Strada nombra a Colin Brennan como nuevo director general

Términos del DPA de Strada

Fecha de entrada en vigor: 15 de julio de 2024

Este Anexo de Protección de Datos (este “DPA“) está sujeto al acuerdo de servicios subyacente entre Strada y el Cliente (el “Acuerdo de Servicios“), en virtud del cual Strada puede estar obligada a procesar Datos personales (como se define a continuación).

Sección 1 – Definiciones.

Los términos en mayúsculas utilizados pero no definidos de otra manera en este documento tendrán los significados atribuidos a los mismos en el Acuerdo de Servicios.
A menos que el contexto expreso requiera lo contrario, cualquier referencia al Acuerdo de Servicios incluye cualquier formulario de pedido, declaración de trabajo u otro documento de pedido celebrado en virtud del mismo.

1.1.Leyes de Protección de Datos” se refiere a todas las leyes y regulaciones aplicables en materia de privacidad, seguridad o protección de datos, incluidos, según corresponda, el Reglamento General de Protección de Datos de la UE 2016/679 (“GDPR”), la Ley de Privacidad del Consumidor de California de 2018 (“CCPA”), la Ley de Derechos de Privacidad de California de 2020 (“CPRA”), la Ley Gramm-Leach-Bliley (“GLBA”), la Ley de Protección de Datos del Reino Unido de 2018 o el GDPR del Reino Unido, según se modifiquen, deroguen o sustituyan.

1.2.Sujeto de datos” significa, con respecto a cualquier dato personal, una persona física identificada o identificable.

1.3.Datos personales” se refiere a cualquier información procesada por o en nombre de Strada para el Cliente en relación con el Acuerdo de Servicios que
(a) se refiera a un Sujeto de datos, que pueda ser identificado, directa o indirectamente, a partir de dicha información sola o en combinación con otra información procesada por o en nombre de Strada, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la física, identidad fisiológica, genética, mental, económica, cultural o social de esa persona física o
(b) está protegido por las Leyes de Protección de Datos.
Los datos personales incluyen cualquier otra información que constituya “datos personales”, “información personal”, “información de identificación personal” o términos similares en virtud de las leyes de protección de datos aplicables.

1.4.Procesamiento” o “Proceso(s)” significa
(a) cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, incluida la recopilación, almacenamiento, adaptación o alteración, recuperación, uso, divulgación, borrado o destrucción, y
(b) cualquier otra actividad que implique Datos Personales incluida en la definición de “tratamiento” en virtud de las Leyes de Protección de Datos.

1.5.Cláusulas contractuales tipo” o “CCT“: las cláusulas contractuales tipo para la transferencia de datos personales desde la Unión Europea (“UE”) o el Espacio Económico Europeo (“EEE“) a terceros países anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, o cualquier documento o mecanismo de transferencia sucesor.

1.6.Subprocesador” se refiere a cualquier persona (que no sea un empleado), incluidas las filiales de Strada, designada por Strada o en su nombre para procesar Datos personales en nombre del Cliente.

1.7.IDTA del Reino Unido” se refiere al Anexo de Transferencia Internacional de Datos a las CCT, versión B1.0, aprobado por el Parlamento del Reino Unido (“UK”) el 21 de marzo de 2022, emitido en virtud de la Sección 119A de la Ley de Protección de Datos de 2018 para cumplir con el Artículo 46 del GDPR del Reino Unido al realizar transferencias restringidas, o cualquier documento o mecanismo de transferencia sucesor.

Sección 2.
Tratamiento de datos personales.

2.1.
Instructions; Limits on Use. Por la presente, el Cliente (como controlador) designa e instruye a Strada (como procesador) para que procese los Datos personales con el fin de prestar los Servicios y cumplir con cualquiera de sus obligaciones o hacer valer cualquiera de sus derechos en virtud del Acuerdo de Servicios y este DPA, cumpliendo con la ley aplicable y cumpliendo con cualquier otra instrucción proporcionada por o en nombre del Cliente (el “Propósito”).
Strada solo retendrá, utilizará, divulgará o procesará de otro modo los Datos personales para este fin.
El Cliente es responsable de proporcionar a Strada cualquier información relevante necesaria para llevar a cabo el Propósito y se asegurará de que sus instrucciones a Strada cumplan con las Leyes de Protección de Datos.
Strada notificará inmediatamente al Cliente si, en su opinión, una instrucción proporcionada por o en nombre del Cliente está en conflicto con cualquier Ley de Protección de Datos; siempre que Strada no tenga ninguna responsabilidad de buscar o descubrir dichos conflictos o de garantizar de otro modo que dichos conflictos no existan.
En caso de que Strada notifique al Cliente de cualquier conflicto de este tipo, Strada puede suspender la ejecución de la instrucción aplicable en la medida necesaria para evitar dicho conflicto mientras las Partes cooperan de buena fe para resolver dicho asunto de manera oportuna.

2.2.
Limits on Disclosure. Strada no divulgará ningún dato personal a ningún tercero, excepto en la medida en que sea necesario para cumplir con el propósito y de acuerdo con este DPA.
El Cliente solo revelará Datos personales a Strada en la medida en que Strada lo solicite o según sea necesario para el Propósito.
El Cliente no divulgará ni compartirá Datos Personales con Strada, excepto en el formato y la manera estándar y acordados.

