Anexo sobre el tratamiento de los datos

  1. Definiciones
    En el presente Anexo sobre el tratamiento de los datos, "RGPD" hace referencia al Reglamento General de Protección de Datos (Reglamento [UE] 2016/679) y "responsable del tratamiento de los datos", "encargado del tratamiento de los datos", "interesado", "datos personales", "violación de la seguridad de los datos personales" y "tratamiento" mantienen los significados definidos en el RGPD. Los términos "tratado(s)" y "tratar" deben interpretarse de conformidad con la definición de "Tratamiento". Las referencias al RGPD y a sus disposiciones incluyen el RGPD tal y como se modifique e incorpore en la legislación del Reino Unido. Todos los demás términos definidos en el presente documento tendrán el mismo significado que se les concede en otras disposiciones de este Acuerdo.
  2. Tratamiento de datos
    1. Al realizar sus actividades como encargado del tratamiento de los datos en virtud de este Acuerdo en relación con los datos personales incluidos en tus datos ("Tus datos personales"), Meta confirma que:
      1. la duración, el asunto, la naturaleza y el propósito de dicho Tratamiento deben concordar con lo estipulado en el Acuerdo;
      2. los tipos de datos personales Tratados deben incluir aquellos especificados en la definición de Tus datos;
      3. las categorías de Interesados incluyen tus representantes, los Usuarios y cualquier otra persona identificada o identificable a través de Tus datos personales; y
      4. tus obligaciones y derechos como responsable del tratamiento de los datos en relación con Tus datos personales son los que se estipulan en este Acuerdo.
    2. En la medida en que Meta trate Tus datos personales en virtud del Acuerdo o en relación con este, Meta:
      1. tratará Tus datos personales solo de conformidad con tus instrucciones según se establezca en este Acuerdo, incluso con respecto a la transferencia de Tus datos personales, sujeto a cualquier excepción permitida en virtud del Artículo 28(3)(a) del RGPD;
      2. garantizará que sus empleados autorizados para tratar Tus datos personales en virtud de este Acuerdo se hayan comprometido a respetar la confidencialidad o estén sujetos a una obligación de confidencialidad de naturaleza estatutaria en relación con Tus datos personales;
      3. implementará las medidas técnicas y organizativas establecidas en el Anexo sobre la seguridad de los datos;
      4. respetará las condiciones a las que se hace referencia en las secciones 2(iii) y 2(iv) de este Anexo sobre el tratamiento de los datos cuando se designen subencargados;
      5. te asistirá con medidas técnicas y organizativas apropiadas, siempre que sea posible mediante Workplace, para que puedas cumplir con tus obligaciones de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados en virtud del capítulo III del RGPD;
      6. te ayudará a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 al 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información que está a disposición de Meta;
      7. una vez terminado el Acuerdo, eliminará Tus datos personales de conformidad con dicho Acuerdo, a menos que la Unión Europea o un estado miembro solicite que se conserven estos datos;
      8. pondrá a tu disposición la información descrita en este Acuerdo y mediante Workplace para cumplir con la responsabilidad de Meta de proporcionar toda la información necesaria para demostrar que cumple con las obligaciones de Meta en virtud del artículo 28 del RGPD; y
      9. cada año, procurará que un auditor externo elegido por Meta realice una auditoría SOC 2 tipo II u otra auditoría del sector a los controles de Meta relativos a Workplace. Por el presente, dicho auditor externo responderá ante ti. Si lo solicitas, Meta te proporcionará una copia del informe de la auditoría vigente en ese momento, y dicho informe se considerará información confidencial de Meta.
    3. Autorizas a Meta a subcontratar a sus empresas afiliadas y a otros terceros (de los que puedes solicitar una lista por escrito) para que se encarguen de sus obligaciones de tratamiento de los datos en virtud de este Acuerdo. Para ello, Meta celebrará un acuerdo por escrito con dicho subencargado en el que se le impongan a este las mismas obligaciones de protección de datos que se le imponen a Meta en virtud de este Acuerdo. Si dicho subencargado no puede cumplir con estas obligaciones, Meta asumirá ante ti plena responsabilidad por el ejercicio de las obligaciones de protección de datos de dicho subencargado.
    4. Si Meta contrata a otros subencargados o sustituye a los subencargados actuales a partir del (i) 25 de mayo de 2018 o (ii) la fecha de entrada en vigencia (lo que ocurra más tarde), Meta te informará sobre esta decisión, como máximo, catorce (14) días antes de designar a los nuevos subencargados. Puedes oponerte a la designación de dichos subencargados adicionales o sustitutos en un plazo de catorce (14) días a partir de que Meta te informe sobre su decisión. Para hacerlo, deberás terminar el Acuerdo con un previo aviso por escrito a Meta.
    5. Meta te notificará sin demora indebida tan pronto como tome conocimiento sobre una violación de la seguridad de los datos personales relacionada con Tus datos personales. Dicha notificación incluirá, en el momento del envío o tan pronto como sea posible después de este, detalles relevantes sobre la infracción de la seguridad de los datos personales cuando sea posible, incluidos el número de registros afectados, la categoría y el número aproximado de Usuarios afectados, las consecuencias anticipadas de dicha infracción, así como medidas reales o propuestas, si corresponde, para mitigar los posibles efectos secundarios de esta situación.
    6. En la medida en que se apliquen el RGPD o las leyes de protección de datos del EEE, el Reino Unido o Suiza al tratamiento de tus datos en virtud de este Anexo sobre el tratamiento de los datos, el Anexo sobre la transferencia de datos europeos se aplicará a las transferencias de datos que realice Meta Platforms Ireland Ltd, y se incorporará por referencia a este Anexo sobre el tratamiento de los datos.
  3. Condiciones de los encargados del tratamiento de los datos en los Estados Unidos
    1. En la medida en que se apliquen las Condiciones de los encargados del tratamiento de los datos en los Estados Unidos de Meta, estas formarán parte de este Acuerdo, y se incorporarán a él como referencia, excepto la sección 3 (Obligaciones de la empresa), que se excluye expresamente.