Reglamento General de Protección de Datos (RGPD)

Contenido

Google y la contraparte que acuerdan estos términos (” Cliente “) han celebrado un acuerdo para la prestación de los Servicios de procesador (en su versión modificada periódicamente, el ” Acuerdo “).

Google y el Cliente firman estos Términos de procesamiento de datos de Google Ads (incluidos los apéndices, “ Términos de procesamiento de datos ”) y complementan el Acuerdo. Estos Términos de procesamiento de datos serán efectivos y reemplazarán cualquier término previamente aplicable relacionado con su tema (incluida cualquier enmienda de procesamiento de datos o anexo de procesamiento de datos relacionado con los Servicios del procesador), a partir de la Fecha de vigencia de los Términos.

Si acepta estos Términos de procesamiento de datos en nombre del Cliente, garantiza que: (a) tiene plena autoridad legal para vincular al Cliente a estos Términos de procesamiento de datos; (b) ha leído y comprende estos Términos de procesamiento de datos; y (c) usted acepta, en nombre del Cliente, estos Términos de procesamiento de datos. Si no tiene la autoridad legal para vincular al Cliente, no acepte estos Términos de procesamiento de datos.

1. Introducción

Estos Términos de procesamiento de datos reflejan el acuerdo de las partes sobre los términos que rigen el procesamiento de ciertos datos en relación con la legislación europea de protección de datos y cierta legislación no europea de protección de datos.

2. Definiciones e interpretación

2.1 En estos Términos de procesamiento de datos:

” Producto adicional ” significa un producto, servicio o aplicación proporcionada por Google o un tercero que: (a) no forma parte de los Servicios del procesador; y (b) es accesible para su uso dentro de la interfaz de usuario de los Servicios del procesador o está integrado de otra manera con los Servicios del procesador.

” Términos adicionales para la legislación de protección de datos no europea ” se refiere a los términos adicionales mencionados en el Apéndice 3, que reflejan el acuerdo de las partes sobre los términos que rigen el procesamiento de ciertos datos en relación con cierta legislación de protección de datos no europea.

” Afiliado ” significa una entidad que controla directa o indirectamente, está controlada por, o está bajo control común con una parte.

” Datos personales del cliente ” se refiere a los datos personales que procesa Google en nombre del Cliente en la prestación de los Servicios de procesador de Google.

” Incidente de datos ” significa una violación de la seguridad de Google que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales del cliente en sistemas administrados o controlados por Google. Los “incidentes de datos” no incluirán intentos fallidos o actividades que no comprometan la seguridad de los datos personales del cliente, incluidos intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

” Herramienta de sujeto de datos ” se refiere a una herramienta (si la hay) puesta a disposición por una entidad de Google a los interesados ​​que le permite a Google responder directamente y de manera estandarizada a ciertas solicitudes de los interesados ​​en relación con los datos personales del cliente (por ejemplo, publicidad en línea configuración o un complemento de navegador de exclusión voluntaria).

” EEE ” significa el Espacio Económico Europeo.

Por ” RGPD de la UE ” se entiende el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46 / CE.

” Legislación europea de protección de datos ” significa, según corresponda: (a) el RGPD; y / o (b) la Ley Federal de Protección de Datos de 19 de junio de 1992 (Suiza).

” Leyes europeas o nacionales ” significa, según corresponda: (a) la legislación de la UE o de los Estados miembros de la UE (si el GDPR de la UE se aplica al procesamiento de datos personales del cliente); y / o (b) la ley del Reino Unido o una parte del Reino Unido (si el GDPR del Reino Unido se aplica al procesamiento de Datos Personales del Cliente).

” GDPR ” significa, según corresponda: (a) el GDPR de la UE; y / o (b) el GDPR del Reino Unido.

” Google ” significa la Entidad de Google que es parte del Acuerdo.

” Subprocesadores afiliados de Google ” tiene el significado dado en la Sección 11.1 (Consentimiento para la participación del subprocesador).

” Entidad de Google ” se refiere a Google LLC (anteriormente conocido como Google Inc.), Google Ireland Limited o cualquier otro Afiliado de Google LLC.

“ Certificación ISO 27001 ” significa la certificación ISO / IEC 27001: 2013 o una certificación comparable para los Servicios de Procesador.

” Legislación de protección de datos no europea ” se refiere a la protección de datos o las leyes de privacidad vigentes fuera del EEE, Suiza y el Reino Unido.

” Dirección de correo electrónico de notificación ” se refiere a la dirección de correo electrónico (si la hay) designada por el Cliente, a través de la interfaz de usuario de los Servicios de procesador o cualquier otro medio proporcionado por Google, para recibir ciertas notificaciones de Google relacionadas con estos Términos de procesamiento de datos.