2.3.
Compliance with Data Protection Laws. Cada Parte cumplirá con sus obligaciones en virtud de las Leyes de Protección de Datos.
Strada proporcionará asistencia razonable al Cliente en el cumplimiento de sus obligaciones en virtud de las Leyes de Protección de Datos en relación con el Tratamiento de Datos Personales, teniendo en cuenta la naturaleza del Tratamiento de Strada y la información disponible para Strada.
Strada notificará al Cliente si cree razonablemente que no puede cumplir con sus obligaciones en virtud de este DPA o de las Leyes de Protección de Datos aplicables, en cuyo caso las Partes cooperarán de buena fe para identificar las medidas adecuadas para abordar la situación.

2.4.
Supervisory Authority Requests .
If Client receives a request for information from a competent supervisory authority in relation to Processing of Personal Data by Strada (including details regarding the Purpose), Strada shall provide reasonable assistance to Client in responding to such request to the extent Client does not otherwise have access to such information, and taking into account the nature of the Processing and information available to Strada.

2.5.
Data Protection Impact Assessment and Prior Consultation .
Strada shall provide reasonable assistance to Client with any data protection impact assessments, and prior consultations with supervising authorities or other competent data privacy authorities, which Client reasonably considers to be required by the Data Protection Laws, in each case solely in relation to Processing of Personal Data by, and taking into account the nature of the Processing and information available to, Strada.

2.6.
Data Subject Rights. Strada notificará de inmediato al Cliente si recibe cualquier solicitud de un Sujeto de Datos que haga valer derechos en virtud de las Leyes de Protección de Datos con respecto a sus Datos Personales.
Strada no responderá a ninguna solicitud de este tipo, excepto según las instrucciones escritas (incluido el correo electrónico) del Cliente o según lo exijan las Leyes de Protección de Datos, en cuyo caso Strada, en la medida en que lo permitan dichas Leyes de Protección de Datos, informará al Cliente de dicho requisito antes de dicha respuesta.
Strada proporcionará al Cliente asistencia razonable en sus esfuerzos por cumplir con sus obligaciones de responder a dichas solicitudes, lo que incluye proporcionar acceso o información sobre los Datos personales relevantes, eliminarlos o modificarlos, en cada caso, en la medida en que lo requieran las Leyes de Protección de Datos y de acuerdo con ellas.
Si Strada no puede proporcionar dicha asistencia por las razones permitidas por las Leyes de Protección de Datos, Strada notificará de inmediato al Cliente de tal hecho y proporcionará dicha asistencia de inmediato después de que hayan expirado las razones para no hacerlo.

2.7.
Return and Destruction. Previa solicitud por escrito del Cliente, o tras la rescisión o vencimiento del Acuerdo de Servicios, Strada deberá, y exigirá a sus Subprocesadores que:
(a) devolver una copia de los Datos Personales al Cliente mediante transferencia segura de archivos en el formato habitual de Strada, y
(b) eliminar o hacer permanentemente anónimas todas las demás copias de los Datos Personales.
Strada cumplirá con cualquier solicitud por escrito dentro de los 20 días hábiles.
Strada y sus Subprocesadores pueden retener Datos personales según sea necesario para cumplir con el Propósito y cumplir con la ley aplicable, en cuyo caso los términos de este DPA continuarán aplicándose a dichos Datos personales durante el tiempo que se conserven.

2.8.
Recordkeeping. Strada mantendrá registros precisos y actualizados con respecto a cualquier Procesamiento de Datos Personales, incluyendo
(a) registros relacionados con el acceso y la seguridad de los Datos Personales, los fines y categorías del Procesamiento de los Datos Personales y sus Subprocesadores y
(b) cualquier otro registro según lo exijan las Leyes de Protección de Datos.
Este DPA sirve como registro de las actividades de tratamiento, tal y como se exige en el artículo 30, apartado 2, del RGPD.

2.9.
Employees. Solo los empleados de Strada que requieran dicho acceso para ayudar a Strada en relación con el Propósito, solo podrán acceder a los Datos personales.
A menos que las leyes locales aplicables restrinjan lo contrario, Strada requiere que todos los nuevos empleados estén sujetos a una verificación exhaustiva de antecedentes previa al empleo de acuerdo con las leyes y costumbres locales.
Strada requiere que todos los nuevos empleados firmen acuerdos que incluyan cláusulas de no divulgación/confidencialidad.
Strada proporciona a los empleados formación periódica sobre seguridad y privacidad de los datos.

2.10.
Subprocessors. Por lo general, el Cliente autoriza a Strada a designar Subprocesadores para respaldar el rendimiento de los Servicios.
Strada enumerará a sus Subprocesadores en el formulario de pedido, declaración de trabajo, orden de cambio u otro documento que describa de manera más completa los Servicios aplicables.
Solo en la medida en que sea necesario para cumplir con las Leyes de Protección de Datos, el Cliente tendrá derecho a oponerse a cualquier cambio dentro de los 10 días hábiles posteriores a dicha notificación; siempre que el Cliente solo pueda oponerse sobre la base de preocupaciones razonables de que el Subprocesador nuevo o de reemplazo no es capaz de proporcionar el nivel de protección de Datos personales requerido por este DPA.
Si el Cliente no se opone a la cita dentro de dicho período de tiempo, Strada puede contratar al Subprocesador nuevo o de reemplazo para Procesar los Datos Personales.
Si el Cliente se opone a la cita dentro de dicho período de tiempo, Strada puede optar por
(a) no utilizar dicho Subprocesador o
(b) tomar las medidas correctivas solicitadas por el Cliente en su objeción y utilizar el Subprocesador.
Strada trabajará con el Cliente de buena fe para poner a disposición materiales que evidencien la capacidad de cualquier Subprocesador para proporcionar el nivel de protección de Datos personales requerido por este DPA.
Strada seguirá siendo responsable del uso, la divulgación u otro procesamiento de datos personales por parte de cualquiera de sus subprocesadores en la misma medida que si dicho uso, divulgación u otro procesamiento hubiera sido realizado por Strada.
Antes de que cualquier Subprocesador Procese Datos Personales, Strada llevará a cabo la debida diligencia adecuada para determinar que dicho Subprocesador es capaz de proporcionar el nivel de protección de Datos Personales requerido por este DPA.
El acuerdo entre Strada y cada Subprocesador se regirá por un contrato escrito que contenga requisitos que sean consistentes y no menos estrictos que los que se aplican a Strada en virtud de este DPA.
Strada declara que mantiene un programa de seguridad del proveedor que evalúa el cumplimiento de dichos contratos por parte de los subprocesadores.
Previa solicitud por escrito del Cliente, Strada pondrá a disposición del Cliente un resumen de los términos de protección de datos del Subprocesador (redactado, si es necesario, para proteger cualquier información confidencial).

