El presente Addenda de Procesamiento de Datos (“DPA”) se realiza por y entre RingCentral y el Cliente (cada uno de ellos una “Parte”, juntos las “Partes”), y es complementario al contrato ejecutado entre las Partes al que se adjunta (“Contrato”) para la prestación de los Servicios (como se define a continuación) al Cliente.
Los términos en mayúsculas utilizados pero no definidos en este DPA tienen el mismo significado que el establecido en el Contrato.
1. Definiciones
1.1 A los efectos de la presente DPA:
(a) "Afiliada" significa una persona o entidad que está controlada por una de las Partes del presente documento, controla una de las Partes del presente documento o está bajo el control común de una de las Partes del presente documento, y “control” significa la propiedad efectiva de más del cincuenta por ciento (50%) de los valores con derecho a voto o de las participaciones de una entidad en ese momento.
(b) "Contrato" significa el contrato principal escrito o electrónico entre el Cliente y RingCentral para la prestación de cualquiera de los servicios de RingCentral al Cliente.
(c) “Ley(es) de Protección de Datos Aplicable(s)” se refiere a todas las leyes de protección de datos y privacidad (incluido el RGPD aplicables a RingCentral en el tratamiento de los Datos Personales en virtud de este DPA.
(d) "Responsable del Tratamiento": la entidad que, sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los Datos Personales.
(e) "Datos Personales del Cliente" significa cualquier dato personal que RingCentral procese como Encargado del Tratamiento en virtud del Contrato.
(f) “RGPD” significa (i) el Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (ii) cualquier Ley de Protección de Datos Aplicable implementada por los estados miembros de la Unión Europea, (iii) la Ley de Protección de Datos del Reino Unido (DPA 2018) en su versión modificada, y el GDPR incorporado a la legislación del Reino Unido como el GDPR del Reino Unido, y (iv) las Leyes Federales Suizas sobre Protección de Datos (las “FADP”); todas con las modificaciones que se realicen en cada momento.
(g) "Datos Personales": cualquier información relativa a una persona física identificada o identificable, tal y como se define en la Ley de Protección de Datos Aplicable.
(h) "Encargado del Tratamiento" es la entidad que trata los Datos Personales por cuenta del Responsable del Tratamiento.
(i) "Incidente de Seguridad" significa una violación de la seguridad que conduzca a cualquier destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales del Cliente que comprometa la privacidad, seguridad o confidencialidad de dichos Datos Personales.
(j) "Servicios" se refiere a los servicios de RingCentral descritos en el Anexo A.
2. Ámbito de aplicación de la DPA
2.1 Esta DPA se aplicará en la medida en que RingCentral procese Datos Personales del Cliente en nombre de un Cliente como Encargado del Tratamiento, tal y como se define en la Ley de Protección de Datos Aplicable donde dicho procesamiento se describa con más detalle en el Anexo A. Cualquier tratamiento de Datos Personales como Responsable del Tratamiento por parte de RingCentral queda fuera del ámbito de aplicación de la presente DPA.
3. Funciones y responsabilidades
3.1 Funciones de las Partes. Entre las Partes y a los efectos de este DPA, el Cliente será el Responsable de los Datos Personales del Cliente tratados por RingCentral en virtud del Contrato como Encargado del Tratamiento en nombre del Cliente. RingCentral cumplirá con las obligaciones de un Responsable del tratamiento bajo las Leyes de Protección de Datos Aplicables en la medida en que trate los Datos Personales como Responsable del Tratamiento para los fines comerciales legítimos de RingCentral, incluidos los necesarios para el funcionamiento de los Servicios Ofrecidos, y los necesarios para cumplir con la legislación aplicable.
3.2 Obligaciones del Cliente. El Cliente se compromete a:
(a) Garantizar que puede revelar legalmente los Datos Personales del Cliente a RingCentral para los fines establecidos en el Contrato;
(b) Cumplir con las Leyes de Protección de Datos Aplicables en su uso de los Servicios, y su propia recopilación y tratamiento de Datos Personales, incluidos los Datos Personales del Cliente. El Cliente reconoce y confirma, en su caso, que ha informado a sus empleados (actuales y futuros) y a sus representantes del personal o comité de empresa, según corresponda, que como parte de los Servicios el Cliente tiene acceso a los datos de tráfico; y
(c) Tratar categorías especiales de Datos Personales o datos sensibles (tal y como se definen en las Leyes de Protección de Datos Aplicables), o Datos Personales relativos a niños o menores, o relacionados con condenas e infracciones penales, de forma lícita y apoyándose en una base legal válida de acuerdo con las Leyes de Protección de Datos Aplicables. Las Partes reconocen que los Servicios no están diseñados para reconocer y/o clasificar dichos datos.