” Escudo de privacidad ” significa el marco legal del Escudo de privacidad UE-EE. UU., El marco legal del Escudo de privacidad Suiza-EE. UU. Y cualquier marco legal equivalente que pueda aplicarse entre el Reino Unido y los Estados Unidos.

” Servicios de procesador ” se refiere a los servicios aplicables enumerados en  privacy.google.com/businesses/adsservices  .

“ Documentación de seguridad ” significa el certificado emitido para la Certificación ISO 27001 y cualquier otra certificación o documentación de seguridad que Google pueda poner a disposición con respecto a los Servicios del procesador.

” Medidas de seguridad ” tiene el significado dado en la Sección 7.1.1 (Medidas de seguridad de Google).

” Subprocesadores ” se refiere a terceros autorizados bajo estos Términos de procesamiento de datos para tener acceso lógico y procesar los Datos personales del cliente con el fin de proporcionar partes de los Servicios del procesador y cualquier soporte técnico relacionado.

” Autoridad de supervisión ” significa, según corresponda: (a) una “autoridad de supervisión” tal como se define en el RGPD de la UE; y / o (b) el “Comisionado” como se define en el GDPR del Reino Unido.

“ Plazo ” significa el período desde la Fecha de vigencia de los Términos hasta el final de la provisión de Google de los Servicios de procesador en virtud del Acuerdo.

” Fecha de vigencia de los términos ” significa, según corresponda:

(a) 25 de mayo de 2018, si el Cliente hizo clic para aceptar o las partes acordaron estos Términos de procesamiento de datos antes o en dicha fecha; o

(b) la fecha en que el Cliente hizo clic para aceptar o las partes acordaron estos Términos de procesamiento de datos, si dicha fecha es posterior al 25 de mayo de 2018.

” Subprocesadores de terceros ” tiene el significado dado en la Sección 11.1 (Consentimiento para la participación del subprocesador).

” GDPR del Reino Unido ” significa el GDPR de la UE modificado e incorporado a la legislación del Reino Unido en virtud de la Ley de la Unión Europea del Reino Unido (Retirada) de 2018, si está en vigor.

2.2 Los términos ” controlador “, ” sujeto de datos “, ” datos personales “, ” procesamiento ” y ” procesador ” tal como se utilizan en estos Términos de procesamiento de datos tienen el significado que se da en el GDPR.

2.3 Las palabras ” incluir ” e ” incluir ” significan ” incluido pero no limitado a “. Cualquier ejemplo en estos Términos de procesamiento de datos es ilustrativo y no es el único ejemplo de un concepto en particular.

2.4 Cualquier referencia a un marco legal, estatuto u otra promulgación legislativa es una referencia a la misma en su forma enmendada o promulgada de vez en cuando.

2.5 Si estos Términos de procesamiento de datos se traducen a cualquier otro idioma, y ​​existe una discrepancia entre el texto en inglés y el texto traducido, prevalecerá el texto en inglés.

3.  Duración de estos Términos de procesamiento de datos

Estos Términos de procesamiento de datos entrarán en vigencia en la Fecha de vigencia de los Términos y, a pesar de la expiración del Plazo, permanecerán vigentes hasta que Google elimine automáticamente todos los Datos personales del cliente como se describe en estos Términos de procesamiento de datos.

4.  Aplicación de estos Términos de procesamiento de datos

4.1  Aplicación de la legislación europea de protección de datos. Las secciones 5 (procesamiento de datos) a 12 (contacto con Google; procesamiento de registros) (inclusive) solo se aplicarán en la medida en que la legislación europea de protección de datos se aplique al procesamiento de datos personales del cliente, incluso si:

(a) el procesamiento se realiza en el contexto de las actividades de un establecimiento del Cliente en el EEE o el Reino Unido; y / o

(b) Los Datos personales del cliente son datos personales relacionados con los interesados ​​que se encuentran en el EEE del Reino Unido y el procesamiento se relaciona con la oferta de bienes o servicios o el monitoreo de su comportamiento en el EEE o el Reino Unido.

4.2  Aplicación a los servicios de procesador. Estos Términos de procesamiento de datos solo se aplicarán a los Servicios de procesador para los cuales las partes acordaron estos Términos de procesamiento de datos (por ejemplo: (a) los Servicios de procesador en los que el Cliente hizo clic para aceptar estos Términos de procesamiento de datos; o (b) si el Acuerdo incorpora estos Términos de procesamiento de datos por referencia, los Servicios de procesador que son objeto del Acuerdo).

4.3  Incorporación de términos adicionales para la legislación de protección de datos no europea. Los Términos adicionales para la legislación de protección de datos no europea complementan estos Términos de procesamiento de datos.