2.11 Acceso gubernamental. Si se solicita o requiere que Strada o cualquiera de sus representantes divulgue a una autoridad gubernamental (incluidas las fuerzas del orden) o que procese cualquier Dato personal por ley o proceso legal fuera del Propósito definido, entonces Strada (si lo permite la ley) impugnará de inmediato y razonable dicha solicitud, notificará al Cliente y cooperará razonablemente (a expensas del Cliente) en los esfuerzos del Cliente para obtener una orden de protección adecuada u otro recurso.
Strada revelará a la autoridad gubernamental pertinente que Strada es una
(i) procesador de los Datos Personales, que
(ii) El Cliente no ha autorizado dicha divulgación y que
(iii) todas y cada una de las solicitudes o demandas de acceso a los Datos Personales deben ser notificadas o notificadas al Cliente.
No obstante lo anterior, el Cliente reconoce que dicha impugnación puede no ser siempre razonable o posible a la luz de la naturaleza, el alcance, el contexto y los propósitos de la solicitud de autoridad gubernamental prevista.
En ningún caso Strada divulgará más Datos personales de los necesarios para cumplir con la solicitud de divulgación.

Sección 3.
Medidas técnicas y organizativas.

Strada implementará y mantendrá medidas físicas, técnicas, organizativas y administrativas apropiadas razonablemente diseñadas para proteger contra la destrucción, pérdida, acceso o alteración no autorizados de los Datos personales, incluidas las medidas enumeradas en el Anexo A adjunto al presente documento e incorporadas al presente.
Las medidas implementadas por Strada para proteger los Datos Personales deberán ser coherentes y no menos estrictas que las requeridas por las Leyes de Protección de Datos.
Strada implementará y mantendrá políticas escritas de privacidad y seguridad de la información consistentes con los estándares de la industria.

Sección 4.
Notificación y respuesta a incidentes de seguridad de datos.

4.1. Strada notificará al Cliente sin demora indebida y de acuerdo con los requisitos de las Leyes de Protección de Datos aplicables de cualquier violación de seguridad confirmada o razonablemente sospechada por parte de Strada o cualquiera de sus Subprocesadores que conduzca al acceso ilegal o no autorizado, alteración, destrucción, divulgación o pérdida de Datos Personales (un “Incidente de Seguridad de Datos”).

4.2. En caso de que se produzca un incidente de seguridad de los datos, Strada tomará las medidas razonables y apropiadas para
(a) investigar el impacto de dicho Incidente de Seguridad de Datos,
(b) identificar la causa raíz de dicho Incidente de Seguridad de Datos,
(c) subsanar el Incidente de Seguridad de los Datos, y
(d) evitar que se repita dicho Incidente de Seguridad de Datos.

4.3. Strada proporcionará al Cliente, sin demora indebida, información sobre la naturaleza y las consecuencias del Incidente de Seguridad de Datos, en la medida en que Strada tenga conocimiento, incluida cualquier información necesaria para permitir que el Cliente notifique a las partes pertinentes de acuerdo con las Leyes de Protección de Datos.
Strada no notificará a ningún tercero sin la instrucción previa del Cliente de hacerlo por escrito o cuando lo exija la ley.

Sección 5.
Auditorías.

5.1 El Cliente podrá, a su cargo y previa notificación a Strada con una antelación razonable, auditar los libros, registros y otros documentos de Strada en la medida necesaria para verificar el cumplimiento de Strada con los términos de este DPA; siempre que el Cliente no pueda ejercer sus derechos de auditoría en virtud del presente más de una vez en un período de 12 meses (a menos que la ley exija lo contrario o en relación con cualquier auditoría iniciada por una entidad gubernamental que tenga jurisdicción sobre el Cliente).
Cada una de estas auditorías se llevará a cabo durante el horario comercial normal y no interferirá de manera irrazonable con las operaciones comerciales normales de Strada, y Strada no estará obligada a divulgar o proporcionar acceso a ninguna información cuya divulgación haga que Strada viole cualquier obligación de confidencialidad o ley aplicable.
El Cliente puede contratar a un tercero para llevar a cabo dicha auditoría, siempre y cuando dicho tercero no sea un competidor de Strada y celebre un acuerdo de confidencialidad razonablemente aceptable para Strada.
Las auditorías en virtud de este DPA estarán sujetas a los términos y condiciones adicionales con respecto a las auditorías en el Acuerdo de Servicios.