3.3 Limitación de la Finalidad. Salvo que la legislación aplicable exija lo contrario, RingCentral tratará los Datos personales del Cliente (i) de acuerdo con las instrucciones documentadas del Cliente (que se recogen en el Contrato, en esta DPA y en la configuración y el uso de los Servicios por parte del Cliente, de acuerdo con las condiciones de uso aplicables), (ii) con el fin de proporcionar, supervisar, apoyar, mejorar y mantener los Servicios.
3.4 Confidencialidad del Tratamiento. RingCentral se asegurará de que cualquier persona que autorice a tratar los Datos Personales del Cliente esté sujeta a un deber de confidencialidad (ya sea un deber contractual o legal).
3.5 Seguridad. RingCentral mantendrá las medidas de seguridad técnicas y organizativas adecuadas para salvaguardar la seguridad de los Datos Personales del Cliente. RingCentral mantendrá un programa de seguridad de la información y de gestión de riesgos basado en las mejores prácticas comerciales para preservar la confidencialidad, integridad y accesibilidad de los Datos Personales del Cliente con medidas administrativas, técnicas y físicas que se ajusten a las normas y prácticas generalmente reconocidas del sector de telecomunicaciones. Las medidas de seguridad de RingCentral se establecen en la Adenda de Seguridad de RingCentral en https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf.
3.6 Incidentes de Seguridad. Al tener conocimiento de un Incidente de Seguridad, RingCentral notificará al Cliente sin demora indebida a la información de contacto que el Cliente haya proporcionado en el Portal Administrativo y proporcionará la información oportuna que el Cliente pueda requerir razonablemente, incluso para permitir al Cliente cumplir con cualquier obligación de notificación de violación de datos en virtud de las Leyes de Protección de Datos Aplicables.
3.7 Suministro de Informes de Seguridad. RingCentral seleccionará un auditor externo independiente y cualificado para llevar a cabo, a cargo de RingCentral, auditorías como mínimo anuales de la seguridad de los Servicios y entornos, de acuerdo con normas reconocidas internacionalmente como ISO27001, las normas SOC 2, Tipo II o su equivalente. A petición del Cliente y en virtud de un Acuerdo de Confidencialidad, RingCentral proporcionará una copia de los informes de auditoría más recientes (o una certificación de seguridad similar) para documentar el cumplimiento del requisito anterior, cuando dicha certificación esté disponible. Dicho informe de auditoría es Información Confidencial de RingCentral y el Cliente no lo distribuirá a ningún tercero sin la aprobación por escrito de RingCentral.
3.8 Auditorías
(a) Ambas partes reconocen que la intención de las partes es basarse normalmente en el suministro de los informes de seguridad de la sección 3.7 anterior para verificar el cumplimiento de RingCentral con este DPA.
(b) Además, a petición del Cliente, pero no más de una vez durante cada período de 12 meses, RingCentral completará un cuestionario del programa de seguridad de la información proporcionado por el Cliente, limitado en su alcance a los servicios/entornos reales relacionados con los Servicios prestados al Cliente (“Revisión de la Seguridad”).
(c) Después de la revisión por parte del Cliente del informe de auditoría de RingCentral o de una certificación similar, y del cuestionario de seguridad de la información completado (incluyendo cualquier cambio introducido por RingCentral para abordar cualquier laguna), si, en la medida en que lo requieran las Leyes de Protección de Datos Aplicables, es razonablemente necesaria información adicional para demostrar el cumplimiento de las obligaciones de RingCentral de acuerdo con las Leyes de Protección de Datos Aplicables y este DPA, El Cliente podrá solicitar por escrito la realización de una auditoría (incluidas las inspecciones) de RingCentral de acuerdo con el procedimiento de solicitud de auditoría que se indica a continuación, no más de una vez cada período de doce (12) meses, a menos que una autoridad de supervisión exija específicamente que se realice una auditoría de RingCentral o en respuesta a un Incidente de Seguridad.
(d) Para ejercer su derecho a la auditoría de acuerdo con esta sección, el Cliente debe proporcionar a RingCentral una solicitud escrita y detallada, que incluya la explicación de las lagunas en los informes de auditoría proporcionados por RingCentral y en la Revisión de la Seguridad que hacen necesaria la auditoría para demostrar el cumplimiento de RingCentral con este DPA o con las Leyes de Protección de Datos Aplicables.
