AVISO DE ARBITRAJE: ESTÁS SUJETO A LA DISPOSICIÓN DE ARBITRAJE ESTABLECIDA EN LAS CONDICIONES DE LOS SERVICIOS PARA EMPRESAS. SI ESTÁS REALIZANDO UNA CONTRATACIÓN CON SNAP INC., SNAP INC. Y TÚ RENUNCIAS AL DERECHO DE PARTICIPACIÓN EN ARBITRAJES O DEMANDAS COLECTIVAS.

Este Acuerdo de procesamiento de datos ("Acuerdo") establece un contrato legalmente vinculante entre tú y Snap, y se aplica en la medida en que Snap procesa los datos personales del Cliente en tu nombre cuando tú eres el responsable del tratamiento de datos, y se incorpora a las Condiciones de los servicios para empresas. Algunos términos utilizados en el presente Acuerdo se definen en las Condiciones de los servicios para empresas

"Datos personales del cliente" hace referencia a los datos personales de los sujetos de datos del EEE, Suiza, Reino Unido y Brasil proporcionados a Snap por ti o en tu nombre cuando eres el responsable del tratamiento de datos.

"Responsable del tratamiento de datos" hace referencia a un controlador tal y como se define en el RGPD, el RGPD del Reino Unido o la LGPD, según corresponda, que solo o conjuntamente con otros determina los fines y los medios del tratamiento de los datos personales del Cliente.

"Ley de Protección de Datos" hace referencia a las leyes de protección de datos del EEE, Suiza, Reino Unido y Brasil aplicables al tratamiento de los datos personales del Cliente en virtud del presente Acuerdo, incluido el RGPD, las leyes de protección de datos del Reino Unido y la LGPD.

«EEE» significa Espacio Económico Europeo.

"RGPD" hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

"LGPD" se refiere a la ley general de protección de datos de Brasil (Lei Geral de Proteção de Dados Pessoais).

"Incumplimiento de datos personales" hace referencia a la destrucción accidental o ilegal, pérdida, alteración, revelación no autorizada o acceso a los datos personales del Cliente en los sistemas gestionados o controlados por Snap.

"Subprocesadores" hace referencia a terceros autorizados en virtud del presente Acuerdo para acceder y tratar los datos personales del cliente con el fin de proporcionar partes de los Servicios para empresas.

«UK» significa el Reino Unido.

"Leyes de protección de datos del Reino Unido" hace referencia al RGPD tal y como forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 en el Reino Unido ("RGPD del Reino Unido") y la ley de protección de datos de 2018.

Los términos "datos personales", "sujeto de los datos", "tratamiento", "controlador", "procesador", "representante" y "autoridad supervisora", tal como se utilizan en este Acuerdo, tienen los significados dados en el RGPD, el RGPD del Reino Unido o la LGPD, según corresponda, en cada caso independientemente de si se aplica la Ley de Protección de Datos.

a. Funciones de las partes. Snap procesa los datos personales del cliente en nombre del responsable del tratamiento de datos y siguiendo las instrucciones de este, de conformidad con el artículo 28 (1) del RGPD, el RGPD del Reino Unido y la LGPD, según proceda.

b. Nombramiento. El responsable del tratamiento de datos nombra a Snap para que procese los datos personales del cliente en nombre del responsable del tratamiento de datos únicamente en la medida en que sea necesario para prestar los Servicios empresariales y en la medida en que las partes lo acuerden posteriormente por escrito.

c. Legitimidad del procesamiento. El responsable del tratamiento de datos es responsable de garantizar una base jurídica válida para el tratamiento de los datos personales del cliente.

d. Detalles del procesamiento. El tema y los detalles del tratamiento se describen en el Anexo 1 del presente Acuerdo.

e. Cumplimiento de la ley. Las partes se comprometen a cumplir las obligaciones que les impone la ley de protección de datos en relación con los datos personales de los clientes que traten conforme al presente contrato o en relación con el mismo. En virtud de lo anterior, Snap no tratará los datos personales del cliente de forma que el responsable del tratamiento de datos incumpla, o pueda incumplir, sus obligaciones conforme a la ley de protección de datos. Snap informará de inmediato al responsable del tratamiento de datos si considera que las instrucciones de éste infringen la Ley de protección de datos.