5.2 Cuando Strada demuestre el cumplimiento de las certificaciones reconocidas por la industria o del código de conducta aprobado (como la ISO 27001, el Código de Conducta de la Nube de la UE o el informe de auditoría SOC 2 Tipo 2), el Cliente solo podrá auditar áreas que no estén incluidas en estas certificaciones o en el código de conducta aprobado.

Sección 6.
CCPA/CPRA.

Esta sección se aplicará a cualquier dato personal que se rija por la CCPA/CPRA.

6.1. El Cliente declara y garantiza a Strada que cualquier Dato Personal divulgado por o en nombre del Cliente en virtud del presente se proporciona únicamente para el Propósito, que es un “Propósito comercial” (según se define en CCPA/CPRA).

6.2. Strada solo conservará, utilizará y divulgará Datos personales para el Propósito y no para ningún otro propósito comercial o de otro modo fuera de la relación entre Strada y el Cliente.
Strada no venderá, compartirá ni mezclará datos personales a menos que la CCPA/CPRA lo permita expresamente.
Strada cumplirá con sus obligaciones en virtud de la CCPA/CPRA.
Strada notificará de inmediato al Cliente si ya no puede cumplir con sus obligaciones en virtud de la CCPA/CPRA.

6.3. Strada reconoce y acepta que el Cliente tendrá derecho a tomar medidas razonables y apropiadas para
(a) garantizar que Strada utilice los Datos personales de manera coherente con las obligaciones del Cliente en virtud de la CCPA/CPRA, y
(b) detener y remediar el uso no autorizado de los Datos personales.

6.4. El Cliente deberá informar de inmediato a Strada de cualquier solicitud del consumidor realizada de conformidad con la CCPA/CPRA que Strada deba cumplir, y proporcionar la información necesaria para que Strada cumpla con dicha solicitud.

Sección 7.
Detalles del procesamiento.

Cierta información sobre el tratamiento de datos personales por parte de Strada exigido por el artículo 28(3) del RGPD se establece en el Anexo B adjunto al presente documento y se incorpora al presente.
El Cliente puede realizar modificaciones razonables al Anexo B mediante notificación a Strada de vez en cuando, según lo considere razonablemente necesario para cumplir con dichos requisitos.
Nada en el Anexo B confiere ningún derecho ni impone ninguna obligación a ninguna de las Partes.

Sección 8.
Transferencias transfronterizas.

8.1.
General. Ninguna de las Partes transferirá Datos Personales a través de las fronteras a menos que dicha transferencia cumpla con las Leyes de Protección de Datos.
Las Partes cooperarán razonablemente según sea necesario para determinar si cualquier transferencia transfronteriza de Datos Personales entre el Cliente y Strada en relación con el Propósito cumple con las Leyes de Protección de Datos.

8.2.
SCCs. Si alguna transferencia de Datos Personales entre el Cliente y Strada requiere la ejecución de las CCT para cumplir con las Leyes de Protección de Datos, el Cliente, como controlador y exportador de datos, y Strada, como procesador e importador de datos, por la presente celebran (e incorporan aquí por referencia) las CCT vigentes a partir del inicio de dicha transferencia.
Las Partes utilizarán el Módulo II (De responsable a encargado del tratamiento) de las CCT, que se cumplimentará de la siguiente manera:

8.2.1. Cláusula 7: Se aplicará la cláusula de acoplamiento facultativo.

8.2.2. Cláusula 9: Se aplicará la opción 2 y el período de tiempo para la notificación de cambios en el Subprocesador será el acordado en este DPA.

8.2.3. Cláusula 11(a): No se aplicará el idioma opcional.

8.2.4. Cláusula 13 y Anexo I.C.: La autoridad supervisora de la República de Irlanda será la autoridad supervisora competente.

8.2.5. Cláusula 17: Se aplicará la opción 1 y la ley aplicable será la legislación de la República de Irlanda.

8.2.6. Cláusula 18(b): Las disputas serán resueltas por los tribunales de la República de Irlanda.

8.2.7. Anexo I:
(a) la Lista de Partes será la establecida en el Acuerdo de Servicios y cualquier formulario de pedido aplicable, declaración de trabajo, orden de cambio u otro documento que describa de manera más completa los Servicios aplicables;
(b) las Descripciones de la Transferencia serán las establecidas en el Anexo B (Detalles del Procesamiento); y (c) la Autoridad de Supervisión Competente será la establecida anteriormente.

8.2.8. Anexo II: las Medidas Técnicas y Organizativas serán las establecidas en el Anexo A (Medidas Técnicas y Organizativas), que son sustancialmente las mismas para Strada y sus Subprocesadores.

8.2.9. Anexo III: la Lista de Subprocesadores se mantendrá de acuerdo con la Sección 2.10 (Subprocesadores).

8.2.10. Las Partes podrán complementar los Anexos de las CCT en cualquier formulario de pedido, declaración de trabajo, orden de cambio u otro documento que describa de manera más completa los Servicios aplicables, que se considerarán incorporados al presente documento por referencia con respecto a dichos Servicios.
En caso de conflicto o incoherencia entre este DPA o cualquier documento complementario, por un lado, y las CCT, por el otro, las CCT prevalecerán en la medida en que lo exijan las Leyes de Protección de Datos.
Sin perjuicio de cualquier disposición en contrario en el presente documento, en ningún caso este DPA o cualquier documento complementario perjudicará, directa o indirectamente, los derechos de los interesados en virtud de las Leyes de Protección de Datos.