(e) La auditoría podrá ser realizada por el Cliente o por un auditor externo (cualquier tercero bajo estrictas obligaciones de confidencialidad, incluidos los requisitos de que los auditores individuales designados no hayan realizado auditorías de ninguno de los competidores de RingCentral en los doce (12) meses anteriores y que se les prohíba realizar dichas auditorías en los doce (12) meses siguientes a la auditoría de RingCentral) únicamente a expensas del Cliente. RingCentral puede objetar por escrito a cualquier auditor de terceros si el auditor, en opinión razonable de RingCentral, no es adecuadamente calificado o independiente, es un competidor de RingCentral, o de otra manera es manifiestamente inadecuado. Cualquier objeción de este tipo por parte de RingCentral obligará al Cliente a designar a otro auditor o a realizar la auditoría él mismo.
(f) RingCentral y el Cliente acordarán de antemano el alcance y el calendario de la auditoría, no antes de treinta (30) días a partir de la fecha de la solicitud por escrito de una auditoría in situ con arreglo al apartado 3.8(d), para proteger la información confidencial y propietaria de RingCentral y de otras partes, para minimizar la interrupción del negocio de RingCentral, para limitar el alcance a los servicios/entornos reales relacionados con los Servicios prestados al Cliente, y para acordar una duración razonable de la auditoría.
(g) La realización de la auditoría se llevará a cabo durante el horario laboral habitual del personal de RingCentral implicado y las partes acuerdan que RingCentral pondrá a disposición el material para que el Cliente lo revise, pero no para que lo conserve. RingCentral podrá cobrar honorarios razonables por los costes incurridos en relación con cualquier auditoría basada en las tarifas de servicios profesionales de RingCentral, a menos que la auditoría muestre un incumplimiento material por parte de RingCentral. RingCentral proporcionará al Cliente los detalles de cualquier tarifa aplicable, y la base de su cálculo, antes de cualquier auditoría.
(h) Toda la información proporcionada o puesta a disposición del Cliente en virtud de esta sección se considerará información confidencial de RingCentral.
3.9 Cooperación y Derechos de los Interesados. Es responsabilidad del Cliente responder a cualquier solicitud del interesado. Algunos de los Servicios de RingCentral pueden proporcionar medios técnicos directos para permitir al Cliente cumplir con sus obligaciones de responder a las solicitudes de los interesados en virtud de las Leyes de Protección de Datos Aplicables. Si el Cliente no puede atender la solicitud del interesado a través de dichos medios técnicos, o cuando dicha funcionalidad no esté disponible, RingCentral, teniendo en cuenta la naturaleza del tratamiento, proporcionará una asistencia razonable al Cliente, para permitirle responder a dichas solicitudes del interesado. En el caso de que dicha solicitud se realice directamente a RingCentral, RingCentral dirigirá sin demora al interesado para que se ponga en contacto con el Cliente.
3.10 Eliminación o Devolución de Datos. Tras la finalización o el vencimiento del Contrato, RingCentral eliminará los Datos Personales del Cliente (incluidas las copias) en posesión de RingCentral o, a petición del Cliente, proporcionará opciones para devolver los Datos Personales al Cliente, salvo en la medida en que RingCentral esté obligado por la legislación aplicable a conservar algunos o todos los Datos Personales del Cliente.
4. Obligaciones de tratamiento de datos en aplicación del RGPD
4.1 Subencargados. El Cliente acepta que RingCentral y sus Afiliados puedan contratar a Afiliados de RingCentral y otros terceros subencargados (colectivamente, “Subencargados”) para el tratamiento de los Datos Personales del Cliente en nombre de RingCentral. Dependiendo del alcance y la naturaleza del tratamiento, RingCentral impondrá condiciones de protección de datos a dichos Subencargados que protejan los Datos Personales del Cliente a un nivel equivalente al previsto en este DPA y seguirá siendo responsable de cualquier incumplimiento del DPA causado por un Subencargado. Los Subencargados del tratamiento contratados por RingCentral con respecto a cada uno de los Servicios en el momento del Contrato se indican en la lista de Subencargados de RingCentral disponible en https://www.ringcentral.com/legal/dpa-subprocessor-list.html o según lo especificado en el Contrato.