5.  Procesamiento de datos

5.1  Roles y cumplimiento normativo; Autorización.

5.1.1  Responsabilidades del procesador y del controlador. Las partes reconocen y acuerdan que:

(a) el Apéndice 1 describe el tema y los detalles del procesamiento de los Datos personales del cliente;

(b) Google es un procesador de datos personales del cliente bajo la legislación europea de protección de datos;

(c) El Cliente es un controlador o procesador, según corresponda, de los Datos Personales del Cliente bajo la Legislación Europea de Protección de Datos; y

(d) cada parte cumplirá con las obligaciones que le son aplicables en virtud de la legislación europea de protección de datos con respecto al procesamiento de datos personales del cliente.

5.1.2  Autorización por parte de un controlador externo. Si el Cliente es un procesador, el Cliente garantiza a Google que las instrucciones y acciones del Cliente con respecto a los Datos personales del Cliente, incluida su designación de Google como otro procesador, han sido autorizadas por el controlador correspondiente.

5.2  Instrucciones del cliente. Al ingresar en estos Términos de procesamiento de datos, el Cliente le indica a Google que procese los Datos personales del cliente solo de acuerdo con la ley aplicable: (a) para proporcionar los Servicios de procesador y cualquier soporte técnico relacionado; (b) según se especifica a través del uso de los Servicios del procesador por parte del Cliente (incluso en la configuración y otras funciones de los Servicios del procesador) y cualquier soporte técnico relacionado; (c) como se documenta en la forma del Acuerdo, incluidos estos Términos de procesamiento de datos; y (d) tal como se documenta en otras instrucciones escritas dadas por el Cliente y reconocidas por Google como instrucciones que constituyen los propósitos de estos Términos de procesamiento de datos.

5.3  Cumplimiento de las instrucciones de Google. Google cumplirá con las instrucciones descritas en la Sección 5.2 (Instrucciones del Cliente) (incluso con respecto a las transferencias de datos) a menos que las Leyes europeas o nacionales a las que Google esté sujeto requieran otro procesamiento de los Datos personales del Cliente por parte de Google, en cuyo caso Google informará al Cliente ( a menos que dicha ley prohíba que Google lo haga por motivos importantes de interés público).

5.4  Productos adicionales. Si el Cliente utiliza algún Producto adicional, los Servicios del procesador pueden permitir que ese Producto adicional acceda a los Datos personales del Cliente según sea necesario para la interoperabilidad del Producto adicional con los Servicios del procesador. Para mayor claridad, estos Términos de procesamiento de datos no se aplican al procesamiento de datos personales en relación con la provisión de cualquier Producto adicional utilizado por el Cliente, incluidos los datos personales transmitidos hacia o desde ese Producto adicional.

6.  Eliminación de datos

6.1  Eliminación durante el plazo .

6.1.1  Servicios de procesador con funcionalidad de eliminación. Durante el plazo, si:

(a) la funcionalidad de los Servicios de procesador incluye la opción para que el Cliente elimine los Datos personales del Cliente;

(b) El Cliente utiliza los Servicios de procesador para eliminar ciertos Datos personales del Cliente; y

(c) los Datos personales del Cliente eliminados no pueden ser recuperados por el Cliente (por ejemplo, de la “papelera”), entonces Google eliminará dichos Datos personales del cliente de sus sistemas tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que las Leyes europeas o nacionales requieran almacenamiento.

6.1.2  Servicios de procesador sin funcionalidad de eliminación. Durante el Plazo, si la funcionalidad de los Servicios del procesador no incluye la opción de que el Cliente elimine los Datos personales del cliente, Google cumplirá con:

(a) cualquier solicitud razonable del Cliente para facilitar dicha eliminación, en la medida en que esto sea posible teniendo en cuenta la naturaleza y la funcionalidad de los Servicios del procesador y a menos que las Leyes europeas o nacionales requieran almacenamiento; y

(b) las prácticas de retención de datos descritas en políticas.google.com/ technologies/  ads .

Google puede cobrar una tarifa (basada en los costos razonables de Google) por cualquier eliminación de datos en la Sección 6.1.2 (a). Google proporcionará al Cliente más detalles sobre cualquier tarifa aplicable, y la base de su cálculo, antes de dicha eliminación de datos.

6.2  Eliminación al vencimiento del plazo. Al expirar el plazo, el cliente le indica a Google que elimine todos los datos personales del cliente (incluidas las copias existentes) de los sistemas de Google de acuerdo con la ley aplicable. Google cumplirá con estas instrucciones tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que las leyes europeas o nacionales requieran almacenamiento.