8.3.
UK IDTA .
If any transfer of Personal Data between Client and Strada requires execution of the UK IDTA in order to comply with Data Protection Laws, Client, as controller and data exporter, and Strada, as processor and data importer, hereby enter into (and incorporate herein by reference) the UK IDTA effective as of the commencement of such transfer.
The UK IDTA shall be populated as follows:

8.3.1. Parte 1, Tabla 1 (Partes): Las partes serán las establecidas en el Acuerdo de Servicios y cualquier formulario de pedido, declaración de trabajo, orden de cambio u otro documento aplicable que describa de manera más completa los Servicios aplicables.

8.3.2. Parte 1, Tabla 2 (SCC seleccionadas, módulos y cláusulas seleccionadas): La IDTA del Reino Unido se agregará a las SCC como se establece en la Sección 8.2 (SCC).

8.3.3. Parte 1, Tabla 3 (Información del Apéndice): La información del apéndice será la establecida en la Sección 8.2 (SCC).

8.3.4. Parte 1, Tabla 4 (Finalización de este Anexo cuando cambia el Anexo Aprobado): Ninguna de las Partes podrá poner fin a la IDTA del Reino Unido como se establece en la Sección 19 del mismo.

8.4.
Swiss Data Protection Act .
The SCCs, as set forth in Section 8.2 (SCCs), shall apply to any cross-border transfers of Personal Data governed by the Swiss Data Protection Act, with the following modifications:

8.4.1. Cualquier referencia en las CCT al “Reglamento (UE) 2016/679” se interpretará como referencias a la Ley de Protección de Datos suiza, y cualquier referencia en las CCT a artículos específicos del “Reglamento (UE) 2016/679” se sustituirá por el artículo o sección equivalente de la Ley de Protección de Datos suiza.

8.4.2. Cualquier referencia en las CCT a “UE”, “Unión”, “Estado miembro” o “Derecho de los Estados miembros” se interpretará como referencias a Suiza y a las leyes de Suiza, según sea el caso, y no se interpretará de tal manera que excluya a los Interesados en Suiza de ejercer sus derechos en su lugar de residencia habitual de conformidad con la Cláusula 18(c) de las CCT.
En cumplimiento de lo anterior, la Cláusula 17 de las CCT se modificará para establecer que la ley aplicable será la ley de Suiza.

8.4.3. Cualquier referencia en las CCT a la “autoridad supervisora competente” o a los “tribunales competentes” se interpretará como referencias al Comisionado Federal de Protección de Datos e Información de Suiza (el “FDPIC suizo“) y los tribunales de Suiza, según sea el caso. En cumplimiento de lo anterior, (a) la Cláusula 13 y el Anexo I.C. de las CCT se modificarán para establecer que la FDPIC suiza tendrá autoridad sobre las transferencias de datos regidas por la Ley de Protección de Datos de Suiza (se acuerda que la autoridad sobre las transferencias de datos no regidas por la Ley de Protección de Datos de Suiza se establecerá de otro modo en este DPA) y (b) la Cláusula 18(b) de las CCT se modificará para establecer que: las disputas serán resueltas por los tribunales de Suiza.

Sección 9.
Clientes Afiliados.

Los términos de este DPA se aplicarán por igual a cualquier Dato Personal Procesado por o en nombre de Strada para cualquier Afiliado del Cliente.
El Cliente declara y garantiza que está y estará autorizado en todo momento relevante para suscribir este DPA y cumplir con todas sus obligaciones en virtud del presente en nombre de cada uno de los afiliados del Cliente.
El Cliente será responsable en todo momento del cumplimiento de este DPA por parte de los afiliados del Cliente y todos los actos y omisiones de los afiliados del Cliente que reciben Servicios en virtud del Acuerdo de Servicios se consideran actos y omisiones del Cliente.

Sección 10.
Obligaciones del cliente.

Si el Cliente ordena a Strada que proporcione Datos Personales a cualquier proveedor del Cliente u otro representante (que no sea Strada), el Cliente será responsable de los actos y omisiones de dicho proveedor u otro representante con respecto a los mismos.
El Cliente será responsable de mantener todos los derechos (incluida la base legal legal), obtener todas las licencias, autorizaciones, aprobaciones y consentimientos y proporcionar todos los avisos, en cada caso, necesarios para que Strada procese los Datos personales para el Propósito.
El Cliente sigue siendo responsable de garantizar que su retención, uso, divulgación u otro Procesamiento de Datos Personales cumpla con sus políticas y prácticas y las leyes aplicables a los mismos.

Sección 11.
Término; Efecto de la rescisión.

El plazo de este DPA comenzará en la fecha de entrada en vigor del Acuerdo de Servicios y continuará mientras el Acuerdo de Servicios permanezca en vigor o Strada o cualquiera de sus Subprocesadores conserve cualquier Dato personal.
Los derechos y obligaciones de las Partes que, por su naturaleza, deban sobrevivir a la rescisión o vencimiento de este DPA, sobrevivirán a dicha terminación o vencimiento.

Sección 12.
Misceláneo.

12.1.
Entire Agreement. Este DPA se considerará incorporado y parte del Acuerdo de Servicios.
Este DPA, junto con el Acuerdo de Servicios, constituye el acuerdo único y completo de las Partes con respecto al objeto del mismo y del mismo, y sustituye a todos los entendimientos, acuerdos, representaciones y garantías anteriores y contemporáneos, tanto escritos como orales, con respecto a dicho objeto.
Para evitar dudas, todas las reclamaciones y responsabilidades que surjan de este DPA o estén relacionadas con él se presentarán y estarán sujetas a los términos del Acuerdo de Servicios, incluidas las disposiciones del mismo relativas a la indemnización, la limitación de responsabilidad, la resolución de disputas, la elección de ley o la elección de foro.

