Calendly LLC

Anexo sobre el tratamiento de datos del RGPD

En vigor desde el 25 de mayo de 2018

Este anexo sobre el tratamiento de datos del RGPD, al igual que las cláusulas contractuales tipo a las que se hace referencia en el presente documento ("ATD"), está fechado, y modifica y complementa cualquier contrato de servicios (el "Contrato") que exista y sea válido actualmente, y que haya sido celebrado previa o simultáneamente entre usted (junto con el o los subsidiarios y entidades afiliadas; colectivamente, el "Cliente") y Calendly LLC (junto con el o los subsidiarios y entidades afiliadas; colectivamente, el "Encargado del tratamiento"). Asimismo, presenta otras condiciones que se aplican en la medida en que la información que usted le proporciona al Encargado del tratamiento conforme al Contrato incluya datos personales (según se define a continuación).

Términos definidos

Los términos utilizados pero no definidos en este ATD, como "violación de la seguridad de los datos personales", "tratamiento", "responsable del tratamiento" o "controlador", "encargado del tratamiento" o "encargado", y "el interesado", tendrán el significado que se indica en el artículo 4 del RGPD. Además, en el anexo se utilizan las siguientes definiciones:

  1. "Leyes de protección de datos de la UE": todas las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo, sus Estados miembros, Suiza y el Reino Unido aplicables al tratamiento de los datos personales en el marco del Contrato, incluido (en los casos aplicables) el RGPD.
  2. "RGPD": Reglamento General de Protección de Datos (Reglamento [UE] 2016/679 del Parlamento Europeo y del Consejo Europeo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).
  3. "Datos personales": toda información sobre una persona física identificada o identificable situada en el Espacio Económico Europeo, Suiza y el Reino Unido. Se considerará persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente, en particular, mediante un identificador como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea, o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física.
  4. "Cláusulas contractuales tipo": las cláusulas modelo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países; la versión aprobada figura en la Decisión de la Comisión Europea 2010/87/UE del 5 de febrero de 2010 y en http://eur-lex.europa.eu/legal-content/es/TXT/?uri=CELEX%3A32010D0087, cuyas cláusulas se incorporan aquí mediante esta referencia.

Fecha de entrada en vigor

El presente ATD entrará en vigor a partir de (a) la entrada en vigor del RGPD o bien a partir de (b) la fecha en la que el encargado del tratamiento comience a tratar datos personales en nombre del Cliente, lo que más tarde ocurra.

Descripción del tratamiento de datos

El documento adjunto A de este ATD describe el exportador de datos, el importador de datos, los interesados, las categorías de datos, las categorías de datos especiales (si procede), las operaciones de tratamiento y las medidas técnicas y organizativas adoptadas por el encargado del tratamiento para proteger los datos personales. A efectos de las cláusulas contractuales tipo, (a) el Cliente es el exportador de datos, y la ejecución por parte del Cliente del presente ATD se tratará como la ejecución por parte del Cliente de las cláusulas contractuales tipo y de los apéndices del presente ATD, y (b) el encargado del tratamiento es el importador de datos, y la ejecución por parte del encargado del tratamiento del presente ATD se tratará como la ejecución por parte del encargado del tratamiento de las cláusulas contractuales tipo y de los apéndices del presente ATD.

Cláusulas contractuales del RGPD

Conforme a los artículos 28, 32 y 33 del RGPD:

