DECLARACIÓN DE GDPR

PARA CONOCIMIENTO Y CIENCIA DE LOS PROVEEDOR ES DE ADP PATRONES DE SEGURIDAD Y PRIVACIDAD DE DATOS ADP

 

1. Definiciones

1.1. Los “Datos de ADP” comprenden, de forma colectiva, todos los datos procesados por el PROVEEDOR para  ADP  relacionados con los Productos del PROVEEDOR  y/o Servicios del PROVEEDOR. Los Datos ADP  incluyen todas las informaciones proporcionadas por ADP  al PROVEEDOR  para su Procesado (incluyendo Datos Personales), así como cualesquiera de los datos colectados o generados por el PROVEEDOR  para ADP .
 
1.2. Los “Datos Personales EEE” se refieren a las informaciones personales (conforme lo definido en el GDPR) pertenecientes a los residentes del Espacio Económico Europeo (EEE) y Suiza.
 
1.3. La “Transferencia de Datos Personales EEE” posee el significado establecido en la Sección 4.2.
 
1.4. “GDPR” se refiere a la Norma (EU) 2016/679, el Reglamento General de Protección de Datos.
 
1.5. “Informe de Control Interno” se refiere al informe Tipo II de Control Organizativo de Servicio (SOC) (basado en el modelo SSAE 16 o ISAE 3402) o a cualquier informe que lo suceda.
 
1.6. Los “Datos Personales” se refieren a todo y cualquier dato (independientemente de su formato) contenido en los Datos de ADP  que (i) identifiquen o puedan ser utilizados para identificar, contactar o localizar a una persona física, o (ii) pertenezcan de algún modo a una persona física no identificada.
 
1.7. Las “Leyes de Privacidad” se refieren a todas las leyes aplicables en los EE. UU. e internacionalmente que regulen el Procesamiento de Datos Personales. Concretamente, las “Leyes de Privacidad” incluyen el GDPR y otras leyes aplicables que especifican la privacidad, protección de datos, seguridad u obligaciones referentes a notificaciones obligatorias de violación de seguridad que se aplican a los Datos Personales o al suministro de Productos del PROVEEDOR  o Servicios del PROVEEDOR.
 
1.8. “Proceso”, “Procesado” o “Procesamiento” se entienden como cualquier operación o grupo de operaciones que se realice(n) con datos ADP , por medios automáticos o no, tales como su colección, creación, compilación, utilización, exhibición, reproducción, organización, almacenamiento, alteración, transferencia, transmisión, combinación, redacción, eliminación o destrucción.
 
1.9. El “Apéndice de Procesado” es un documento adjunto a cada Pedido (según corresponda) y ejecutado por el PROVEEDOR  que determina ciertos detalles relativos al Procesado de Datos de ADP  por parte del PROVEEDOR.
 
1.10. La “Violación de Seguridad” se entiende como (i) “violación de Datos Personales” (conforme a lo definido en el GDPR), (ii) “violación de seguridad del sistema” o término similar (conforme a lo definido en cualquier otra Ley de Privacidad), o (iii) cualquier otro evento que comprometa la seguridad, confidencialidad o integridad de los Datos de ADP.
 
1.11. Las “Informaciones Confidenciales” consisten en aquellos elementos de los Datos Personales que debido a su naturaleza han sido clasificados por ley como merecedores de privacidad y protección de seguridad adicionales. Dentro de las Informaciones Confidenciales se incluyen: (i) todos los números de identificación emitidos por el Gobierno, (ii) todos los números de cuentas financieras (incluyendo la información de las tarjetas de pago) asociados o no a una persona física o jurídica, (iii) informes médicos individuales, información genética o biométrica, (iv) todos los datos obtenidos de una agencia de evaluación de consumo en los EE. UU. (tales como informes de investigación sobre el historial del empleado, informes de crédito y puntuaciones de crédito), (v) credenciales de usuario de cuenta, tales como nombre de usuario, contraseñas, preguntas/respuestas de seguridad y otro tipo de datos de recuperación de contraseña, y (vi) elementos de informaciones que constituyen Categorías Especiales de Datos bajo el GDPR, denominadas Datos Personales EEE, que revelen el origen étnico o racial, las opiniones políticas, las creencias filosóficas o religiosas, la pertenencia a sindicatos, y el procesado de datos genéticos, datos biométricos con el único propósito de identificar a la persona física, datos referentes a la salud o a la vida sexual u orientación sexual de la persona física.
 