a. Tratamiento de los datos personales de los clientes. Snap solo procesará los datos personales del Cliente de acuerdo con las Condiciones de los servicios para empresas y este Acuerdo, y no utilizará ni tratará los datos personales del cliente para ningún otro fin que no sea en su calidad de encargado y designado por el responsable del tratamiento de datos.

b. Seguridad de los datos. De conformidad con el artículo 32 del RGPD, el RGPD del Reino Unido y la LGPD, según corresponda, y tal como se describe en el Anexo 2 del presente Acuerdo, Snap implementará y mantendrá todas las medidas técnicas, administrativas y organizativas necesarias para: (i) garantizar un nivel de confidencialidad y seguridad adecuado a los riesgos que representa el tratamiento y a la naturaleza de los datos personales del Cliente; e (ii) impedir el tratamiento no autorizado o ilícito de los datos personales del Cliente, así como la pérdida, revelación o destrucción accidental de los datos personales del Cliente, o el deterioro de los mismos.

c. No divulgación. Snap no publicará, revelará ni divulgará (y garantizará que su personal no publique, revele ni divulgue) los datos personales del cliente a terceros a menos que el responsable del tratamiento de datos haya dado su consentimiento previo por escrito.

d. Confidencialidad. Snap garantizará que únicamente el personal que pueda estar encargado de ayudar a cumplir sus obligaciones en virtud de las Condiciones de los servicios para empresas o del presente Acuerdo tendrá acceso a los datos personales del Cliente y que dicho personal estará sujeto a las obligaciones de confidencialidad pertinentes y tomará todas las medidas razonables de acuerdo con las mejores prácticas del sector para garantizar la confidencialidad de los datos personales del Cliente.

e. Cooperación. Snap proporcionará al responsable del tratamiento de datos la cooperación y asistencia razonables que este pueda requerir para permitirle cumplir con sus obligaciones en virtud de los artículos 32 a 36 del RGPD, del RGPD del Reino Unido y de la LGPD, según proceda, incluso en relación con la seguridad de los datos, la notificación de incumplimiento de datos, las evaluaciones de impacto de protección de datos, la consulta previa con las autoridades de supervisión, el cumplimiento de los derechos de los interesados y cualquier consulta, aviso o investigación por parte de una autoridad de supervisión, como se detalla en el presente Acuerdo.

Sujeto de los datos y solicitudes de supervisión. Snap informará al responsable del tratamiento de datos con prontitud, y en cualquier caso en el plazo de dos días laborables, de cualquier consulta o queja que Snap reciba de un sujeto de los datos o de una autoridad de supervisión en relación con los Datos personales del cliente. Snap ayudará al responsable del tratamiento de datos, en la medida en que sea razonable desde el punto de vista comercial, a cumplir con la obligación de responder a las solicitudes de los interesados y los organismos de control, tal y como exige la Ley de protección de datos.

g. Evaluación del impacto de la protección de datos. Previa solicitud, Snap proporcionará al responsable del tratamiento de datos información y asistencia que sean comercialmente razonables, teniendo en cuenta la naturaleza de la actividad de tratamiento y la información de que disponga Snap, a fin de ayudar al responsable del tratamiento de datos a realizar una evaluación sobre el impacto en la protección de datos, tal y como exige la Ley de protección de datos.

