Adjunto I – Acuerdo de Tratamiento de Datos

EN ESTE ANEXO DEFINIREMOS NUESTRAS RESPONSABILIDADES EN RELACIÓN CON EL CUMPLIMIENTO DE LA LEGISLACIÓN APLICABLE EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES TRATADOS EN EL ÁMBITO DEL CONTRATO.

1. PARA LA APLICACIÓN DEL PRESENTE ANEXO, SE ADOPTARÁN LAS SIGUIENTES DEFINICIONES:

– Grupo Zenvia: Son todas las empresas que se encuentran en el mismo Grupo Económico que Zenvia, es decir, las empresas que figuran en el “Anexo I – Lista de Afiliados” de la Política de Privacidad de Zenvia.

– Cliente: Aquellos que contraten cualquier servicio prestado por el Grupo Zenvia, incluidas las personas físicas que, en representación del contratante, exploten los servicios.

– Datos Personales: información relativa, directa o indirectamente, a una persona física identificada o identificable.

– Tratamiento: cualquier operación efectuada con Datos Personales, como la recogida, el almacenamiento, el acceso, el uso, el intercambio, el enriquecimiento y/o la supresión.

– Titular: persona física a la que se refieren los Datos Personales objeto de Tratamiento.

– Responsable del Tratamiento: la parte responsable de las decisiones relativas al Tratamiento de Datos Personales, en particular en lo que respecta a los fines y medios del Tratamiento de Datos Personales.

– Encargado del Tratamiento: la parte que trata Datos Personales de conformidad con las instrucciones del Responsable del Tratamiento.

– Subencargado del Tratamiento: un tercero y/o subcontratista designado por NOSOTROS para asistirle en el cumplimiento de las obligaciones relativas al Tratamiento de Datos del contrato establecido entre nosotros.

– Autoridades de protección de datos: el organismo de la administración pública responsable de garantizar, aplicar y supervisar el cumplimiento de la Legislación Aplicable.

– Incidente de Seguridad (que afecte a Datos Personales): cualquier acceso, adquisición, utilización, modificación, revelación, pérdida, destrucción o daño accidental, ilícito o no autorizado que afecte a Datos Personales.

– Legislación Aplicable o Ley Aplicable: significa las leyes de privacidad y protección de datos aplicables al tratamiento de datos personales señaladas en el contrato celebrado por las Partes, incluyendo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD); y el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento).

El resto de los términos que aquí aparecen en mayúsculas tendrán el mismo significado que se les atribuye en las Condiciones Generales del Servicio, salvo que expresamente se disponga lo contrario en las mismas.

2. CUMPLIMIENTO DE LA LEGISLACIÓN APLICABLE EN MATERIA DE PRIVACIDAD Y PROTECCIÓN DE DATOS.

2.1 Las Partes declaran conocer y cumplir toda la Legislación Aplicable, incluyendo (cuando y donde sea aplicable) la Constitución Federal, la LOPD y su Reglamento y demás normas sectoriales o generales sobre la materia.

2.2 El CLIENTE declara conocer las disposiciones contenidas en la Política de Privacidad de ZENVIA, disponible en https://www.zenvia.com/politica-de-privacidade/.

3. FINALIDAD DEL TRATAMIENTO DE LOS DATOS PERSONALES EN EL ÁMBITO DEL CONTRATO

3.1 A los efectos del presente Anexo, el CLIENTE tendrá la consideración de Responsable del Tratamiento de los Datos Personales, mientras que ZENVIA tendrá la consideración de Encargado del Tratamiento de los Datos Personales.

3.2 Como Encargado del Tratamiento, ZENVIA garantiza que los Datos Personales recibidos únicamente serán tratados para dar cumplimiento a lo establecido en el Contrato celebrado con el CLIENTE o para dar cumplimiento a las instrucciones proporcionadas por el CLIENTE, como consecuencia de la condición de Encargado del Tratamiento, observando siempre los principios, normas y Legislación Aplicable.

3.2.1. El CLIENTE reconoce y acepta que ZENVIA podrá utilizar datos agregados y, en la medida de lo posible, anonimizados, con la finalidad de desarrollar sus productos, servicios u otras tecnologías, así como para potenciar soluciones basadas en inteligencia artificial.

4. CONFIDENCIALIDAD DE LOS DATOS PERSONALES

4.1 Todos los Datos Personales facilitados por el CLIENTE en el ámbito de los servicios prestados por ZENVIA tendrán la consideración de confidenciales y serán tratados de acuerdo con las condiciones establecidas en la Cláusula 7 de las Condiciones Generales de Prestación de Servicios de ZENVIA.

5. MEDIDAS Y CONTROLES DE SEGURIDAD ADOPTADOS POR ZENVIA

5.1 ZENVIA declara y garantiza que cuenta con medidas de protección de los Datos Personales Tratados, así como con políticas de seguridad, que determinan medidas técnicas, físicas y administrativas para garantizar la integridad, disponibilidad y confidencialidad de la información conforme a la Legislación Aplicable.

