En esta página
- 1. Partes, alcance y efecto
- 2. Definiciones
- 3. Funciones y responsabilidades del Cliente
- 4. Instrucciones documentadas y propósito limitado
- 5. Confidencialidad y acceso
- 6. Medidas de seguridad
- 7. Subencargados
- 8. Ayuda con derechos individuales
- 9. Incidentes de seguridad
- 10. Evaluaciones, consultas y autoridades
- 11. Auditorías e información de cumplimiento
- 12. Devolución y eliminación
- 13. Transferencias internacionales
- 14. Términos para proveedores de servicios en Estados Unidos
- 15. Datos restringidos y ausencia de acuerdo HIPAA
- 16. Detalles del tratamiento
1. Partes, alcance y efecto
Este Anexo de Tratamiento de Datos (Anexo) se celebra entre la organización cliente que acepta los Términos de FacturaOS (Cliente) y J.R.SOSA & CO. (FacturaOS). Aplica cuando FacturaOS trata Datos Personales del Cliente por cuenta del Cliente al proveer el servicio.
Este Anexo se incorpora a los Términos y entra en vigor cuando el Cliente acepta los Términos o somete Datos Personales del Cliente por primera vez, lo que ocurra primero. Si hay un conflicto sobre ese tratamiento, rige este Anexo y luego los Términos.
2. Definiciones
Ley Aplicable de Protección de Datos significa la ley de privacidad o protección de datos que aplique al tratamiento. Controlador, responsable, encargado, proveedor de servicios, negocio, datos personales, información personal, tratamiento, venta y autoridad supervisora tienen el significado de esa ley.
Datos Personales del Cliente significa información personal en los Datos del Cliente que FacturaOS trata por cuenta del Cliente. Excluye información que FacturaOS controla independientemente para administrar cuentas, facturación, seguridad, cumplimiento legal y su propio negocio según la Política de Privacidad.
3. Funciones y responsabilidades del Cliente
El Cliente es el responsable o negocio, o un encargado que actúa para otro responsable. FacturaOS es el encargado o proveedor de servicios para los Datos Personales del Cliente. Cada parte cumplirá sus obligaciones bajo la Ley Aplicable de Protección de Datos.
El Cliente responde por instrucciones legales; avisos y consentimientos requeridos; exactitud, necesidad y legalidad de los datos; responder a las personas cuyos datos controla; y determinar que el servicio sea apropiado para sus requisitos regulatorios.
4. Instrucciones documentadas y propósito limitado
El Cliente instruye a FacturaOS a tratar los Datos Personales del Cliente para proveer, proteger, apoyar, mantener y mejorar el servicio; prevenir fraude y abuso; cumplir acciones configuradas; y ejecutar los Términos. Los Términos, configuración, solicitudes de soporte y uso legal de funciones constituyen instrucciones documentadas.
FacturaOS no tratará los datos para un propósito ajeno ni los venderá. Podrá tratarlos cuando la ley lo exija y, salvo prohibición, informará al Cliente antes. Si una instrucción parece ilegal, FacturaOS podrá suspender el tratamiento afectado y avisar al Cliente.
5. Confidencialidad y acceso
FacturaOS limitará el acceso a personal y contratistas que lo necesiten para funciones autorizadas y estén obligados a confidencialidad. Mantendrá controles razonables y revisará accesos de forma apropiada a su tamaño, riesgo y servicio.
6. Medidas de seguridad
FacturaOS mantendrá medidas administrativas, técnicas y organizacionales razonables diseñadas para proteger los Datos Personales del Cliente contra destrucción, pérdida, alteración, divulgación o acceso accidental o ilegal.
Las medidas incluyen, según corresponda, transmisión cifrada; autenticación y acceso por roles; controles de almacenamiento privado; separación de ambientes; registros y monitoreo; evaluación de proveedores; manejo de vulnerabilidades y dependencias; respaldos y recuperación; respuesta a incidentes; y minimización. El Cliente reconoce que la seguridad evoluciona y FacturaOS puede actualizar medidas sin reducir materialmente la protección general.
7. Subencargados
El Cliente autoriza de forma general a FacturaOS a contratar subencargados necesarios. Los proveedores principales actuales aparecen en la Lista de Subencargados. FacturaOS impondrá obligaciones apropiadas a cada función y continúa responsable por sus propias obligaciones bajo este Anexo.
FacturaOS puede actualizar la lista. El Cliente puede objetar dentro de 15 días de un aviso material explicando motivos razonables de protección de datos. Las partes buscarán de buena fe una solución razonable; si no existe, el remedio del Cliente será dejar de usar la función afectada o terminar el servicio, sujeto a la Política de Reembolsos y Cancelación y a la ley irrenunciable.
8. Ayuda con derechos individuales
Considerando la naturaleza del tratamiento, FacturaOS proveerá ayuda razonable mediante controles del producto o soporte para que el Cliente responda solicitudes válidas de acceso, corrección, eliminación, restricción, oposición o portabilidad.