h. Presentación de pruebas. Durante la validez del presente Acuerdo y durante un período posterior de un año, Snap pondrá a disposición del responsable del tratamiento de datos, o de una empresa de auditoría reconocida internacionalmente que actúe en nombre del responsable del tratamiento de datos, toda la información razonablemente necesaria para demostrar el cumplimiento del presente Acuerdo por parte de Snap, y este permitirá y contribuirá en las auditorías realizadas por el responsable del tratamiento de datos o sus representantes, que estarán sujetos a las obligaciones de confidencialidad pertinentes; si: (i) el responsable del tratamiento de datos lo aviso por escrito a Snap con una antelación mínima de diez días laborables; (ii) dicha auditoría se realiza durante el horario laboral normal de Snap y de forma que no interfiera de forma injustificada en las operaciones comerciales normales de Snap; (iii) dicha auditoría no durará más de tres días laborables en total; (iv) en ningún caso el responsable del tratamiento de datos (o, para evitar dudas, cualquier auditor de tercero(s) autorizado) tendrá derecho a acceder o recibir información confidencial o propiedad de Snap, salvo en la medida estrictamente necesaria para demostrar el cumplimiento del presente acuerdo; y (v) el responsable del tratamiento de datos está obligado a devolver a Snap los gastos razonables documentados de Snap si dicha auditoría determina que Snap cumple el presente acuerdo. En caso de que la auditoría determine que Snap no está cumpliendo el presente acuerdo, Snap estará obligada a pagar todos los gastos razonables de dicha auditoría.

i. Devolver o eliminar los datos personales del cliente. Una vez finalizadas las obligaciones de Snap en relación con el procesamiento de los datos personales del cliente en virtud del presente acuerdo o a petición del responsable del tratamiento en cualquier momento durante la vigencia del presente acuerdo, (y, si el responsable del tratamiento de datos así lo solicita, a intervalos regulares establecidos por el responsable del tratamiento de datos), Snap: (i) devolverá todos o parte de los Datos personales del cliente en posesión de Snap al responsable del tratamiento de datos; (ii) convertirá en anónimos todos o parte de los datos personales del cliente de forma que los datos ya no constituyan datos personales; o (iii) los eliminará de forma permanente o convertirá en ilegibles todos o parte de los datos personales del cliente. A petición del responsable del tratamiento de datos, Snap deberá confirmar por escrito dicho tratamiento, la devolución y la eliminación de los datos personales del cliente.

j. Datos personales del cliente codificados. Si Snap recibe Datos personales del cliente en formato codificado u oculto, Snap: (i) no intentará aplicar ingeniería inversa ni intentará volver a identificar los datos personales del responsable del tratamiento de datos codificados u ocultos, a menos que el responsable del tratamiento de datos indique a Snap que lo realice; y (ii) solo compartirá los datos personales del cliente en el formato en el que Snap los recibió del responsable del tratamiento de datos.

a. Notificación. De conformidad con el artículo 33 del RGPD, el RGPD del Reino Unido y la LGPD, según corresponda, Snap notificará al responsable del tratamiento de datos sin demoras indebidas y, cuando sea factible, en un plazo no superior a 72 horas tras tener conocimiento de un incumplimiento de los datos personales. Snap también proporcionará al responsable del tratamiento de datos una descripción de este incumplimiento de los datos personales, el tipo de datos objeto del incumplimiento de los datos personales, (en la medida en que Snap tenga conocimiento de ello) las categorías de personas afectadas, y otra información exigida por la ley de protección de datos aplicable, tan pronto como dicha información pueda recopilarse o esté disponible de otro modo, y Snap cooperará con cualquier solicitud razonable realizada por el responsable del tratamiento de datos en relación con el incumplimiento de los datos personales.

b. Investigación. Snap se compromete a tomar medidas de inmediato para investigar el incumplimiento de los datos personales, identificar, prevenir y mitigar los efectos de dicho incumplimiento y, con el consentimiento previo del responsable del tratamiento de datos, llevar a cabo cualquier acción de recuperación o de otro orden que sea necesaria para subsanar el incumplimiento de los datos personales.

a. Subprocesadores autorizados. El responsable del tratamiento de datos autoriza específicamente la contratación de las filiales de Snap para procesar los Datos personales del cliente y autoriza de forma general la contratación de otros terceros como Subprocesadores para procesar los Datos personales del cliente.