5.2 Las medidas de seguridad adoptadas por ZENVIA para garantizar la mayor seguridad posible de los Datos Personales Tratados son:

(a) autenticación de los usuarios;

(b) encriptación de los Datos y del contenido de las transacciones;

(c) prevención y detección de intrusiones;

(d) prevención de fugas de información

(e) protección contra software malicioso

(f) mecanismos de trazabilidad

(g) controles de acceso y segmentación de la red informática; y

(h) mantenimiento de copias de seguridad de los Datos Personales y de la información.

5.3 Si el CLIENTE tiene alguna duda sobre las medidas de seguridad adoptadas por ZENVIA, puede ponerse en contacto con nosotros a través de la opción “Chat con Zoe”, disponible en el botón de preguntas del entorno https://app.zenvia.com/.

6. COMPARTIR DATOS PERSONALES

6.1 En determinados casos, ZENVIA podrá compartir Datos Personales con cualesquiera Subencargados del Tratamiento contratados para el cumplimiento de determinadas obligaciones contractuales y la prestación de los servicios o parte de los mismos.

6.2 Cuando así lo solicite el CLIENTE, ZENVIA dará visibilidad de estos terceros Subencargados del Tratamiento y de las actividades concretas que realizan, siempre que estén directamente vinculadas a la ejecución de los servicios contratados por el CLIENTE, respetando los secretos comerciales y la información patrimonial de ZENVIA.

6.3 Cuando se compartan Datos Personales, ZENVIA procurará que dichos terceros se comprometan a adoptar niveles y estándares de protección de los Datos Personales y medidas de seguridad de la información equivalentes a los establecidos en el presente Anexo, y ZENVIA responderá de todas las pérdidas y daños derivados del uso indebido de los Datos Personales, siempre que dichas pérdidas y daños estén vinculados a una conducta dolosa o culposa de ZENVIA o de los Subencargados del Tratamiento.

7. REALIZACIÓN DE AUDITORÍAS

7.1 ZENVIA reconoce el derecho del CLIENTE a realizar auditorías relacionadas con las actividades de Tratamiento existentes en virtud del presente Anexo y los servicios prestados por ZENVIA. En consecuencia, las Partes pondrán a disposición de quien lo solicite, siempre que medie un preaviso de cinco (5) días hábiles y no se comprometan las actividades habituales, toda la documentación necesaria para acreditar el cumplimiento de las obligaciones establecidas en el presente Anexo y en la Legislación Aplicable en materia de privacidad y protección de Datos Personales.

7.2 En ningún caso se permitirá el acceso a información y/o Datos Personales (i) relativos a clientes distintos de los directamente relacionados con los servicios prestados por ZENVIA al CLIENTE; y/o (ii) que estén sujetos a obligaciones de confidencialidad con terceros o protegidos por secretos comerciales y/o industriales.

8. CESIONES DE DATOS PERSONALES

8.1 El CLIENTE acepta que, en caso de ser necesario para la ejecución del Contrato y el cumplimiento de alguna de las condiciones establecidas en el mismo, ZENVIA pueda realizar transferencias de datos de los Datos Personales Tratados durante la ejecución de los servicios prestados.

8.2 ZENVIA no transferirá los Datos Personales Tratados a menos que: (i) se cumplan las condiciones del apartado 8.1 anterior; (ii) el CLIENTE así lo requiera; (iii) la transferencia sea necesaria para la subcontratación, o (iv) la transferencia sea exigida por ley.

8.2 En caso de transferencia de Datos Personales, ZENVIA se compromete a adoptar todas las medidas necesarias y posibles para garantizar, de buena fe, que dicha transferencia de Datos Personales cumple con la Legislación Aplicable.

9.CUMPLIMIENTO DE LAS SOLICITUDES DE LOS TITULARES DE LOS DATOS PERSONALES

9.1 El CLIENTE, como Responsable del Tratamiento de Datos Personales, atenderá las solicitudes de los Interesados para el ejercicio de sus derechos o las solicitudes de las Autoridades de Protección de Datos o de cualquier otra autoridad que pueda supervisar el Tratamiento de Datos Personales.

9.2 ZENVIA, siempre que sea necesario y así lo solicite el CLIENTE, prestará todo el apoyo necesario para atender las solicitudes formuladas por los Titulares de los Datos o por cualquier autoridad, tales como: (a) solicitudes de acceso a Datos Personales; (b) corrección de Datos Personales incompletos, inexactos o desactualizados;

(c) anonimización, bloqueo o eliminación de Datos Personales innecesarios o excesivos; y

(d) otros derechos previstos en la Legislación Aplicable.

10. COMUNICACIÓN DE INCIDENTES DE SEGURIDAD:

10.1 En caso de que se produzca un Incidente de Seguridad que pueda causar un riesgo o daño relevante a los Titulares de los Datos, las Partes deberán comunicar a la otra parte el Incidente de Seguridad dentro de las 48 (cuarenta y ocho) horas hábiles siguientes a tener conocimiento de su ocurrencia, según sea el caso.