12.2.
Severability. Si un tribunal de jurisdicción competente considera que alguna disposición de este DPA, o la aplicación de la misma a cualquier persona, lugar o circunstancia, es inválida, nula o inaplicable, el resto de este DPA y la disposición que se aplique a otras personas, lugares o circunstancias permanecerán en pleno vigor y efecto y tal vez inválido, La disposición nula o inaplicable se aplicará en la mayor medida permitida por la ley.

12.3.
Amendment; Waiver. Las Partes acuerdan tomar las medidas razonables que sean necesarias para modificar este DPA de vez en cuando, según sea necesario para que las Partes cumplan con las Leyes de Protección de Datos.
Este DPA no puede ser enmendado o modificado de otro modo a menos que dicha enmienda o modificación se establezca por escrito, se identifique como enmienda o modificación de este DPA y esté firmada por un representante autorizado de cada una de las Partes.
No se podrá renunciar a ninguna disposición de este DPA a menos que dicha renuncia se establezca por escrito, se identifique como una renuncia a este DPA y esté firmada por un representante autorizado de la Parte que renuncia.
Salvo que se disponga lo contrario en este DPA, ningún incumplimiento o retraso por parte de una Parte en el ejercicio de cualquier derecho en virtud de este DPA operará como una renuncia al mismo, ni el ejercicio único o parcial del mismo impedirá cualquier otro ejercicio o ejercicio posterior del mismo o el ejercicio de cualquier otro derecho.

12.4.
No Third Party Beneficiaries. Este DPA será vinculante y redundará en beneficio de las Partes y sus respectivos sucesores y cesionarios permitidos, y nada de lo contenido en este documento, expresa o implícito, tiene la intención de conferir o conferirá a cualquier otra persona ningún derecho, beneficio o recurso legal o equitativo de ninguna naturaleza en virtud de este DPA o en razón de este.

12.5.
Relationship of the Parties. La relación entre las Partes es la de contratistas independientes y este DPA no establecerá ninguna relación de agencia, sociedad, empresa conjunta, fiduciaria, franquicia o empleo entre las Partes (o entre una Parte y un representante de la otra Parte).
Ninguna de las Partes, en virtud de este DPA, tendrá ningún derecho, poder o autoridad, expresa o implícita, para obligar a la otra Parte.

12.6.
Force Majeure; Excused Performance. Sin perjuicio de cualquier disposición en contrario en este DPA, Strada no será responsable de, ni se considerará que incumple este DPA como resultado de, cualquier incumplimiento de sus obligaciones en virtud del presente o cualquier otro acto u omisión atribuible a
(a) cualquier incumplimiento por parte del Cliente de sus obligaciones en virtud del presente documento o de las Leyes de Protección de Datos,
(b) cualquier acto u omisión de cualquier proveedor u otro representante del Cliente (que no sea Strada y sus Subprocesadores) o
(c) cualquier caso fortuito u otro acto o circunstancia más allá del control razonable de Strada; siempre que nada en esta Sección limite o afecte de otro modo la obligación de Strada de ejecutar su programa de continuidad del negocio y recuperación ante desastres.
Cada una de las Partes hará todos los esfuerzos comercialmente razonables para mitigar los efectos de cualquiera de las circunstancias anteriores.

12.7.
Interpretation. Cualquier ambigüedad en este DPA se resolverá a favor de un significado que permita a ambas Partes cumplir con las Leyes de Protección de Datos.
A menos que el contexto expreso requiera lo contrario, las palabras “del presente”, “en el presente”, “en virtud del presente” y palabras de significado similar se refieren a este DPA en su conjunto y no a ninguna disposición particular de este DPA, las referencias a una sección específica se refieren a las secciones de este DPA a menos que se disponga expresamente lo contrario y las palabras “incluir”, “incluido” y palabras de significado similar se considerarán seguidas por las palabras “sin limitación”.
Los subtítulos o encabezados de este DPA son solo por conveniencia y no se considerarán parte de la construcción o interpretación de ninguna disposición de este DPA ni afectarán su interpretación.

12.9 Información de contacto comercial.
Strada y el Cliente pueden procesar la información de contacto comercial de la otra Parte, que incluye Datos personales como el nombre y la dirección de correo electrónico comercial de una persona, para contactar, identificar o autenticar a una persona a título profesional o comercial.
Este Procesamiento se lleva a cabo como controladores independientes, ya sea que hagan negocios para entregar y recibir los Servicios.
Cada una de las Partes ha implementado y sigue las medidas técnicas y organizativas apropiadas para proteger la información de contacto comercial de la otra Parte.

12.8.
Notices. Todas las notificaciones en virtud de este DPA a Strada se enviarán a stradaclientcontracting@stradaglobal.com Todas las notificaciones en virtud de este DPA al Cliente se enviarán de conformidad con el Acuerdo de Servicios.

Anexo A – Medidas técnicas y organizativas

  1. Seguridad física.

Strada mantiene controles de seguridad para los puntos de entrada, las áreas de espera, las áreas de telecomunicaciones y las áreas de cableado que contienen sistemas de procesamiento de información o medios que contienen datos personales.
Los controles de seguridad incluyen:

  • Control y restricción de acceso mediante el uso de un perímetro de seguridad definido, barreras de seguridad adecuadas, cámaras de seguridad, controles de entrada y controles de autenticación, y mantenimiento de registros de acceso durante un período de tiempo especificado por la ley o la política;
  • En los casos en que se desplieguen tarjetas de identificación de Strada, el requisito de que todo el personal, proveedores, contratistas y visitantes lleven algún tipo de identificación visible para identificarse como empleados, contratistas, proveedores o visitantes;
  • Una política de escritorio claro/pantalla clara;
  • Un bloqueo automático de ralentí para equipos desatendidos;
  • El requisito de que los visitantes de las instalaciones de Strada estén escoltados en todo momento; y
  • Cuando sea técnicamente factible y comercialmente razonable, cámaras y circuitos cerrados de televisión.
  1. Continuidad del negocio y recuperación ante desastres.