Obligaciones subprocesador. De conformidad con el Artículo 28 (4) del RGPD, el RGPD del Reino Unido y la LGPD, según corresponda, Snap impondrá condiciones contractuales legalmente vinculantes a cada Subprocesador que sean igual de restrictivas que las contenidas en el presente Acuerdo.

c. Acceso restringido. Snap garantizará que cada Subprocesador solo acceda a los Datos personales del cliente y los utilice en la medida necesaria para llevar a cabo las obligaciones subcontratadas y de acuerdo con el presente Acuerdo.

d. Actualizaciones de los Subprocesadores. De conformidad con el artículo 28 (2) del RGPD y el RGPD del Reino Unido (según proceda), a continuación se incluye una lista actualizada de: (i) todos los Subprocesadores involucrados en el procesamiento de datos personales del cliente; (ii) los fines para los cuales los Subprocesadores procesan los datos personales del cliente; y (iii) la ubicación de cada Subprocesador. Snap notificará al responsable del tratamiento de datos al menos 30 días antes de agregar un nuevo Subprocesador.

e. Derecho de objeción. El responsable del tratamiento de datos tiene derecho a objetar la incorporación de un nuevo Subprocesador, tal y como se describe en esta Sección. En caso de que el responsable del tratamiento de datos objete al tratamiento de los datos personales del cliente por parte de un nuevo Subprocesador designado, informará de inmediato a Snap, tras lo cual Snap: (i) ordenará al Subprocesador que cese el tratamiento de los datos personales del cliente, en cuyo caso el presente Acuerdo no se verá afectado; o (ii) permitirá al responsable del tratamiento de datos poner fin al presente Acuerdo de inmediato.

a. En caso de que el responsable del tratamiento de datos esté ubicado en el EEE, Suiza o el Reino Unido y realice transferencias de datos personales a Snap Inc.: entonces el Acuerdo de transferencia de datos será:

(i) se aplicará a dichas transferencias;

(ii) prevalecerá sobre cualquier otro término, incluidos los términos de este Acuerdo, en relación con dichas transferencias;

(iii) constituirá un contrato legalmente vinculante entre tú como exportador de datos y Snap como importador de datos o en nombre de este; y

(iv) se incorporan a las Condiciones de los servicios para empresas.

b. En relación con los datos personales de los sujetos de datos del EEE, Suiza y el Reino Unido, el responsable del tratamiento de datos y Snap acuerdan que Snap podrá procesar los datos personales del cliente fuera del EEE, Suiza y el Reino Unido cuando se cumplan los requisitos de la ley de protección de datos (incluidos, en su caso, los artículos 44 a 47 del RGPD) o se aplique una excepción (incluidas, en su caso, las enumeradas en el artículo 49 del RGPD).

c. En relación con los datos personales de sujetos de datos de Brasil, el responsable del tratamiento de datos acepta que Snap pueda procesar los datos personales del cliente fuera de Brasil, y declara y garantiza que dicha transferencia de datos personales del cliente cumple con la LGPD.

a. Indemnización. Snap acepta indemnizar al responsable del tratamiento de datos por todas las quejas, cargos, reclamaciones, indemnizaciones, pérdidas, gastos, costos, responsabilidades y obligaciones de terceros que se deban, surjan o estén relacionados de algún modo con el incumplimiento de este Acuerdo por parte de Snap.

b. Proceso de indemnización. El Responsable del tratamiento de datos notificará inmediatamente a Snap por escrito cualquier reclamación de indemnización, pero la falta de notificación a Snap no eximirá a Snap de ninguna responsabilidad u obligación de indemnización que pueda tener, a menos que Snap se vea perjudicada materialmente por dicha falta. El responsable del tratamiento de datos cooperará de forma razonable con Snap, a expensas de Snap, en relación con la defensa, el compromiso o la resolución de cualquier reclamación de indemnización. Snap no se comprometerá ni resolverá ninguna reclamación de ninguna manera, ni admitirá ninguna responsabilidad, sin el consentimiento previo por escrito del responsable del tratamiento de datos, que el responsable del tratamiento de datos podrá otorgar a su entera discreción. El responsable del tratamiento de datos podrá participar (a su costo) en la defensa, el compromiso y la resolución de la reclamación con un abogado de su elección.

c. Responsabilidad del subprocesador. Snap reconoce y acepta que seguirá siendo responsable ante el Responsable del tratamiento de datos en caso de incumplimiento de los términos del presente Acuerdo por parte de un Subprocesador y de cualquier otro procesador tercero externo designado por él.

