vía electrónica (que no sea por fax) a una persona ajena al sistema informático de Snap o transmitido a través de una red pública se encripte utilizando las versiones más recientes compatibles del protocolo TLS 1.2 para proteger la seguridad de la transmisión;

  • Medidas de control de entrada de datos para garantizar que Snap pueda verificar y establecer si los Datos personales del cliente han sido ingresados en los sistemas de procesamiento de datos, modificados o eliminados;

  • Medidas de pruebas de seguridad continuas para garantizar que las prácticas de seguridad de la información sigan siendo relevantes, eficaces y actualizadas, incluidas pruebas de invasión anuales, programa de recompensas por errores, uso de herramientas de escaneado de sistemas, ejercicios de simulación, pruebas de restablecimiento de copias de seguridad, conmutaciones por error previas a la producción y realización de autopsias sobre cualquier incidente real con el fin de actualizar los planes pertinentes de recuperación en caso de catástrofe;

  • Medidas de supervisión del subprocesador para garantizar que, si se permite a Snap utilizar subprocesadores, los datos personales del cliente se traten estrictamente de acuerdo con las instrucciones del responsable del tratamiento, incluidas, según proceda:

    • Medidas para garantizar que los Datos personales del cliente estén protegidos de la destrucción o pérdida accidental, incluidas, según corresponda y sin limitación, políticas de copia de seguridad, retención y destrucción segura de datos; almacenamiento externo seguro de datos suficiente para la recuperación en caso de desastre; suministro continuo de energía y programas de recuperación ante desastres; y

    • Medidas para garantizar que los datos recopilados para diferentes fines puedan tratarse por separado, incluida, según proceda, la separación física o lógica adecuada de los datos personales de los clientes.

9. Tomar cualquier otra medida que sea apropiada según las circunstancias.