1.12. El “Subprocesador” se entiende como cualquier tercera parte (incluyendo al Afiliado del PROVEEDOR) que suministre cualesquiera servicios al PROVEEDOR  y que pueda tener acceso (incluyendo acceso inadvertido) a cualquier Dato de ADP.
 
1.13. La “Transferencia” se refiere a la divulgación o cualquier otra forma de difusión de Datos de ADP  a una tercera parte (incluyendo cualquier PROVEEDOR  Afiliado o Subprocesador), sea por traslado físico de los Datos de ADP  para tal parte o por permitir el acceso a los Datos de ADP  a través de otros medios.
 
 
 

2. Obligaciones generales

2.1. Propósito del Procesado. El PROVEEDOR  debe tan solo Procesar o Transferir Datos de ADP  (i) de acuerdo con lo autorizado por ADP , y (ii) según lo necesario para realizar los Servicios del PROVEEDOR  u ofrecer los Productos del PROVEEDOR.
 
2.2. El PROVEEDOR  debe Procesar todos los Datos de ADP  de acuerdo con el Apéndice de Procesado aplicable.
 
2.3. Conformidad con las Leyes de Privacidad. Cada parte debe realizar esfuerzos razonables para mantenerse informada respecto a los requisitos regulatorios y legales requeridos para el Procesado de Datos de ADP. En la medida en que los Datos de ADP  contengan cualesquiera Datos Personales, el PROVEEDOR  afirma haber implantado medidas organizativas y técnicas apropiadas para asegurar que el Procesado esté en conformidad con todas las Leyes de Privacidad, así como con las políticas de seguridad y privacidad del propio PROVEEDOR.
 
2.4. Política de Privacidad. Si el Servicio del PROVEEDOR  o los Productos del PROVEEDOR  implican la recogida de Datos Personales directamente de los individuos, el PROVEEDOR  proporcionará, a pedido de ADP, a tales individuos la política de privacidad de forma evidente y clara. Dicha notificación podrá estar o bajo la forma de política de privacidad del PROVEEDOR, o bajo la forma de política de privacidad de ADP, o de la política de privacidad del cliente de ADP, en función de lo considerado apropiado y determinado por ADP .
 
2.5. Exigencias Específicas. Las siguientes cláusulas son utilizadas conforme a lo aplicable dentro del contexto de Productos del PROVEEDOR  y/o Servicios del PROVEEDOR  utilizados:
 
(5.a) Información de tarjeta de Pago. Si los datos de ADP  incluyen cualquier información relativa a la tarjeta de pago (ICP), el PROVEEDOR  deberá cumplir con las exigencias aplicables en ese momento al patrón de seguridad de datos de la  industria de tarjetas de pago.
 
(5.b) Datos Personales EEE. Si los Datos de ADP  incluyen Datos Personales EEE, el PROVEEDOR  y ADP  deben asegurar la protección adecuada para los Datos Personales EEE. Cada parte deberá cumplir con las especificaciones del GDPR y otras Leyes de Privacidad aplicables, como “controlador” o “procesador” (conforme a lo definido por el GDPR). En caso de cualquier Transferencia de Datos Personales EEE, ambas partes deben documentar la protección adecuada para los Datos Personales EEE utilizando medios aprobados de acuerdo con la Sección 4.2, que serán descritos más adelante.
 
 

3. Subprocesadores

3.1. Requisitos de los Subprocesadores. Los PROVEDORES deben asegurarse de que cada Subprocesador autorizado haya firmado un contrato escrito con el PROVEEDOR  que contenga la protección para Datos ADP  que sean materialmente los mismos que aquellos establecidos en este contrato.
 