4.2 Notificación de Subencargados. RingCentral podrá, mediante notificación razonable al Cliente al contacto que éste haya proporcionado en el Portal Administrativo, añadir o reemplazar los Subencargados. Si el Cliente se opone a la designación de un Subencargado adicional en un plazo de treinta (30) días naturales a partir de dicha notificación por motivos razonables relacionados con la protección de los Datos Personales del Cliente, entonces las partes discutirán dichas preocupaciones con vistas a lograr una resolución. Si no se puede alcanzar dicha resolución, entonces RingCentral no designará al Subencargado o, si esto no es posible, el Cliente tendrá derecho a suspender o cancelar el Servicio de RingCentral afectado sin sufrir ninguna penalidad mediante una notificación previa por escrito de treinta (30) días a RingCentral. No obstante lo anterior, en caso de fuerza mayor imprevisible (como un fallo del Subencargado de RingCentral) que pueda provocar una degradación o interrupción del Servicio, RingCentral se reserva el derecho a cambiar inmediatamente el Subencargado que falle para mantener o restablecer las condiciones estándar del Servicio. En esta situación, la notificación del cambio de Subencargado podrá enviarse excepcionalmente después del cambio.
4.3 Evaluaciones del Impacto de la Protección de Datos. RingCentral deberá, en la medida requerida por las Leyes de Protección de Datos Aplicables, y a petición del Cliente y a expensas del Cliente, proporcionar al Cliente asistencia razonable con las evaluaciones de impacto de protección de datos o consultas previas con las autoridades de protección de datos que el Cliente está obligado a llevar a cabo bajo las Leyes de Protección de Datos Aplicables en relación con el alcance de los Servicios.
4.4 Transferencias Internacionales. RingCentral podrá transferir y procesar los Datos Personales del Cliente fuera del Espacio Económico Europeo (“EEE”), Suiza o el Reino Unido, de acuerdo con la lista de Subpencargados aplicable, a lugares donde RingCentral, sus Afiliados o sus Subencargados mantienen operaciones de tratamiento de datos.
(a) Marco de privacidad de datos. RingCentral cumple y ha certificado al Departamento de Comercio de EE.UU. su adhesión al Marco de privacidad de datos UE-EE.UU. (DPF UE-EE.UU.), la Extensión del Reino Unido al DPF UE-EE.UU. y el Marco de privacidad de datos Suiza-EE.UU. (DPF Suiza-EE.UU.). El Aviso de certificación de RingCentral se aplica a los Servicios.
(b) Cláusulas contractuales estándar. En la medida en que RingCentral trate (o haga tratar) cualquier Dato Personal del Cliente procedente del EEE, Suiza o el Reino Unido en un país que no haya sido reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de los Datos Personales del Cliente, y que el Marco de Privacidad de Datos descrito anteriormente no es aplicable, RingCentral cumplirá con las Leyes de Protección de Datos Aplicables del Espacio Económico Europeo, Suiza y el Reino Unido en relación con la recopilación, el uso transferencia, retención y otro tipo de tratamiento de Datos Personales del Cliente del Espacio Económico Europeo, Suiza y el Reino Unido, y pondrá en marcha las medidas necesarias para garantizar que la transferencia cumpla con las leyes de protección de datos aplicables, que incluyen la ejecución de las cláusulas contractuales estándar de la Comisión Europea, o la puesta en marcha de cualquier otro mecanismo de transferencia válido en virtud de las Leyes de Protección de Datos Aplicables.
4.5 Solicitudes de Divulgación de Datos. Si RingCentral recibe una solicitud de una autoridad policial o gubernamental para revelar Datos Personales del Cliente que RingCentral está tratando en nombre del Cliente, RingCentral notificará y proporcionará al Cliente los detalles de la solicitud de divulgación de datos antes de revelar cualquier Dato Personal del Cliente, a menos que esté legalmente prohibido o cuando exista un riesgo inminente de daño grave que prohíba la notificación previa.
5. Varios
5.1 A menos que se indique explícitamente lo contrario, los términos y condiciones del Contrato se aplicarán al DPA. En caso de conflicto entre los términos del Contrato, cualquier condición relacionada con la seguridad incluida en el DPA o en el Acuerdo, y los del presente DPA, prevalecerán los términos del presente DPA en lo que respecta a las actividades de RingCentral para el tratamiento de los Datos Personales del Cliente.