Strada mantiene los siguientes controles y salvaguardas de continuidad del negocio:

  • El programa de continuidad del negocio y recuperación ante desastres se basa en prácticas generalmente aceptadas de la industria, diseñadas para reducir los efectos de una interrupción significativa en las operaciones de Strada;
  • Los programas de continuidad del negocio y recuperación ante desastres se prueban al menos una vez al año;
  • Las copias de seguridad de los sistemas y software de Strada utilizados en la prestación de los Servicios se replican en su servicio de recuperación ante desastres para que la recuperación pueda tener lugar cuando se produce un desastre; y
  • Los datos se replican en su instalación de recuperación ante desastres, proporcionando una copia de seguridad programada en un momento dado de los datos para garantizar la integridad.
  1. Controles de seguridad de red.

Strada mantiene los siguientes controles y salvaguardas de seguridad de red:

  • Diseño de defensa en profundidad con enrutadores perimetrales, conmutadores de red y dispositivos de firewall y política predeterminada de denegación de todo para proteger la presencia en Internet;
  • Privilegio mínimo y acceso autenticado para usuarios y equipos de red;
  • Control del acceso a Internet por parte de los proxies;
  • Autenticación de dos factores para acceso remoto con una contraseña no reutilizable;
  • Sistema de detección de intrusos para monitorear y responder a posibles intrusiones;
  • Registro e investigación de eventos de red en tiempo real mediante una herramienta de gestión de eventos de información de seguridad;
  • Filtrado de contenido y bloqueo de sitios web mediante listas aprobadas;
  • Limitaciones en el acceso inalámbrico a la red;
  • Políticas y estándares para dispositivos de redes inalámbricas;
  • Prohibiciones de conexión entre redes inalámbricas y de otro tipo, incluida la red corporativa; y
  • Detección y disociación de puntos de acceso inalámbricos no autorizados.
  1. Controles de seguridad de la plataforma.

Strada mantiene los siguientes controles y salvaguardas de seguridad de la plataforma:

  • Mantenimiento de los estándares de configuración/endurecimiento;
  • Control de cambios a través de un proceso interno de control de cambios;
  • Prohibición de instalar hardware y software no autorizados;
  • Cuando sea técnicamente posible, tiempos de espera automáticos de las sesiones después de períodos de inactividad;
  • Eliminación de los valores predeterminados proporcionados por el proveedor (cuentas, contraseñas y roles) durante la instalación;
  • Eliminación de servicios y dispositivos que no son necesarios por las necesidades comerciales válidas;
  • Uso de un programa antivirus con actualizaciones oportunas;
  • Acceso a cuentas sin privilegios en estaciones de trabajo y portátiles;
  • Cifrado de disco completo en computadoras portátiles;
  • Las plataformas de desarrollo y prueba se separarán de las plataformas operativas utilizadas para prestar los Servicios;
  • Las herramientas de desarrollo como compiladores, ensambladores, editores y otras utilidades de propósito general dentro del entorno de producción no se permitirán a menos que sea expresamente necesario para la prestación de los Servicios, en cuyo caso el acceso está restringido; y
  • El software y el hardware utilizados en la prestación de los Servicios se actualizarán de acuerdo con los estándares de la industria, el soporte del proveedor y las pautas de seguridad.
  1. Controles de seguridad de aplicaciones.

Strada mantiene los siguientes controles y salvaguardas de seguridad de las aplicaciones:

  • Defensa en profundidad con el uso de una arquitectura de n niveles para la separación y protección de datos;
  • Un ciclo de vida de desarrollo de software seguro (SSDLC) para el desarrollo de aplicaciones que incluye capacitación, desarrollo, pruebas y evaluaciones continuas;
  • Documentación, revisión, pruebas y aprobación antes de que los cambios se implementen en producción;
  • Identificación, prueba y corrección de vulnerabilidades y parches de aplicaciones de manera oportuna; y
  • Prohibición de utilizar datos de producción en entornos de desarrollo y pruebas.
  1. Gestión de datos y activos.

Strada mantiene los siguientes controles y salvaguardas de seguridad de gestión de datos y activos:

  • Salvaguardas técnicas, administrativas y físicas;
  • Copias de seguridad y almacenamiento periódicos de datos personales;
  • Encriptación de Datos Personales transmitidos a través de redes públicas y en medios extraíbles;
  • Uso de una herramienta de prevención de pérdida de datos para actividades de transferencia de datos de punto final que involucren números de seguro social u otros números de identificación nacional;
  • Uso de un programa de inventario para controlar la instalación, la propiedad y el movimiento de hardware, software y equipos de comunicaciones;
  • Cifrado, desinfección, destrucción o purga de todos los medios físicos que contengan Datos personales que salgan de la custodia de Strada para garantizar que se hayan eliminado los datos magnéticos, ópticos, eléctricos u otros datos residuales y que no se puedan recuperar; y
  • Separación lógica de los datos personales de un cliente de Strada de otros clientes de Strada.
  1. Control y Gestión de Accesos.