3.2. Aprobación de Subprocesadores. El PROVEEDOR  no debe Transferir Datos de ADP  a ningún Subprocesador a menos que (i) el Subprocesador haya sido expresamente autorizado por ADP  por escrito y (ii) el Procesamiento de Datos ADP  por parte del Subprocesador sea solicitado para la realización de Servicios del PROVEEDOR  o suministro de Productos del PROVEEDOR.  
 
3.3. Rescisión de Contrato. En caso de que ADP  no esté conforme con la utilización de un determinado Subprocesador, (i) el PROVEEDOR  deberá proponer un proceso alternativo para el Procesado de Datos ADP  que sea aceptable para ADP , o (ii) ADP  tendrá el derecho de rescindir los Productos del PROVEEDOR  o los Servicios del PROVEEDOR  que hayan sido afectados, mediante aviso por escrito. En caso de rescisión, el PROVEEDOR  deberá resarcir inmediatamente cualesquiera tasas pagadas por ADP  que sean referentes al periodo posterior a la fecha efectiva de rescisión.
 
3.4. Lista del Subprocesador. El PROVEEDOR  deberá proporcionar a ADP  una lista conteniendo todos los Subprocesadores en un plazo de cinco (5) días desde que se produzca cualquier pedido por parte de ADP  referido a dicha lista.
 
 

4. Transferencias Internacionales

4.1. Consentimiento. El  PROVEEDOR  no debe transferir datos de  ADP  a través de fronteras nacionales o permitir el acceso remoto a Datos de  ADP  por cualquier Subprocesador fuera del país, a menos que el  PROVEEDOR  disponga de autorización previa por escrito con el consentimiento de  ADP  para tal transferencia. El  PROVEEDOR  entiende que  ADP  debe autorizar todas esas transferencias transfronterizas, incluyendo cualquier utilización de cualquier mecanismo de Transferencia aprobado. En caso de que cualquiera de dichas Transferencias incluya la Transferencia de Datos Personales EEE, el  PROVEEDOR  manifiesta estar de acuerdo con las exigencias de la Sección 4.2 en relación a tales Transferencias. Aunque un requerimiento legal requiera tal Transferencia, tal exigencia legal deberá ser comunicada a  ADP  antes de ser realizada, a menos que la ley prohíba proporcionar tal información teniendo en cuenta el interés público.
 
4.2. Transferencia de Datos Personales EEE. El  PROVEEDOR  debe asegurar una protección adecuada para las Transferencias de Datos Personales por parte del  PROVEEDOR  fuera del EEE (en cada “Transferencia de Datos Personales EEE”). Los siguientes factores son métodos adecuados para proteger las Transferencias de Datos Personales:
 
  • El  PROVEEDOR  debe entrar en una Cláusula Contractual Patrón EU aprobada.
  • El  PROVEEDOR  debe Transferir Datos Personales EEE pertenecientes a su grupo de Normas Vinculantes Corporativas.
  • La Transferencia se realiza a un país capaz de proveer un nivel “adecuado” de protección conforme las Leyes de Privacidad.
El  PROVEEDOR  debe conducir todas las Transferencias de Datos Personales EEE según lo definido en el Apéndice de Procesamiento aplicable. El  PROVEEDOR  entiende y concuerda que  ADP  puede rescindir la Transferencia de Datos Personales según lo necesario para estar en conformidad con las Leyes de Privacidad de EEE.  
 
 

5. Exigencias para Seguridad de Información

5.1. Medidas apropiadas. En todas aquellas situaciones en las que cualquier dato de  ADP  permanezca bajo concesión o control del  PROVEEDOR, el  PROVEEDOR  deberá implementar y documentar medidas administrativas técnicas y físicas apropiadas para proteger los Datos de  ADP  contra cualquier destrucción ilegal o accidental, su alteración o divulgación no autorizada o el acceso no autorizado. El  PROVEEDOR  probará y controlará de forma regular la efectividad de sus medidas de seguridad, controles, sistemas y procedimientos. El  PROVEEDOR  identificará periódicamente los riesgos previsibles internos y externos a la seguridad, confidencialidad e integridad de los Datos  ADP  y se asegurara de que esos riesgos sean reparados en tiempo hábil aceptable.
 