Terminación. Este acuerdo terminará de forma automática cuando finalicen las Condiciones de los Servicios Empresariales.

b. Supervivencia. Las obligaciones de Snap relacionadas con la devolución o eliminación de los Datos personales del cliente seguirán vigentes tras la finalización de las Condiciones de los servicios empresas y el presente Acuerdo hasta que Snap haya devuelto o eliminado los datos personales del Cliente de conformidad con el presente Acuerdo.

El exportador de datos será el responsable del tratamiento de datos, tal y como se define en el presente Acuerdo, con el nombre, la dirección y los datos de contacto facilitados a Snap a través de los Servicios para empresas. Las actividades relevantes para los datos transferidos en virtud de las presentes Cláusulas incluyen el uso de los Servicios para empresas pertinentes de acuerdo con las Condiciones de los servicios para empresas y las Condiciones y políticas complementarias aplicables El exportador de datos desempeñará la función del responsable del tratamiento.

El importador de datos será:

Snap Inc. con domicilio en 3000 31st Street, Santa Monica, California 90405.

Las actividades relevantes para los datos transferidos en virtud de las presentes Cláusulas incluyen la prestación de los Servicios para empresas pertinentes de conformidad con las Condiciones de los servicios para empresas y las Condiciones y políticas complementarias aplicable. El importador de datos desempeñará la función de encargado del tratamiento.

Las actividades de tratamiento de datos llevadas a cabo por Snap en virtud del presente Acuerdo son las siguientes:

Prestación por parte de Snap de los Servicios para empresas al responsable del tratamiento de datos.

Durante el plazo de este Acuerdo, más el período posterior al vencimiento del plazo de este Acuerdo hasta la anonimización, devolución o eliminación de los datos de acuerdo con este Acuerdo.

Snap tratará los datos personales del Cliente con el fin de prestar los Servicios para empresas al responsable del tratamiento de datos de conformidad con y según lo descrito en las Condiciones de los servicios para empresas y el presente Acuerdo.

Datos personales del cliente relativos a personas proporcionadas a Snap a través de los Servicios empresariales, por (o bajo la dirección de) el responsable del tratamiento de datos, que pueden incluir:

• dirección de correo electrónico

• número de teléfono

• Id. de anuncio para móviles (IDFA/AAID)

• la dirección IP

• Identificador de cookies

• Agente de usuario del navegador

• acciones y eventos realizados en sitios web y aplicaciones, incluidas páginas visitadas, compras, búsquedas, eventos de pago, listas de deseos, instalaciones y métodos de registro de usuarios

No aplica

Continuo

Los titulares de los datos comprenden personas de EEE, Suiza, Reino Unido y Brasil cuyos datos personales son proporcionados a Snap a través de los Servicios para empresas por (o bajo la dirección de) el responsable del tratamiento de datos.

La autoridad supervisora ​​competente será la autoridad holandesa de protección de datos (Autoriteit Persoonsgegevens, AP).

1. Implementación y cumplimiento de un programa de seguridad de la información redactado en conformidad con las normas establecidas del sector y que incluya salvaguardas administrativas, técnicas y físicas adecuadas a la naturaleza de los datos personales del cliente y diseñadas para proteger esta información de: el acceso, la destrucción, el uso, la modificación o la revelación no autorizados; el acceso o el uso no autorizados que puedan provocar daños o inconvenientes sustanciales al responsable del tratamiento de datos, a los clientes del responsable del tratamiento de datos o a los empleados del responsable del tratamiento de datos; y cualquier amenaza o peligro previsto para la seguridad o la integridad de dicha información.

2. Adopción y aplicación de políticas y normas razonables en materia de seguridad.

3. Asignación de responsabilidades para la gestión de la seguridad de la información.

4. Dedicación de los recursos humanos adecuados a la seguridad de la información.

5. Realización de pruebas de verificación del personal permanente que tendrá acceso a los datos personales del cliente.

6. Comprobación adecuada de los antecedentes de los empleados, proveedores y demás personas con acceso a los datos personales del cliente y exigir que suscriban acuerdos de confidencialidad por escrito.