7.  Seguridad de datos

7.1  Medidas de seguridad y asistencia de Google.

7.1.1  Medidas de seguridad de Google. Google implementará y mantendrá medidas técnicas y organizativas para proteger los Datos personales del cliente contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados o ilegales como se describe en el Apéndice 2 (las ” Medidas de seguridad“). Como se describe en el Apéndice 2, las Medidas de seguridad incluyen medidas: (a) para cifrar datos personales; (b) para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de Google; (c) para ayudar a restaurar el acceso oportuno a los datos personales después de un incidente; y (d) para pruebas regulares de efectividad. Google puede actualizar o modificar las Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad general de los Servicios del procesador.

7.1.2  Cumplimiento de seguridad por parte del personal de Google. Google tomará las medidas adecuadas para garantizar el cumplimiento de las Medidas de seguridad por parte de sus empleados, contratistas y subprocesadores en la medida que corresponda a su alcance de desempeño, incluida la garantía de que todas las personas autorizadas para procesar los Datos personales del cliente se hayan comprometido a la confidencialidad o estén bajo un adecuado obligación legal de confidencialidad.

7.1.3  Asistencia de seguridad de Google. El Cliente acepta que Google (teniendo en cuenta la naturaleza del procesamiento de los Datos personales del cliente y la información disponible para Google) lo ayudará a garantizar el cumplimiento de cualquier obligación del Cliente con respecto a la seguridad de los datos personales y las infracciones de los datos personales, incluyendo (si aplicable) Obligaciones del cliente de conformidad con los artículos 32 a 34 (inclusive) del GDPR, por:

(a) implementar y mantener las Medidas de Seguridad de acuerdo con la Sección 7.1.1 (Medidas de Seguridad de Google);

(b) cumplir con los términos de la Sección 7.2 (Incidentes de datos); y

(c) proporcionar al Cliente la Documentación de seguridad de acuerdo con la Sección 7.5.1 (Revisiones de la Documentación de seguridad) y la información contenida en estos Términos de procesamiento de datos.

7.2  Incidentes de datos.

7.2.1  Notificación de incidentes. Si Google se entera de un Incidente de datos, Google: (a) notificará al Cliente sobre el Incidente de datos con prontitud y sin demora indebida; y (b) tome con prontitud medidas razonables para minimizar el daño y asegurar los Datos personales del cliente.

7.2.2  Detalles del incidente de datos. Las notificaciones realizadas en la Sección 7.2.1 (Notificación de incidentes) describirán, en la medida de lo posible, los detalles del Incidente de datos, incluidas las medidas adoptadas para mitigar los riesgos potenciales y los pasos que Google recomienda que el Cliente tome para abordar el Incidente de datos.

7.2.3  Entrega de la notificación. Google enviará su notificación de cualquier Incidente de datos a la Dirección de correo electrónico de notificación o, a discreción de Google (incluso si el Cliente no ha proporcionado una Dirección de correo electrónico de notificación), por otra comunicación directa (por ejemplo, por llamada telefónica o una reunión en persona) . El Cliente es el único responsable de proporcionar la Dirección de correo electrónico de notificación y garantizar que la Dirección de correo electrónico de notificación sea actual y válida.

7.2.4  Notificaciones de terceros. El Cliente es el único responsable de cumplir con las leyes de notificación de incidentes aplicables al Cliente y de cumplir con las obligaciones de notificación de terceros relacionadas con cualquier Incidente de datos.

7.2.5  Sin reconocimiento de falla por parte de Google. La notificación o la respuesta de Google a un Incidente de datos en virtud de esta Sección 7.2 (Incidentes de datos) no se interpretará como un reconocimiento por parte de Google de cualquier defecto o responsabilidad con respecto al Incidente de datos.

7.3  Responsabilidades y evaluación de seguridad del cliente.

7.3.1  Responsabilidades de seguridad del cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Google en virtud de las Secciones 7.1 (Medidas de seguridad y asistencia de Google) y 7.2 (Incidentes de datos):

(a) El Cliente es el único responsable del uso de los Servicios del procesador, que incluye:

(i) hacer un uso apropiado de los Servicios del procesador para garantizar un nivel de seguridad apropiado al riesgo con respecto a los Datos personales del cliente; y

(ii) asegurar las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que utiliza el Cliente para acceder a los Servicios del procesador; y

(b) Google no tiene la obligación de proteger los Datos personales del Cliente que el Cliente elija almacenar o transferir fuera de los sistemas de Google y sus Subprocesadores.

7.3.2  Evaluación de seguridad del cliente. El Cliente reconoce y acepta que (teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento de los Datos personales del Cliente, así como los riesgos para las personas), las Medidas de seguridad implementadas y mantenidas por Google, como se establece en la Sección 7.1.1 (Medidas de seguridad de Google), proporciona un nivel de seguridad adecuado al riesgo con respecto a los Datos personales del cliente.