5.2 La ley aplicable y el foro que se aplican al Contrato también se aplican a este DPA.
5.2 Información de contacto para consultas sobre privacidad: [email protected].
ANEXO A
DESCRIPCIÓN DEL TRATAMIENTO
Finalidad del Tratamiento
- La finalidad de las actividades de tratamiento llevadas a cabo por RingCentral es la prestación de cualquiera de los siguientes servicios:
- servicios de comunicación y colaboración basados en la nube para voz de alta definición, vídeo, SMS, mensajería y colaboración por chat, conferencias, reuniones en línea y fax;
- una plataforma de gestión de la comunicación con el cliente omnicanal que unifica todos los canales de comunicación de cara al cliente, incluidos los de voz, correo electrónico, SMS, sitio web, aplicación móvil, chat y comunicaciones en redes sociales, en una única plataforma, lo que permite dar respuestas comunitarias a las consultas de atención al cliente;
- Eventos virtuales y servicios de presentación;
- Servicios profesionales;
- Cualquier otro Servicio especificado en el Contrato, salvo que se rija por condiciones específicas de protección de datos;
en lo sucesivo (los “Servicios”).
Los servicios pueden incluir cuadros de mando que proporcionen diversas métricas y perspectivas sobre las comunicaciones de los clientes, algunas de las cuales se basan en una plataforma de inteligencia de conversación que utiliza inteligencia artificial.
Datos sobre los Sujetos
El tratamiento de datos afecta a las siguientes categorías de interesados:
- Los empleados y usuarios autorizados del Cliente que utilizan los Servicios en relación con el negocio del Cliente.
- Cualquier otra persona física que participe o se refiera al contenido de las comunicaciones o colaboraciones que tengan lugar a través del uso de los Servicios por parte del Cliente.
Datos Personales del Cliente
Según sea aplicable a los Servicios, las categorías de Datos Personales del Cliente procesados pueden incluir, pero no se limitan a:
- Datos de la cuenta de servicio que pueden comprender cualquiera de los siguientes: nombre; número de teléfono; dirección de correo electrónico; dirección física; cargo; función; información del perfil; configuración de la aplicación, credenciales de inicio de sesión (ID de usuario, inicio de sesión, cuenta, contraseñas);
- Datos de uso que pueden comprender cualquiera de los siguientes: información del dispositivo (como dirección IP, ISP, tipo de dispositivo y sistema operativo, sistema de operaciones y versión del cliente, versión del cliente, tipo de micrófono o altavoces, tipo de conexión e información relacionada, etc.); tipo de conexión e información relacionada (por ejemplo, conectado a través de WiFi); registros del sistema, incluidos registros de uso, registros de back-end, registros del cliente; identificadores de cookies; metadatos de comunicaciones, incluidos registros detallados de llamadas (CDR) y datos de tráfico;
- Contenido generado por el usuario que puede comprender cualquiera de los siguientes: nombres o números de teléfono de los participantes; mensajes de chat; texto de faxes entrantes y salientes; mensajes de voz; texto de SMS entrantes y salientes; notas de reuniones; secuencias de audio/vídeo en tránsito; grabaciones de reuniones o llamadas; contenido de interacciones del centro de contacto (por ejemplo, correos electrónicos, publicaciones en redes sociales, grabaciones de llamadas, chat, etc.); transcripciones de llamadas o reuniones grabadas; resúmenes de llamadas o reuniones grabadas; historial de reuniones; archivos, imágenes y enlaces compartidos; archivos adjuntos a mensajes, como notas, tareas, eventos, fragmentos de código y .gifs; creaciones de carpetas; historial de búsquedas; presencia en línea y mensajes de estado; comentarios de usuarios;
- Cualquier otro tipo de Datos Personales necesarios para la prestación de los Servicios.
Categorías especiales de datos personales del cliente
Los Servicios no están diseñados para reconocer y/o clasificar datos como categorías especiales de datos o datos sensibles (tal y como se definen en Leyes de Protección de Datos Aplicables), ni como Datos Personales relativos a niños o menores, o relacionados con condenas e infracciones penales. En la medida en que el Cliente procesa categorías especiales de Datos Personales, el Cliente se compromete a procesar esta categoría de Datos Personales legalmente, y en particular a basarse en una base legal válida de acuerdo con las Leyes de Protección de Datos Aplicables.
Operaciones de tratamiento
RingCentral procesa los Datos personales del Cliente con el fin de prestar y mantener los Servicios a los que se ha suscrito el Cliente, incluidos los Servicios auxiliares o relacionados en el ámbito del Acuerdo, que pueden incluir la recopilación, el almacenamiento, la transmisión, la grabación, la transcripción, la publicación, la visualización; la recuperación; la consulta; la combinación; la estructuración; la adaptación.
Duración del Tratamiento
Los Datos Personales del Cliente se procesarán durante la vigencia del Acuerdo, o según lo exija la ley o lo acuerden las partes.