7. Realización de capacitaciones para que los empleados y otras personas con acceso a los datos personales del cliente estén conscientes de los riesgos de seguridad de la información y para mejorar el cumplimiento de las políticas y estándares de protección de datos de Snap.

8. Prevención del acceso no autorizado a los datos personales del cliente mediante el uso, según corresponda, de controles de entrada físicos y lógicos (contraseñas), áreas seguras para el procesamiento de datos, procedimientos para supervisar el uso de las instalaciones de procesamiento de datos, registros de auditoría del sistema incorporados, uso de contraseñas seguras, tecnología para la detección de posibles intrusiones en la red, tecnología de encriptación y autenticación, procedimientos seguros de inicio de sesión y protección antivirus, controlando de forma continua el cumplimiento de las políticas y normas de Snap relacionadas con la protección de datos. En particular, Snap ha implementado y cumple, según corresponda y sin limitación, lo siguiente:

• Medidas de control de acceso físico para evitar el acceso no autorizado a los sistemas de procesamiento de datos (por ejemplo, tarjetas de identificación de acceso, lectores de tarjetas, funcionario, sistemas de alarma, detectores de movimiento, alarmas antirrobo, videovigilancia y seguridad exterior);

• Medidas de control de uso para prevenir el uso no autorizado de los sistemas de protección de datos (por ejemplo, requisitos de complejidad y cambio de contraseñas aplicados automáticamente, y cortafuegos) ;

• Esquema de autorización y derechos de acceso basados en requisitos, y supervisión y registro del acceso al sistema para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos únicamente tengan acceso a los datos a los que tienen derecho a acceder, y que los datos personales del cliente no puedan leerse, copiarse, modificarse o eliminarse sin autorización;

• Medidas de control de la transmisión de datos para garantizar que los datos personales del cliente no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en soportes de datos, y la transferencia y recepción de registros. En particular, el programa de seguridad de la información de Snap estará diseñado para:

  • Para encriptar en el sistema cualquier conjunto de datos en posesión de Snap, incluidos los datos personales sensibles, utilizando los niveles de encriptación adecuados basados en los estándares de encriptación líderes del sector, incluido AES -256, y guardando las identidades de los usuarios en el sistema utilizando pares clave-valor como ghost_id para evitar el que se almacene el ID de usuario real; y

  • Para garantizar que cualquier dato personal sensible transmitido por vía electrónica (que no sea por fax) a una persona ajena al sistema informático de Snap o transmitido a través de una red pública se encripte utilizando las versiones más recientes compatibles del protocolo TLS 1.2 para proteger la seguridad de la transmisión;

• Medidas de control de entrada de datos para garantizar que Snap pueda verificar y establecer si los Datos personales del cliente han sido ingresados en los sistemas de procesamiento de datos, modificados o eliminados;

• Medidas de pruebas de seguridad continuas para garantizar que las prácticas de seguridad de la información sigan siendo relevantes, eficaces y actualizadas, incluidas pruebas de invasión anuales, programa de recompensas por errores, uso de herramientas de escaneado de sistemas, ejercicios de simulación, pruebas de restablecimiento de copias de seguridad, conmutaciones por error previas a la producción y realización de autopsias sobre cualquier incidente real con el fin de actualizar los planes pertinentes de recuperación en caso de catástrofe;

• Medidas de supervisión del subprocesador para garantizar que, si se permite a Snap utilizar subprocesadores, los datos personales del cliente se traten estrictamente de acuerdo con las instrucciones del responsable del tratamiento, incluidas, según proceda:

  • Medidas para garantizar que los Datos personales del cliente estén protegidos de la destrucción o pérdida accidental, incluidas, según corresponda y sin limitación, políticas de copia de seguridad, retención y destrucción segura de datos; almacenamiento externo seguro de datos suficiente para la recuperación en caso de desastre; suministro continuo de energía y programas de recuperación ante desastres; y

  • Medidas para garantizar que los datos recopilados para diferentes fines puedan tratarse por separado, incluida, según proceda, la separación física o lógica adecuada de los datos personales de los clientes.

9. Tomar cualquier otra medida que sea apropiada según las circunstancias.