7.4  Certificación de seguridad. Para evaluar y ayudar a garantizar la eficacia continua de las medidas de seguridad, Google mantendrá la certificación ISO 27001.

7.5  Revisiones y auditorías de cumplimiento.

7.5.1  Revisiones de la documentación de seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones bajo estos Términos de procesamiento de datos, Google pondrá la Documentación de seguridad a disposición del Cliente para su revisión.

7.5.2  Derechos de auditoría del cliente .

(a) Google permitirá que el Cliente o un auditor externo designado por el Cliente realice auditorías (incluidas inspecciones) para verificar el cumplimiento de Google de sus obligaciones bajo estos Términos de procesamiento de datos de acuerdo con la Sección 7.5.3 (Términos comerciales adicionales para auditorías). Google contribuirá a tales auditorías como se describe en la Sección 7.4 (Certificación de seguridad) y esta Sección 7.5 (Revisiones y auditorías de cumplimiento).

(b) El Cliente también puede realizar una auditoría para verificar el cumplimiento de Google con sus obligaciones bajo estos Términos de procesamiento de datos mediante la revisión del certificado emitido para la Certificación ISO 27001 (que refleja el resultado de una auditoría realizada por un auditor externo).

7.5.3  Términos comerciales adicionales para auditorías.

(a) El Cliente enviará a Google cualquier solicitud de auditoría según la Sección 7.5.2 (a) como se describe en la Sección 12.1 (Cómo contactar a Google).

(b) Luego de que Google reciba una solicitud de conformidad con la Sección 7.5.3 (a), Google y el Cliente discutirán y acordarán de antemano la fecha de inicio razonable, el alcance y la duración de los controles de seguridad y confidencialidad aplicables a cualquier auditoría bajo Sección 7.5.2 (a).

(c) Google puede cobrar una tarifa (basada en los costos razonables de Google) por cualquier auditoría bajo la Sección 7.5.2 (a). Google proporcionará al Cliente más detalles sobre cualquier tarifa aplicable, y la base de su cálculo, antes de dicha auditoría. El Cliente será responsable de los honorarios cobrados por cualquier auditor externo designado por el Cliente para ejecutar dicha auditoría.

(d) Google puede oponerse a cualquier auditor externo designado por el Cliente para realizar cualquier auditoría bajo la Sección 7.5.2 (a) si el auditor no es, en opinión razonable de Google, calificado o independiente de manera adecuada, un competidor de Google o de otra manera manifiestamente inadecuado. . Cualquier objeción de este tipo por parte de Google requerirá que el Cliente designe a otro auditor o realice la auditoría en sí.

(e) Nada en estos Términos de procesamiento de datos requerirá que Google divulgue al Cliente o a su auditor externo, o que permita que el Cliente o su auditor externo accedan a:

(i) cualquier dato de cualquier otro cliente de una Entidad de Google;

(ii) la información contable o financiera interna de cualquier entidad de Google;

(iii) cualquier secreto comercial de una entidad de Google;

(iv) cualquier información que, en opinión razonable de Google, podría: (A) comprometer la seguridad de los sistemas o locales de cualquier entidad de Google; o (B) hacer que cualquier entidad de Google incumpla sus obligaciones bajo la legislación europea de protección de datos o sus obligaciones de seguridad y / o privacidad con el cliente o cualquier tercero; o

(v) cualquier información a la que el Cliente o su auditor externo busque acceder por cualquier motivo que no sea el cumplimiento de buena fe de las obligaciones del Cliente en virtud de la Legislación Europea de Protección de Datos.

8.  Evaluaciones de impacto y consultas

El Cliente acepta que Google (teniendo en cuenta la naturaleza del procesamiento y la información disponible para Google) lo ayudará a garantizar el cumplimiento de cualquier obligación del Cliente con respecto a las evaluaciones de impacto de protección de datos y la consulta previa, incluidas (si corresponde) las obligaciones del Cliente de conformidad a los artículos 35 y 36 del GDPR, por:

(a) proporcionar la documentación de seguridad de acuerdo con la Sección 7.5.1 (Revisiones de la documentación de seguridad);

(b) proporcionar la información contenida en estos Términos de procesamiento de datos; y

(c) proporcionar o poner a disposición, de acuerdo con las prácticas estándar de Google, otros materiales relacionados con la naturaleza de los Servicios del procesador y el procesamiento de los Datos personales del cliente (por ejemplo, materiales del centro de ayuda).