Strada mantiene los siguientes controles de seguridad y salvaguardas de control y gestión de acceso:

  • Supervisión y registro del acceso y uso de los sistemas Strada que contienen Datos personales, incluido el registro de intentos de acceso a los sistemas Strada que contienen Datos personales;
  • Revisión y validación periódicas del acceso basado en roles a los Datos personales y eliminación inmediata del acceso innecesario;
  • ID de inicio de sesión y contraseñas únicas;
  • Contraseñas seguras con requisitos mínimos de longitud, complejidad y caducidad;
  • Deshabilitar el acceso después de un número limitado de intentos fallidos de inicio de sesión; y
  • Rechazo de contraseñas utilizadas anteriormente.
  1. Gestión de riesgos.

Strada mantiene los siguientes controles y salvaguardas de gestión de riesgos:

  • Un sistema de gestión de riesgos de seguridad de la información alineado con el Estándar de Buenas Prácticas para la Seguridad de la Información (Foro de Seguridad de la Información);
  • Un ciclo de evaluaciones de riesgos de activos críticos, cuya frecuencia depende del número de riesgos residuales identificados en cada sitio;
  • El análisis de riesgos se documenta utilizando plantillas estandarizadas de evaluación de riesgos; y
  • Las actividades de gestión de riesgos se establecen cuando los riesgos se definen y acuerdan con los propietarios de los activos.
  1. Gestión de vulnerabilidades y parches.

Strada toma las siguientes medidas diseñadas para identificar y mitigar las vulnerabilidades que amenazan la capacidad de Strada para hacer cumplir la confidencialidad, integridad y disponibilidad de los Datos personales:

  • Un proceso de monitoreo de vulnerabilidades que proporciona alertas o notificaciones de nuevas correcciones disponibles y el período de tiempo resultante para la corrección;
  • Escaneo regular para identificar y remediar vulnerabilidades con prontitud;
  • Clasificación de las vulnerabilidades en función de la gravedad para permitir la corrección en función de las expectativas de nivel de servicio predeterminadas; y
  • Pruebas de penetración en entornos Strada aplicables, incluidas pruebas de vulnerabilidad perimetral, pruebas de vulnerabilidad de infraestructura interna y pruebas de aplicaciones.

Anexo B – Detalles del procesamiento

Operaciones de procesamiento

Las operaciones de Procesamiento que se llevarán a cabo en virtud de este DPA son las siguientes: Los Datos Personales recibidos en nombre del Cliente se utilizarán para prestar Servicios en virtud del Acuerdo de Servicios (por ejemplo, nómina y otros servicios de externalización de procesos comerciales, consultoría de software y actividades relacionadas) y pueden incluir:

  • proporcionar software, equipos y servicios de procesamiento de datos a través de diversas herramientas, aplicaciones y proveedores;
  • mantenimiento y configuración de aplicaciones;
  • cargas y transferencias de datos;
  • almacenar o registrar Datos Personales;
  • evitar el acceso no autorizado o la modificación de los Datos Personales (y otros Datos no Personales);
  • programar, imprimir y ensamblar, revisar y modificar estados de cuenta según las indicaciones del Cliente;
  • comunicarse con los interesados en relación con los servicios prestados al Cliente; y
  • proporcionar materiales de referencia según lo solicitado por el Cliente.

El propósito de las operaciones de procesamiento anteriores es proporcionar los Servicios de acuerdo con el Acuerdo de Servicios.

Titulares de los datos

Los Datos Personales que serán Procesados por Strada en nombre del Cliente se refieren a las siguientes categorías de interesados: empleados actuales, anteriores y/o potenciales, sus parientes y familiares y otros representantes del Cliente y de las filiales del Cliente.

Categorías de Datos Personales a Ser Tratados

Los Datos Personales procesados por Strada comprenden las siguientes categorías: Datos de RRHH/Empleados: que pueden incluir: nombre completo; apellido de soltera; número de identificación del empleado; nombre de usuario; imagen; información de contacto (incluida la dirección de casa y trabajo, números de teléfono de casa y trabajo, números de teléfono móvil, datos de direcciones web, dirección de correo electrónico de casa y trabajo); estado civil; información de ciudadanía; Fecha de nacimiento; género; información de la licencia de conducir; información de identificación nacional y gubernamental; información financiera (incluyendo cuentas bancarias, embargos, préstamos, saldos de salarios y cuentas); información del programa de beneficios (incluidas las elecciones de beneficios, información del beneficiario, información sobre reclamaciones, números de cuenta y saldos del plan de beneficios y fecha de jubilación); información de nómina; información profesional o de empleo (incluida la fecha de contratación, el estado laboral, el título del trabajo, el historial laboral y educativo, el historial de pago, la información de retención de impuestos, los registros de rendimiento, la información de licencias, la información de viajes y la fecha de terminación); y otros datos personales que puedan ser transferidos de (o en nombre de) el Cliente a Strada para la prestación de servicios para el Cliente.

Datos de personas relacionadas: pueden incluir, entre otros: nombre, fecha de nacimiento, sexo e información de contacto de dependientes o beneficiarios (incluida la dirección del domicilio; números de teléfono de casa y trabajo; números de teléfono móvil); y otros datos personales que puedan ser transferidos de (o en nombre de) el Cliente a Strada para la prestación de servicios para el Cliente.

Categorías especiales de Datos Personales

Los Datos Personales procesados por Strada pueden incluir datos personales sensibles, incluyendo información sobre el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, vida sexual, salud, genética, biometría o registros médicos, y/o antecedentes penales.