5.2. Acceso. Si los Servicios o Productos del  PROVEEDOR  implican el almacenamiento de datos, el  PROVEEDOR  ubicará cualquier equipo que almacene Datos de  ADP  en áreas de acceso controlado. El  PROVEEDOR  únicamente permitirá el acceso a las mencionadas áreas de acceso controlado a los empleados y trabajadores eventuales que necesiten de forma crítica conocer tales datos para el desempeño de sus tareas.
 
5.3. Punto de Acceso. Cualesquiera servidores de internet externos y terceros con puntos de acceso serán configurados de forma segura, incluyendo (aunque sin limitarse a ello) la implementación de un firewall exclusivo dedicado y construido apropiadamente, que exige el diagnóstico sobre la presencia de virus antes de conceder acceso a la red a terceros, y deshabilitando o eliminando el proceso de enrutamiento para minimizar el acceso.
 
5.4. Continuidad de Operaciones, Recuperación de Desastres. El  PROVEEDOR  deberá haber implementado y documentado planes de recuperación de las operaciones y planes de recuperación frente a desastres apropiados, para así poder continuar o reanudar el suministro de Servicios del  PROVEEDOR  o Productos do  PROVEEDOR  (incluyendo la restauración del acceso a los Datos  ADP) en tiempo hábil después del evento destructivo. El  PROVEEDOR  testará la efectividad de sus planes de continuidad de operaciones y de sus planes de recuperación de desastres, haciendo un seguimiento de forma regular. En intervalos apropiados o conforme a lo exigido por  ADP, el  PROVEEDOR proporcionará una copia escrita de sus planes para la recuperación de desastre juntamente con un sumario de sus planes de continuidad de operaciones. 
 
5.5. Seguridad de Red. Si el Procesamiento implica la transmisión de Datos de  ADP  por una red, el  PROVEEDOR  deberá tener implementadas medidas adicionales apropiadas para proteger los datos de  ADP  contra riesgos específicos presentados por dicho Procesamiento. Los Datos  ADP  no pueden ser transmitidos por una red insegura a menos que hayan sido encriptados de forma apropiadamente a por lo menos 128 bits o más; esto será solicitado por  ADP  de forma razonable, de acuerdo con los procedimientos de mercado vigentes en el momento.
 
5.6. Dispositivos portátiles. Los datos de  ADP  no deben ser almacenados en ningún dispositivo de computador portátil o medio (incluyendo, sin limitarse a ellos, computadora portátil, disco duro externo, USB o pendrives, asistentes digitales personales (PDAs) o teléfonos celulares, DVDs, CDs o cintas de computador) a menos que estén encriptados con un mínimo de 128 bits o más, conforme la solicitación de  ADP  de acuerdo con los procedimientos de mercado vigentes en el momento.
 
5.7. Seguimiento. El  PROVEEDOR  adoptará los pasos apropiados para realizar el seguimiento de la seguridad de los Datos  ADP  y (en caso necesario) identificar a colaboradores con actividades sospechas, incluyendo pedidos inusuales, momentos inusuales o formatos inusuales. Si se considera apropiado, el  PROVEEDOR  utilizará técnicas de “trampa” y rastreo para identificar la fuente de tales pedidos inusuales y relacionarlos con usuarios/clientes autorizados. El  PROVEEDOR  también realizará el seguimiento de (i) las transacciones, para buscar anomalías en tipos de transacciones, volumen de transacciones, cantidad de transacciones e incidentes a lo largo del día, (ii) y violaciones o intentos de violación en sesiones iniciadas.
 
5.8. Violación de Seguridad.
 
(8.a) Investigación y Notificación. El  PROVEEDOR  investigará prontamente y de manera eficiente todas las denuncias de acceso no autorizado relativas al uso o divulgación de Datos  ADP. Al descubrir tales Violaciones de Seguridad el  PROVEEDOR  procederá, sin atraso indebido, a notificárselo a  ADP. Dicha notificación deberá ser realizada mediante un email a VendorSecurity@ ADP .com.  El  PROVEEDOR  deberá suministrar a  ADP  toda la información sobre la Violación de Seguridad necesaria para que  ADP  evalúe sus obligaciones referentes a la respuesta a incidentes.
 