9.  Derechos del sujeto de datos

9.1  Respuestas a solicitudes de sujetos de datos. Si Google recibe una solicitud de un interesado en relación con los Datos personales del cliente, Google:

(a) si la solicitud se realiza a través de una herramienta de sujeto de datos, responder directamente a la solicitud del sujeto de datos de acuerdo con la funcionalidad estándar de esa herramienta de sujeto de datos; o

(b) si la solicitud no se realiza a través de una herramienta de sujeto de datos, avise al sujeto de datos que envíe su solicitud al cliente, y el cliente será responsable de responder a dicha solicitud.

9.2  Asistencia de solicitud de sujeto de datos de Google. El Cliente acepta que Google (teniendo en cuenta la naturaleza del procesamiento de los Datos personales del Cliente y, si corresponde, el Artículo 11 del RGPD) lo ayudará a cumplir con cualquier obligación del Cliente de responder a las solicitudes de los interesados, incluyendo (si corresponde) Obligación del cliente de responder a las solicitudes de ejercicio de los derechos del sujeto de datos establecidos en el Capítulo III del GDPR, mediante:

(a) proporcionar la funcionalidad de los Servicios de procesador;

(b) cumplir con los compromisos establecidos en la Sección 9.1 (Respuestas a las Solicitudes del interesado); y

(c) si corresponde a los Servicios de procesador, poner a disposición las herramientas de sujeto de datos.

10.  Transferencias de datos

10.1  Instalaciones de almacenamiento y procesamiento de datos. El Cliente acepta que Google puede, sujeto a la Sección 10.2 (Transferencias de datos), almacenar y procesar los Datos personales del cliente en los Estados Unidos de América y en cualquier otro país en el que Google o cualquiera de sus Subprocesadores tengan instalaciones.

10.2  Transferencias de datos. Google se asegurará de que:

(a) la empresa matriz del grupo Google, Google LLC, sigue autocertificada bajo Privacy Shield; y

(b) el alcance de la certificación del Escudo de privacidad de Google LLC incluye los Datos personales del cliente.

10.3  Información del centro de datos. La información sobre las ubicaciones de los centros de datos de Google está disponible en  www.google.com/about/datacenters/inside/locations/index.html  .

11. Subprocesador

11.1 Consentimiento para la participación del subprocesador. El Cliente autoriza específicamente la participación de los Afiliados de Google como Subprocesadores (” Subprocesadores de Afiliados de Google “). Además, el Cliente generalmente autoriza la participación de otros terceros como Subprocesadores (” Subprocesadores de terceros “).

11.2  Información sobre subprocesadores. La información sobre los subprocesadores está disponible en  privacy.google.com/businesses/subprocessors  .

11.3 Requisitos para la participación del subprocesador. Al contratar a cualquier Subprocesador, Google:

(a) garantizar mediante un contrato escrito que:

(i) el Subprocesador solo accede y utiliza los Datos personales del cliente en la medida necesaria para cumplir con las obligaciones subcontratadas, y lo hace de conformidad con el Acuerdo (incluidos estos Términos de procesamiento de datos) y el Escudo de privacidad; y

(ii) si el RGPD se aplica al procesamiento de Datos personales del cliente, las obligaciones de protección de datos establecidas en el Artículo 28 (3) del RGPD se imponen al Subprocesador; y

(b) continuará siendo totalmente responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del Subprocesador.

11.4  Oportunidad para objetar cambios en el subprocesador .

(a) Cuando un nuevo Subprocesador de terceros esté involucrado durante el Período, Google, al menos 30 días antes de que el nuevo Subprocesador de terceros procese los Datos personales del Cliente, informará al Cliente del compromiso (incluido el nombre y la ubicación del subprocesador relevante y las actividades que realizará) enviando un correo electrónico a la dirección de correo electrónico de notificación.

(b) El Cliente puede oponerse a cualquier nuevo Subprocesador de Terceros al rescindir el Acuerdo inmediatamente después de un aviso por escrito a Google, con la condición de que el Cliente proporcione dicho aviso dentro de los 90 días de haber sido informado del compromiso del nuevo Subprocesador de Terceros como se describe en la Sección 11.4 (una). Este derecho de rescisión es el único y exclusivo recurso del Cliente si el Cliente se opone a un nuevo Subprocesador de terceros.

12.  Contactando a Google; Procesando Registros

12.1 Contactando a Google. El Cliente puede comunicarse con Google en relación con el ejercicio de sus derechos en virtud de estos Términos de procesamiento de datos a través de los métodos descritos en privacy.google.com/businesses/processorsupport o por cualquier otro medio que Google proporcione ocasionalmente.