  1. El Cliente le concede una autorización general al encargado del tratamiento para que nombre a sus afiliados como encargados secundarios, así como una autorización específica al encargado del tratamiento y a sus afiliados para nombrar encargados secundarios a terceros que ofrezcan garantías tecnológicas y organizativas razonables para proteger los datos personales. Para solicitar una lista de nuestros encargados secundarios o suscribirse a notificaciones por correo electrónico sobre nuestros encargados secundarios, envíenos un correo electrónico a security@calendly.com cuando lo desee. [Artículo 28(2)]
  2. El encargado del tratamiento [Artículo 28(3)]:
    1. tratará los datos personales únicamente siguiendo instrucciones documentadas del Cliente, salvo que esté obligado a ello en virtud del Derecho de la Unión Europea o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al Cliente de esa exigencia legal antes del tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
    2. garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
    3. tomará todas las medidas pertinentes y adecuadas requeridas por parte de los encargados del tratamiento de conformidad con el artículo 32 del RGPD;
    4. asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD. El encargado puede cobrar una tasa (basada en los costes razonables del encargado) por responder a solicitudes del interesado en el marco de la presente Sección 4(b)(iv);
    5. ayudará al Cliente a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32-36 del RGPD teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
    6. siguiendo las instrucciones del Cliente, suprimirá o devolverá todos los datos personales una vez que finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión Europea, de los Estados miembros o de Estados Unidos; teniendo en cuenta, no obstante, que el encargado puede guardar los datos personales durante cualquier plazo de prescripción aplicable para los fines de presentar y defender reclamaciones. El encargado puede cobrar una tasa (basada en los costes razonables del encargado) por cualquier eliminación de datos en el marco de la presente Sección 4(b)(vi);
    7. pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, como las inspecciones, por parte del Cliente e informar inmediatamente al Cliente si, en su opinión, hay alguna instrucción que infrinja el RGPD u otras disposiciones de protección de datos de la Unión Europea o de un Estado miembro. El Encargado puede cobrar una tasa (basada en los costes razonables del encargado) por cualquier auditoría en el marco de la presente Sección 4(b)(vii).
  3. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Cliente, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión Europea o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el presente ATD, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento cumpla con las disposiciones del RGPD. [Artículo 28(4)]
  4. Teniendo en cuenta el estado de la técnica, los costes y la naturaleza de la aplicación, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Cliente y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. [Artículo 32(1)]
  5. Al evaluar el nivel de seguridad apropiado, se tendrán en cuenta los riesgos que presente el tratamiento de datos, en particular, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. [Artículo 32(2)]
  6. El Cliente y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del Cliente o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo las instrucciones del Cliente, salvo que esté obligada a ello en virtud del Derecho de la Unión Europea o de los Estados miembros (o, en el caso del encargado, del Derecho de los Estados Unidos). [Artículo 32(4)]
  7. El encargado del tratamiento notificará sin dilación indebida al Cliente las violaciones de la seguridad de los datos personales de las que tenga conocimiento. [Artículo 33(2)] Esa notificación deberá, como mínimo: (A) describir la naturaleza de la violación de la seguridad de los datos personales y, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados; (B) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; (C) describir las posibles consecuencias de la violación de la seguridad de los datos personales, y (D) describir las medidas adoptadas o propuestas por el controlador para poner remedio a la violación de los datos personales, tales como, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. [Artículo 33(3)] La notificación o respuesta del encargado conforme a la presente Sección 4(g) no se interpretará como que el Encargado reconoce algún error o responsabilidad con respecto a dicha violación de la seguridad de los datos personales.

Transferencias internacionales

[Artículo 46]

  1. El Cliente reconoce y acepta que el encargado se encuentra en los Estados Unidos y que la entrega por parte del Cliente de los datos personales al encargado para su tratamiento constituye una transferencia de datos personales a los Estados Unidos.
  2. Todas las transferencias de datos personales del Cliente provenientes del Espacio Económico Europeo, Suiza y el Reino Unido a países que no garantizan un nivel adecuado de protección de los datos, tal y como la definen las leyes de protección de datos aplicables, se regirán por las cláusulas contractuales tipo. Las cláusulas contractuales tipo, así como los apéndices 1 y 2 de las cláusulas contractuales tipo presentados en el documento adjunto A de este anexo, se incorporan en este ATD mediante la presente referencia únicamente según sean necesarios cuando se trate de datos personales. La ejecución de este ATD por ambas partes incluye la ejecución de las cláusulas contractuales tipo con respecto al tratamiento de los datos personales.

Tratamiento por parte del controlador

El Cliente declara y garantiza que los datos personales entregados al encargado para su tratamiento conforme al Contrato y a este ATD han sido recogidos u obtenidos de forma válida por parte del Cliente mediante el cumplimiento de todos los reglamentos y leyes aplicables, como, por ejemplo, las normas de protección de datos de la UE, donde se incluye, entre otros, el capítulo II del RGPD.

Limitación de la responsabilidad

La responsabilidad de cada parte derivada del presente ATD o relacionada con él, ya sea en el marco de un contrato, agravio o cualquier otra teoría de responsabilidad, está sujeta a las limitaciones de responsabilidad contenidas en el Contrato. Para evitar las dudas, todas las referencias que aquí se hagan al "ATD" se refieren al presente ATD, así como a sus documentos adjuntos y apéndices.

Modificación

En la medida en que cualquier autoridad de protección de datos determine que el Contrato o el presente ATD son insuficientes para cumplir con las normas de protección de datos de la UE aplicables, o en la medida en que los cambios producidos en las normas de protección de datos aplicables tengan otros requerimientos, el Cliente y el encargado acuerdan cooperar de buena fe para modificar el Contrato o el presente ATD, o firmar otros contratos relativos al tratamiento de datos que sean mutuamente aceptables en un esfuerzo por cumplir con las normas de protección de datos de la UE aplicables al encargado y al Cliente.