Si FacturaOS recibe una solicitud sobre Datos Personales del Cliente, podrá dirigirla al Cliente y no responderá en cuanto al fondo salvo bajo instrucciones o por exigencia legal. El Cliente responde por verificar y contestar.
9. Incidentes de seguridad
FacturaOS avisará al Cliente sin demora indebida luego de confirmar un incidente de seguridad que afecte Datos Personales del Cliente cuando la ley o este Anexo requiera aviso. Podrá enviar el aviso al dueño de la cuenta u otro contacto designado e incluirá información disponible razonablemente necesaria para la respuesta.
El aviso no admite culpa ni responsabilidad. El Cliente mantendrá contactos actualizados y responde por sus propios avisos legales. Ataques fallidos, escaneos, intentos bloqueados y eventos que no comprometan datos no son incidentes bajo este Anexo.
10. Evaluaciones, consultas y autoridades
FacturaOS proveerá información razonable necesaria para una evaluación de impacto o consulta con una autoridad, considerando la naturaleza del tratamiento y la información disponible. El Cliente decide si una evaluación o consulta es obligatoria.
11. Auditorías e información de cumplimiento
Mediante solicitud escrita razonable no más de una vez al año, FacturaOS proveerá información disponible de seguridad o cumplimiento razonablemente necesaria. Si la ley exige más y esa información no basta, las partes podrán coordinar una auditoría limitada por un auditor independiente cualificado, bajo confidencialidad, en horario laboral, sin acceder datos de otros clientes ni interrumpir operaciones injustificadamente.
El Cliente paga sus costos y costos razonables de FacturaOS salvo que la auditoría identifique un incumplimiento material no corregido. No incluye código fuente, pruebas de penetración, información privilegiada, secretos comerciales ajenos al cumplimiento ni infraestructura fuera del control de FacturaOS.
12. Devolución y eliminación
Durante la suscripción, el Cliente puede acceder o exportar Datos del Cliente compatibles. Luego de terminar o recibir una solicitud autorizada, FacturaOS eliminará o devolverá datos según las funciones y procesos de conservación, salvo retención legal.
La eliminación de respaldos, registros técnicos, sistemas de pago y sistemas de subencargados puede tomar tiempo adicional. Los datos retenidos seguirán protegidos y solo se usarán por la razón de retención. El Cliente debe exportar registros legalmente requeridos antes de eliminar.
13. Transferencias internacionales
El Cliente autoriza tratamiento en Estados Unidos y otros lugares usados por subencargados aprobados. Cuando la Ley Aplicable requiera un mecanismo de transferencia, las partes cooperarán de buena fe para implementar uno apropiado, como cláusulas contractuales estándar aplicables, hasta donde esté disponible para el servicio y plan.
Este Anexo por sí solo no certifica que el uso del Cliente cumpla todo requisito internacional. El Cliente responde por su evaluación y obligaciones suplementarias específicas a sus datos o jurisdicción.
14. Términos para proveedores de servicios en Estados Unidos
Cuando una ley estatal trate a FacturaOS como proveedor de servicios, contratista o encargado, FacturaOS no venderá ni compartirá los Datos Personales del Cliente; no los retendrá, usará o divulgará fuera de la relación directa salvo permiso legal; no los combinará con fuentes no relacionadas salvo permiso; ni los usará para publicidad dirigida basada en actividad entre negocios no afiliados.
El Cliente puede tomar pasos razonables para confirmar consistencia con estas restricciones y avisar una creencia razonable de tratamiento no autorizado. FacturaOS cooperará de buena fe para detener y corregir un uso no autorizado confirmado.
15. Datos restringidos y ausencia de acuerdo HIPAA
El Cliente no someterá credenciales completas de tarjetas, información de salud protegida por HIPAA, números de Seguro Social, plantillas biométricas, credenciales gubernamentales ni datos regulados de riesgo similar salvo autorización escrita expresa.
Este Anexo no es un Acuerdo de Asociado Comercial bajo HIPAA ni hace a FacturaOS compatible con todo régimen particular del Cliente. El Cliente debe obtener un acuerdo escrito separado antes de usar FacturaOS con datos que legalmente lo requieran.
16. Detalles del tratamiento
Materia y duración: proveer FacturaOS durante el acuerdo más períodos limitados de conservación y eliminación. Naturaleza y propósito: alojar, organizar, generar, transmitir, exportar, proteger, apoyar y eliminar registros según configure el Cliente.
Las personas pueden incluir usuarios, clientes, prospectos, destinatarios de facturas, empleados, contratistas, suplidores, contactos y participantes de soporte. Los datos pueden incluir identificadores, contactos, registros comerciales, información de facturas y transacciones, fotografías o archivos, licencias profesionales, dispositivo y uso, soporte y demás datos que el Cliente someta.
Las operaciones pueden incluir recopilación, registro, organización, estructuración, almacenamiento, recuperación, consulta, uso, transmisión, divulgación bajo instrucciones, restricción, respaldo, exportación y eliminación. La frecuencia es continua o según la inicien usuarios. Los derechos y obligaciones del Cliente están en los Términos y este Anexo.