12.2  Registros de procesamiento de Google. El Cliente reconoce que, bajo el RGPD, se requiere que Google: (a) recopile y mantenga registros de cierta información, incluido el nombre y los datos de contacto de cada procesador y / o controlador en nombre del cual Google está actuando y (si corresponde) de dicho procesador o el representante local del controlador y el oficial de protección de datos; y (b) poner dicha información a disposición de cualquier Autoridad de Supervisión. En consecuencia, el Cliente, cuando se le solicite y según corresponda, proporcionará dicha información a Google a través de la interfaz de usuario de los Servicios del procesador o por cualquier otro medio que pueda proporcionar Google, y utilizará dicha interfaz de usuario u otros medios para garantizar que Toda la información proporcionada se mantiene precisa y actualizada.

13.  Responsabilidad

Si el Acuerdo se rige por las leyes de:

(a) un estado de los Estados Unidos de América, entonces, a pesar de cualquier otra cosa en el Acuerdo, la responsabilidad total de cualquiera de las partes hacia la otra parte en relación con estos Términos de procesamiento de datos se limitará al máximo monetario o pago cantidad basada en la cual la responsabilidad de esa parte está limitada según el Acuerdo (para mayor claridad, cualquier exclusión de reclamos de indemnización de la limitación de responsabilidad del Acuerdo no se aplicará a los reclamos de indemnización bajo el Acuerdo relacionados con la Legislación Europea de Protección de Datos o la Protección de Datos No Europea Legislación); o

(b) una jurisdicción que no es un estado de los Estados Unidos de América, entonces la responsabilidad de las partes bajo o en relación con estos Términos de procesamiento de datos estará sujeta a las exclusiones y limitaciones de responsabilidad en el Acuerdo.

14.  Efecto de estos Términos de procesamiento de datos

Si existe algún conflicto o inconsistencia entre los términos de los Términos adicionales para la legislación de protección de datos no europea, el resto de estos Términos de procesamiento de datos y / o el resto del Acuerdo, se aplicará el siguiente orden de precedencia: (a) los Términos adicionales para la legislación de protección de datos no europea; (b) el resto de estos Términos de procesamiento de datos; y (c) el resto del Acuerdo. Sujeto a las modificaciones en estos Términos de procesamiento de datos, el Acuerdo permanece en pleno vigor y efecto

15.  Cambios a estos Términos de procesamiento de datos

15.1 Cambios a las URL. De vez en cuando, Google puede cambiar cualquier URL a la que se haga referencia en estos Términos de procesamiento de datos y el contenido de dicha URL. Google solo puede cambiar la lista de posibles Servicios de procesador en  privacy.google.com/businesses/adsservices  :

(a) para reflejar un cambio en el nombre de un servicio;

(b) para agregar un nuevo servicio; o

(c) eliminar un servicio donde: (i) se rescindan todos los contratos para la prestación de ese servicio; o (ii) Google tiene el consentimiento del Cliente.

15.2 Cambios a los Términos de procesamiento de datos. Google puede cambiar estos Términos de procesamiento de datos si el cambio:

(a) está expresamente permitido por estos Términos de procesamiento de datos, incluidos los descritos en la Sección 15.1 (Cambios en las URL);

(b) refleja un cambio en el nombre o la forma de una entidad legal;

(c) está obligado a cumplir con la ley aplicable, la regulación aplicable, una orden judicial u orientación emitida por un regulador o agencia gubernamental; o

(d) no: (i) da como resultado una degradación de la seguridad general de los Servicios de procesador; (ii) ampliar el alcance de, o eliminar cualquier restricción sobre, (x) en el caso de los Términos Adicionales para la Legislación de Protección de Datos No Europea, los derechos de Google para usar o procesar los datos en el alcance de los Términos Adicionales para Legislación europea de protección de datos o (y) en el caso del resto de estos Términos de procesamiento de datos, el procesamiento de Google de los Datos personales del cliente, como se describe en la Sección 5.3 (Cumplimiento de las instrucciones de Google); y (iii) de lo contrario, tendrá un impacto adverso importante en los derechos del Cliente en virtud de estos Términos de procesamiento de datos, según lo determine razonablemente Google.

15.3 Notificación de cambios. Si Google tiene la intención de cambiar estos Términos de procesamiento de datos en virtud de la Sección 15.2 (c) o (d), Google informará al Cliente al menos 30 días (o el período más corto que sea necesario para cumplir con la ley aplicable, la regulación aplicable, una orden judicial o orientación emitida por un organismo regulador o gubernamental) antes de que el cambio surta efecto: (a) enviando un correo electrónico a la dirección de correo electrónico de notificación; o (b) alertar al Cliente a través de la interfaz de usuario para los Servicios de Procesador. Si el Cliente se opone a dicho cambio, el Cliente puede rescindir el Acuerdo mediante notificación por escrito a Google dentro de los 90 días de haber sido informado por Google sobre el cambio.

