EN ESTE ANEXO DEFINIREMOS NUESTRAS RESPONSABILIDADES EN RELACIÓN CON EL CUMPLIMIENTO DE LA LEGISLACIÓN APLICABLE EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES TRATADOS EN EL ÁMBITO DEL CONTRATO.
1. PARA LA APLICACIÓN DEL PRESENTE ANEXO, SE ADOPTARÁN LAS SIGUIENTES DEFINICIONES:
– Grupo Zenvia: Son todas las empresas que se encuentran en el mismo Grupo Económico que Zenvia, es decir, las empresas que figuran en el “Anexo I – Lista de Afiliados” de la Política de Privacidad de Zenvia.
– Cliente: Aquellos que contraten cualquier servicio prestado por el Grupo Zenvia, incluidas las personas físicas que, en representación del contratante, exploten los servicios.
– Datos Personales: información concerniente, directa o indirectamente, a una persona física o jurídica identificada o identificable.
– Tratamiento de datos: cualquier operación realizada con Datos Personales, como la recogida, almacenamiento, acceso, uso, compartición, enriquecimiento y/o supresión.
– Interesado: persona física o jurídica a la que se refieren los Datos Personales objeto de Tratamiento.
– Responsable del Tratamiento: la parte responsable de las decisiones relativas al Tratamiento de Datos Personales, en particular en lo que respecta a los fines y medios del Tratamiento de Datos Personales.
– Encargado del Tratamiento: la parte que trata los Datos Personales siguiendo las instrucciones del Responsable del Tratamiento.
– Subencargado del tratamiento: tercero y/o subcontratista designado por el encargado del tratamiento para asistirle en el cumplimiento de las obligaciones relativas al Tratamiento de Datos Personales en virtud de la relación contractual entre el Responsable y el Encargado.
– Delegado de Protección de Datos: persona designada por ZENVIA para actuar como canal de comunicación con los interesados y la Autoridad Nacional de Protección de Datos.
– Autoridad de Protección de Datos: órgano de la Administración Pública encargado de velar, ejecutar y controlar el cumplimiento de la Legislación Aplicable, incluida la Agencia de Acceso a la Información Pública.
– Incidente de Seguridad (que involucre Datos Personales): cualquier acceso, adquisición, uso, modificación, divulgación, pérdida, destrucción o daño accidental, ilícito o no autorizado que involucre Datos Personales.
– Legislación Aplicable: significa las leyes de privacidad y protección de datos aplicables al tratamiento de datos personales descritas en el contrato celebrado entre las Partes, incluyendo la Ley de Protección de Datos Personales N° 25.326 (“LOPD”) y el Decreto Reglamentario 1558/2001 .
Los restantes términos que aquí aparecen en mayúsculas tendrán el mismo significado que se les atribuye en las Condiciones Generales de Servicio, salvo que expresamente se disponga lo contrario en las mismas.
2. CUMPLIMIENTO DE LA LEGISLACIÓN APLICABLE EN MATERIA DE PRIVACIDAD Y PROTECCIÓN DE DATOS.
2.1 Las Partes declaran conocer y cumplir toda la Legislación Aplicable, incluyendo (cuando y donde corresponda) la Constitución Nacional, la Ley de Defensa del Consumidor N° 24.240, el Código Civil y Comercial de la Nación, y demás normas sectoriales o generales sobre la materia.
2.2 El CLIENTE declara conocer las disposiciones contenidas en la Política de Privacidad de ZENVIA, disponible en https://www.zenvia.com/politica-de-privacidade/.
3. FINALIDAD DEL TRATAMIENTO DE LOS DATOS PERSONALES EN EL ÁMBITO DEL CONTRATO
3.1 A los efectos del presente APD , el CLIENTE tendrá la consideración de Responsable del Tratamiento, mientras que ZENVIA tendrá la consideración de Encargado del Tratamiento.
3.2 Como Encargado del Tratamiento, ZENVIA garantiza que los Datos Personales recibidos únicamente serán tratados para dar cumplimiento a lo establecido en el Contrato suscrito con el CLIENTE o para dar cumplimiento a las instrucciones facilitadas por el CLIENTE, como consecuencia de la condición de Encargado del Tratamiento, observando en todo caso los principios, normas y Legislación Aplicable.
3.2.1. El CLIENTE reconoce y acepta que ZENVIA podrá utilizar datos agregados y, en la medida de lo posible, anonimizados, con la finalidad de desarrollar sus productos, servicios u otras tecnologías, así como para potenciar soluciones basadas en inteligencia artificial.
4. CONFIDENCIALIDAD DE LOS DATOS PERSONALES
4.1 Todos los Datos Personales facilitados por el CLIENTE en el ámbito de los servicios prestados por ZENVIA tendrán la consideración de confidenciales y serán tratados en las condiciones previstas en la Cláusula 7 de las Condiciones Generales de Prestación de Servicios de ZENVIA.