10.2 La comunicación contendrá, como mínimo, la siguiente información

(a) Fecha y hora del Incidente de Seguridad;

(b) Fecha y hora del acuse de recibo por parte del notificador;

(c) Lista de los tipos de Datos Personales afectados por el Incidente de Seguridad;

(d) Número de interesados afectados (volumen del Incidente de Seguridad) y, si es posible, una lista de estos individuos;

(e) Datos de contacto del responsable de la protección de datos u otra persona de la que pueda obtenerse más información sobre el incidente; y

(f) Una descripción de las posibles consecuencias del suceso.

10.3 El CLIENTE, como Responsable del Tratamiento de los Datos Personales relacionados con el Incidente de Seguridad, será responsable de realizar las comunicaciones necesarias a los organismos reguladores y a los Titulares de los Datos Personales, cuando sea necesario, en los términos de la Legislación Aplicable.

10.4 Si el Incidente de Seguridad o los efectos del Incidente de Seguridad implican a ZENVIA, las comunicaciones en cuestión deberán ser previamente alineadas entre el CLIENTE y ZENVIA.

10.5 Cuando el CLIENTE, actuando como Responsable del Tratamiento, no acredite el cumplimiento de la notificación del Incidente de Seguridad a la Autoridad Nacional de Protección de Datos, en el plazo de 72 (setenta y dos) horas desde que tuvo conocimiento del hecho, ZENVIA tendrá derecho a realizar las comunicaciones necesarias, sin necesidad de consentimiento previo, salvo que la demora obedezca a causa justificada.

10.6 Las Partes acuerdan que colaborarán para prevenir y detener cualquier Incidente de Seguridad, investigando las posibles causas e incluso considerando la realización de auditorías para concluir la investigación.

11. DISPOSICIÓN DE LOS DATOS PERSONALES

11.1 ZENVIA eliminará definitivamente o devolverá los Datos Personales cuando: (a) lo solicite el CLIENTE;

(b) cuando finalice la relación contractual de las Partes y las obligaciones derivadas de la misma; o

(c) cuando se haya cumplido la finalidad del Tratamiento.

11.1.1 ZENVIA podrá conservar los Datos Personales cuando la continuación del Tratamiento esté permitida por la ley o cuando sea necesario para el cumplimiento de cualquier obligación legal o reglamentaria o para la protección de un derecho legítimo.

11.2 Incluso después de la terminación del contrato u otros acuerdos celebrados entre las Partes, las obligaciones previstas en el presente Anexo continuarán mientras las Partes tengan acceso, estén en posesión o puedan llevar a cabo cualquier operación de Tratamiento de Datos Personales que implique información proporcionada durante la relación contractual.

12. RESPONSABILIDADES DEL CLIENTE EN EL USO DE LA PLATAFORMA

12.1 Además de las demás responsabilidades previstas en las presentes Condiciones Generales de Servicio, en este Anexo, en el Contrato y en la Legislación Aplicable, el CLIENTE declara y garantiza que:

(a) todos los Datos Personales que, de cualquier modo, hayan sido o vayan a ser transferidos a ZENVIA, han sido y serán obtenidos de forma lícita, con una base legal adecuada conforme a la Legislación Aplicable, con la debida transparencia hacia los Titulares de los Datos sobre cómo serán tratados los Datos Personales, conforme a la Legislación Aplicable, incluyendo lo relativo a la protección y confidencialidad de los Datos Personales;

(b) haya obtenido, con carácter previo y mediante manifestación libre, inequívoca e informada, el consentimiento de los Titulares para el envío de mensajes, cuando dicha autorización sea necesaria para la licitud de la comunicación, en los términos de la Legislación Aplicable y/o en razón de responsabilidades asumidas contractualmente con terceros;

(c) si, durante la utilización de los servicios, existe la posibilidad de Tratamiento de Datos Personales de menores de edad o Datos Personales sensibles, ha obtenido el consentimiento necesario, de conformidad con los requisitos legales determinados por la Legislación Aplicable, y notificará previamente a ZENVIA la posibilidad de dicho Tratamiento;

(d) es plenamente responsable del formato, exactitud, calidad, contenido y licitud de los Datos Personales cargados, almacenados y tratados en las Plataformas utilizadas en los servicios, en los términos de la Legislación Aplicable;

(e) es plenamente responsable del Tratamiento de Datos Personales efectuado por sí mismo, o a solicitud del CLIENTE, en el marco de la ejecución de la relación contractual, y mantendrá indemne a ZENVIA de cualesquiera daños y perjuicios, directos o indirectos, derivados de cualquier operación de Tratamiento de Datos Personales efectuada en desacuerdo con el presente Anexo y la Legislación Aplicable.

12.1.1 Por mantener indemne a ZENVIA se entenderá, por ejemplo, según el caso (1) indemnizar y reembolsar a ZENVIA, (2) prestar garantías en procedimientos, (3) asumir la responsabilidad por actos y hechos relacionados con el uso del canal por parte del CLIENTE, (4) calificar en procedimientos judiciales y administrativos que tengan por objeto actos o hechos relacionados con el uso del canal por parte del CLIENTE, solicitando, en su caso, la exclusión de ZENVIA del procedimiento.