General

El presente ATD se entiende sin perjuicio de los derechos y obligaciones de las partes en el marco del Contrato, que seguirá teniendo plena validez y efecto. En caso de que las condiciones de este ATD y las condiciones del Contrato entren en conflicto, las condiciones del presente ATD prevalecerán únicamente en la medida en que el asunto concierna al tratamiento de datos personales. Este ATD no confiere ningún derecho de beneficiario a terceros, tiene por finalidad el beneficio exclusivo de las partes y sus respectivos sucesores y cesionarios permitidos, y no es para el beneficio de ninguna otra persona, ni puede otra persona hacer cumplir ninguna de las disposiciones del presente. Este ATD solo se aplica en la medida en que el encargado trata los datos personales en nombre del Cliente. Excepto en los casos contemplados por el RGPD, este ATD, y cualquier acción relacionada con el mismo, se regirá e interpretará de conformidad con las leyes del Estado de Georgia, sin que sean de aplicación los principios reguladores de los conflictos de leyes. Excepto en las disputas sujetas a arbitraje, según se describe en el Contrato, cuyas disposiciones se incorporan en el presente documento mediante esta referencia, las partes aceptan la jurisdicción personal y la competencia de los tribunales de Atlanta, Georgia. Este ATD, junto con el Contrato, constituye el contrato final, completo y exclusivo de las partes con respecto al objeto del presente documento, y reemplaza y unifica todos los debates y acuerdos anteriores entre las partes en relación con dicho asunto.

Anexo sobre el tratamiento de datos

Documento adjunto A: Apéndices de las cláusulas contractuales tipo

Apéndice 1 de las cláusulas contractuales tipo

Este apéndice forma parte de las cláusulas contractuales tipo

Los Estados miembros pueden completar o especificar, según sus procedimientos nacionales, cualquier información adicional que deba figurar en este apéndice.

Exportador de datos

El exportador de datos es (especifique brevemente sus actividades relevantes en relación con la transferencia):

El exportador de datos es el Cliente, un usuario de los servicios prestados por el encargado del tratamiento, la entidad que ha formalizado el Contrato y ha aceptado las cláusulas contractuales tipo como exportador de datos.

Importador de datos

El importador de datos es (especifique brevemente las actividades relevantes en relación con la transferencia):

Calendly LLC, proveedor global de una plataforma que facilita la programación de reuniones y que trata datos personales según las instrucciones del exportador de datos de acuerdo con las condiciones del Contrato y el ATD.

Interesados

Los datos personales transferidos conciernen a las siguientes categorías de interesados (especifíquese):

El exportador de datos puede enviar datos personales a Calendly LLC, así como determinar y controlar el alcance de los mismos su entera discreción. Dichos datos pueden ser, entre otros, datos personales relativos a las siguientes categorías de interesados: representantes y usuarios finales del exportador de datos, como los empleados, proveedores, socios comerciales, colaboradores y clientes del exportador de datos. Los interesados también pueden ser personas que intentan comunicar o transferir datos personales a los usuarios de los servicios prestados por Calendly LLC.

Categorías de datos

Los datos personales transferidos conciernen a las siguientes categorías de datos (especifíquese):

El exportador de datos puede enviar datos personales a Calendly LLC, así como determinar y controlar el alcance de los mismos a su entera discreción. Dichos datos pueden incluir, entre otras, las siguientes categorías de datos personales: (a) nombre y apellidos; (b) título; (c) puesto; (d) empleador; (e) información de contacto (empresa, correo electrónico, teléfono, dirección física de la empresa); (f) datos de conexión; (g) datos de localización, y (h) otros datos en formato electrónico utilizados por el Cliente en el marco de los servicios.

Categorías de datos especiales (si procede)

Los datos personales transferidos conciernen a las siguientes categorías de datos especiales (especifíquese):

Ninguno

Operaciones de tratamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades de tratamiento (especifíquese):

El objetivo del tratamiento de los datos personales por parte del importador de datos es la prestación de los servicios contractuales relacionados con el Contrato formalizado con el exportador de datos. Los procesos pueden incluir la recopilación, almacenamiento, recuperación, consulta, uso, eliminación o destrucción, revelación por transmisión, difusión o cualquier otra forma de habilitación de acceso a los datos del exportador de datos según sea necesario para prestar los servicios de acuerdo con las instrucciones del exportador de datos y los fines internos relacionados (tales como el control de calidad, la resolución de problemas, el desarrollo de productos, etc.).

Apéndice 2 de las cláusulas contractuales tipo

Este apéndice forma parte de las cláusulas contractuales tipo.

Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidad con la sección d) de la cláusula 4 y la sección c) de la cláusula 5 (o documento/legislación adjunto):

El encargado mantendrá las garantías administrativas, físicas y técnicas razonables para la protección de la seguridad, la confidencialidad y la integridad de los datos personales transferidos al encargado tal y como se describe en el Contrato y en la política de privacidad del encargado, que está disponible en https://calendly.com/pages/privacy.