Apéndice 1: Asunto y detalles del procesamiento de datos

Tema en cuestión

La provisión de Google de los Servicios de procesador y cualquier soporte técnico relacionado al Cliente.

Duración del procesamiento

El plazo más el período desde el vencimiento del plazo hasta la eliminación de todos los datos personales del cliente por parte de Google de acuerdo con estos Términos de procesamiento de datos.

Naturaleza y propósito del procesamiento

Google procesará (incluyendo, según corresponda a los Servicios del procesador y las instrucciones descritas en la Sección 5.2 (Instrucciones del cliente), recopilar, grabar, organizar, estructurar, almacenar, alterar, recuperar, usar, divulgar, combinar, borrar y destruir) Personal del cliente Datos con el fin de proporcionar los Servicios de procesador y cualquier soporte técnico relacionado al Cliente de acuerdo con estos Términos de procesamiento de datos.

Tipos de datos personales

Los datos personales del cliente pueden incluir los tipos de datos personales descritos en  privacy.google.com/businesses/adsservices .

Categorías de sujetos de datos

Los datos personales del cliente se referirán a las siguientes categorías de interesados:

  • sujetos de datos sobre los cuales Google recopila datos personales en su provisión de los Servicios del procesador; y / o
  • sujetos de datos sobre los cuales los datos personales se transfieren a Google en relación con los Servicios del procesador por, bajo la dirección o en nombre del Cliente.

Dependiendo de la naturaleza de los Servicios del procesador, estos sujetos de datos pueden incluir individuos: (a) a quienes se ha dirigido, o se dirigirá, la publicidad en línea; (b) quienes han visitado sitios web o aplicaciones específicos respecto de los cuales Google proporciona los Servicios de procesador; y / o (c) que son clientes o usuarios de los productos o servicios del Cliente.

Apéndice 2: Medidas de seguridad

A partir de la Fecha de entrada en vigencia de los Términos, Google implementará y mantendrá las Medidas de seguridad establecidas en este Apéndice 2. Google puede actualizar o modificar dichas Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no den lugar a la degradación general seguridad de los servicios del procesador.

1.  Centro de datos y seguridad de red

(a)  Centros de datos.

Infraestructura. Google mantiene centros de datos distribuidos geográficamente. Google almacena todos los datos de producción en centros de datos físicamente seguros.

La redundancia. Los sistemas de infraestructura han sido diseñados para eliminar puntos únicos de falla y minimizar el impacto de los riesgos ambientales anticipados. Los circuitos duales, conmutadores, redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios de procesador están diseñados para permitir que Google realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupción. Todos los equipos e instalaciones ambientales tienen procedimientos de mantenimiento preventivo documentados que detallan el proceso y la frecuencia de rendimiento de acuerdo con las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo del equipo del centro de datos se programa a través de un proceso estándar de acuerdo con procedimientos documentados.

Poder. Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y mantenibles sin afectar las operaciones continuas, las 24 horas del día y los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de alimentación primaria y alternativa, cada una con la misma capacidad, para componentes de infraestructura críticos en el centro de datos. La energía de respaldo es proporcionada por varios mecanismos, como las baterías de suministro de energía ininterrumpible (UPS), que proporcionan protección de energía confiable y confiable durante caídas de tensión, apagones, sobrevoltaje, bajo voltaje y condiciones de frecuencia fuera de tolerancia. Si se interrumpe la energía del servicio público, la energía de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a plena capacidad, durante un máximo de 10 minutos hasta que los sistemas de generadores diesel se hagan cargo.

Sistemas operativos de servidor. Los servidores de Google utilizan sistemas operativos reforzados que están personalizados para las necesidades únicas de los servidores de la empresa. Los datos se almacenan utilizando algoritmos patentados para aumentar la seguridad y la redundancia de los datos. Google emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para proporcionar los Servicios de procesador y mejorar los productos de seguridad en entornos de producción.

Continuidad de negocios. Google replica datos en múltiples sistemas para ayudar a proteger contra la destrucción o pérdida accidental. Google ha diseñado y regularmente planifica y prueba sus programas de recuperación de desastres / planificación de continuidad del negocio.

(b)  Redes y transmisión.

Transmisión de datos. Los centros de datos generalmente están conectados a través de enlaces privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre centros de datos. Esto está diseñado para evitar que los datos se lean, copien, alteren o eliminen sin autorización durante la transferencia electrónica o el transporte o mientras se graban en medios de almacenamiento de datos. Google transfiere datos a través de protocolos estándar de Internet.

Superficie de ataque externo. Google emplea múltiples capas de dispositivos de red y detección de intrusos para proteger su superficie de ataque externo. Google considera posibles vectores de ataque e incorpora tecnologías apropiadas especialmente diseñadas en sistemas