5. MEDIDAS Y CONTROLES DE SEGURIDAD ADOPTADOS POR ZENVIA
5.1 ZENVIA declara y garantiza que cuenta con medidas de protección de los Datos Personales Tratados, así como con políticas de seguridad que determinan medidas técnicas y administrativas para garantizar la integridad, disponibilidad y confidencialidad de la información.
5.2 Las medidas de seguridad adoptadas por ZENVIA para garantizar la mayor seguridad posible de los Datos Personales Tratados son:
- (a) autenticación de los usuarios;
- (b) encriptación de los Datos y del contenido de las transacciones;
- (c) prevención y detección de intrusiones;
- (d) prevención de fugas de información
- (e) protección contra software malicioso
- (f) mecanismos de trazabilidad
- (g) controles de acceso y segmentación de la red informática; y
- (h) mantenimiento de copias de seguridad de los Datos Personales y de la información.
5.3 Si el CLIENTE tiene alguna duda sobre las medidas de seguridad adoptadas por ZENVIA, puede ponerse en contacto con ZENVIA a través de la opción “Chat con Zoe”, disponible en el botón de preguntas del entorno https://app.zenvia.com/.
6. COMPARTIR DATOS PERSONALES
6.1 En determinados casos, ZENVIA podrá compartir Datos Personales con cualesquiera Subencargados del Tratamiento para el cumplimiento de determinadas obligaciones contractuales y la prestación de los servicios o parte de los mismos, previa autorización del CLIENTE.
6.2 Cuando así lo solicite el CLIENTE, ZENVIA dará visibilidad de estos Subencargados de tratamiento terceros y de las actividades concretas que realizan, siempre que estén directamente vinculadas a la ejecución de los servicios contratados por el CLIENTE, respetando los secretos comerciales y la información patrimonial de ZENVIA.
6.3 Cuando se compartan Datos Personales, ZENVIA deberá asegurarse de que todos los Subencargados del Tratamiento se comprometan a adoptar niveles y normas de protección de los Datos Personales y medidas de seguridad de la información equivalentes a los establecidos en el presente APD , y ZENVIA será responsable de todas las pérdidas y daños derivados del uso indebido de los Datos Personales, siempre que dichas pérdidas y daños estén vinculados a una conducta dolosa o culposa de ZENVIA o de los Subencargados del Tratamiento.
7. REALIZACIÓN DE AUDITORÍAS
7.1 ZENVIA reconoce el derecho del CLIENTE a realizar auditorías relacionadas con las actividades de Tratamiento existentes en virtud del presente APD y los servicios prestados por ZENVIA. En consecuencia, las Partes pondrán a disposición de quien lo solicite, siempre que medie un preaviso de cinco (5) días hábiles y no se comprometa la regularidad de las actividades, toda la documentación necesaria para acreditar el cumplimiento de las obligaciones establecidas en el presente Anexo y en la Legislación Aplicable en materia de privacidad y protección de Datos Personales.
7.2 En ningún caso se permitirá el acceso a información y/o Datos Personales (i) relativos a clientes distintos de los directamente relacionados con los servicios prestados por ZENVIA al CLIENTE; y/o (ii) que estén sujetos a obligaciones de confidencialidad con terceros o protegidos por secretos comerciales y/o industriales.
8. TRANSFERENCIAS INTERNACIONALES DE DATOS
8.1 El CLIENTE acepta que, en caso de ser necesario para la ejecución del Contrato y el cumplimiento de alguna de las condiciones establecidas en el mismo, ZENVIA pueda realizar transferencias internacionales de datos durante la ejecución de los servicios prestados.
8.2 En caso de realizarse una transferencia internacional de datos, ZENVIA se compromete a adoptar todas las medidas necesarias y posibles para garantizar, de buena fe, que dicha transferencia cumple con la Legislación Aplicable.
9. CUMPLIMIENTO DE LAS SOLICITUDES DE LOS INTERESADOS
9.1 El CLIENTE, es el Responsable del Tratamiento y el encargado de atender las solicitudes de los Interesados para el ejercicio de sus derechos o las solicitudes de la Autoridad de Protección de Datos o de cualquier otra autoridad que pueda supervisar el Tratamiento de los Datos Personales.
9.2 ZENVIA, siempre que sea necesario y así lo solicite el CLIENTE, prestará todo el apoyo para atender las solicitudes realizadas por los Titulares de los Datos o por cualquier autoridad, tales como:
- (a) solicitudes de acceso a los Datos Personales;
- (b) corrección de Datos Personales incompletos, inexactos o desactualizados;
- (c) supresión
- (d) portabilidad; y
- (e) otros derechos previstos en la Legislación Aplicable.
10. COMUNICACIÓN DE INCIDENTES DE SEGURIDAD
10.1 En caso de producirse un Incidente de Seguridad que pueda causar un riesgo o daño relevante a los Titulares, las Partes deberán comunicar a la otra parte el Incidente de Seguridad dentro de las 48 (cuarenta y ocho) horas hábiles siguientes a tener conocimiento de su ocurrencia, según sea el caso.
10.2 La comunicación contendrá como mínimo la siguiente información
- (a) Fecha y hora del incidente de seguridad;
- (b) Fecha y hora del acuse de recibo por parte del notificador;
- (c) Lista de los tipos de Datos Personales afectados por el Incidente de Seguridad;
- (d) Número de interesados afectados (volumen del Incidente de Seguridad) y, si es posible, una lista de estas personas;
- (e) Datos de contacto del Responsable u otra persona de la que pueda obtenerse más información sobre el incidente; y
- (f) Una descripción de las posibles consecuencias del suceso.
10.3 El CLIENTE, como Responsable del Tratamiento, será responsable de realizar las comunicaciones necesarias a la Autoridad de Protección de Datos y a los Interesados, cuando sea necesario, en los términos de la Legislación Aplicable.
10.4 Si el Incidente de Seguridad o los efectos del Incidente de Seguridad implican a ZENVIA, las comunicaciones en cuestión deberán ser previamente alineadas entre el CLIENTE y ZENVIA.
10.5 Cuando el CLIENTE, actuando como Responsable del Tratamiento, no acredite el cumplimiento de la notificación del Incidente de Seguridad a la Autoridad de Protección de Datos, tal y como exige la Legislación Aplicable, ZENVIA tendrá derecho a realizar las comunicaciones necesarias, sin necesidad de consentimiento previo, salvo que la demora obedezca a una causa justificada.
10.6 Las Partes acuerdan que trabajarán conjuntamente para prevenir y detener cualquier Incidente de Seguridad, investigando las posibles causas e incluso considerando la realización de auditorías para concluir la investigación.
11. ELIMINACIÓN DE DATOS PERSONALES
11.1 ZENVIA eliminará definitivamente o devolverá los Datos Personales al CLIENTE cuando:
- (a) lo solicite el CLIENTE;
- (b) cuando finalice la relación contractual de las Partes y las obligaciones derivadas de la misma; o
- (c) cuando se haya cumplido la finalidad del Tratamiento.
11.1.1 ZENVIA podrá conservar los Datos Personales cuando la continuación del Tratamiento esté permitida por la ley o cuando sea necesario para el cumplimiento de cualquier obligación legal o reglamentaria o para la protección de un derecho legítimo.
11.2 Incluso después de la terminación del contrato u otros acuerdos celebrados entre las Partes, las obligaciones previstas en el presente APD continuarán mientras las Partes tengan acceso, estén en posesión o puedan llevar a cabo cualquier operación de Tratamiento de Datos que implique información proporcionada durante la relación contractual.
12. RESPONSABILIDADES DEL CLIENTE AL UTILIZAR LA PLATAFORMA:
12.1 Además de las demás responsabilidades previstas en las Condiciones Generales del Servicio, en el presente APD, en el Contrato y en la Legislación Aplicable, el CLIENTE declara y garantiza que:
- (a) todos los Datos Personales que, de cualquier forma, hayan sido o vayan a ser transferidos a ZENVIA, han sido y serán obtenidos de forma lícita, con una base legal adecuada conforme a la Legislación Aplicable, con la debida transparencia hacia los Titulares de los Datos sobre cómo serán tratados los Datos Personales, incluyendo lo relativo a la protección y confidencialidad de los Datos Personales;
- (b) ha obtenido, con carácter previo y mediante manifestación libre, inequívoca e informada, el consentimiento de los Titulares para el envío de mensajes, cuando dicha autorización sea necesaria para la licitud de la comunicación, en los términos de la Legislación Aplicable y/o en razón de responsabilidades asumidas contractualmente con terceros;
- (c) si, durante la utilización de los servicios, existe la posibilidad de Tratamiento de Datos Personales de menores de edad o Datos Personales sensibles, ha obtenido el consentimiento necesario, de conformidad con los requisitos legales determinados por la Legislación Aplicable, y notificará previamente a ZENVIA la posibilidad de dicho Tratamiento;
- (d) es plenamente responsable del formato, exactitud, calidad, contenido y licitud de los Datos Personales cargados, almacenados y tratados en las Plataformas utilizadas en los servicios, en los términos de la Legislación Aplicable;
- (e) es plenamente responsable del Tratamiento de Datos Personales efectuado por sí mismo, o a petición del CLIENTE, en el marco de la ejecución de la relación contractual, y mantendrá indemne a ZENVIA de cualesquiera pérdidas y daños, directos o indirectos, derivados de cualquier operación de Tratamiento de Datos Personales efectuada en desacuerdo con la presente DPA y la Legislación Aplicable.
12.1.1 Por mantener indemne a ZENVIA se entenderá, por ejemplo, según el caso (1) indemnizar y reembolsar a ZENVIA, (2) prestar garantías en procedimientos, (3) asumir la responsabilidad por actos y hechos relacionados con el uso del canal por parte del CLIENTE, (4) calificar en procedimientos judiciales y administrativos que tengan por objeto actos o hechos relacionados con el uso del canal por parte del CLIENTE, solicitando, en su caso, la exclusión de ZENVIA del procedimiento.