(8.b) Reparación. Si cualquier Violación de Seguridad es resultado de (i) negligencia o conducta indebida del  PROVEEDOR  (o de cualquier Subprocesador), o (ii) fallo del  PROVEEDOR  en lo relativo a estar en conformidad con los términos de esta Parte A o cualquier otro acuerdo con  ADP , el  PROVEEDOR  deberá costear todos los gastos asociados con la resolución de cualquier Violación de Seguridad, incluyendo (sin limitarse a ello), el desarrollo de la investigación, la utilización de medidas forenses apropiadas para alertarlos sobre el riesgo de daño, la notificación a los reguladores y otras partes conforme a lo previsto por ley, proporcionando a los individuos de supervisión del crédito (o cualquier otro tipo de servicio de reparación apropiado conforme a lo aprobado por  ADP ), y sujeto a autorización previa por escrito por parte de  ADP , en repuesta al individuo, al regulador y/o a consultas de prensa.
 
 

6. Cooperación

6.1. Cooperación General. El PROVEEDOR  deberá cooperar rápidamente con ADP  en lo relativo a la respuesta a investigaciones, incidentes, alegaciones y reclamaciones sobre el Procesado de Datos de ADP  o conforme a lo necesario para que ADP  demuestre conformidad con las Leyes de Privacidad aplicables. Además, el PROVEEDOR  ayudará, en la medida de lo posible, al cumplimiento de las obligaciones de ADP  frentes a dichas Leyes de Privacidad, y particularmente en la respuesta a las exigencias relativas al ejercicio de derechos individuales mediante tales Leyes de Privacidad.
 
6.2. Notificación de Solicitudes. El PROVEEDOR  deberá prontamente informar a ADP  por escrito en lo relativo a: (i) cualquier pedido en relación a cualquier Dato ADP  recibido por un individuo que sea (o alegue ser) objeto de tales datos, (ii) cualquier pedido de acceso a cualquier Dato ADP  recibido por el PROVEEDOR  por parte de cualquier oficial gubernamental (incluyendo cualquier agencia de protección de datos o agencia de cumplimiento de la ley) a menos que le sea expresamente prohibido por ley realizar la notificación de tal pedido a ADP , o (iii) cualesquiera otros pedidos en relación a los Datos ADP  que estén fuera del ámbito de Servicios del PROVEEDOR. El PROVEEDOR  entiende que no debe responder a tales pedidos a menos que sea expresamente autorizado por ADP  o en caso de que la respuesta sea legalmente exigida por medio de orden judicial o documento legal similar emitido por una agencia gubernamental que exija divulgación. Si al PROVEEDOR  le fuese legalmente prohibido responder a tal pedido, como en caso de prohibición bajo ley criminal para preservar la confidencialidad de una investigación con la intención de la aplicación de la ley, el PROVEEDOR  solicitara a la Autoridad que lo exima de tal prohibición por escrito.  
 
 

7. Información, Informes y Auditoría

7.1. Informes. Anualmente, mediante pedido, el PROVEEDOR  deberá suministrar a ADP  copias de sus Informes de Control Interno aplicables. ADP  comprende que tales Informes de Control Interno contienen Información Confidencial del PROVEEDOR, y no deberá divulgar los Informes de Control Interno a no ser a sus auditores y consejeros en conexión con la verificación de la conformidad por parte del PROVEEDOR  de las exigencias del programa de privacidad y seguridad de ADP.
 
7.2. Información y Auditoría. Mediante pedido, el PROVEEDOR  deberá proporcionar a ADP  las informaciones sobre el programa de seguridad de informaciones del PROVEEDOR  u otras informaciones necesarias para demostrar conformidad con esta Parte A y el Acuerdo. El PROVEEDOR también deberá someter sus instalaciones de procesado de datos a auditoría, durante horas laborales razonables, que deberán ser realizadas por ADP  (o por un auditor independiente designado por ADP) de forma mutuamente acordada en como máximo diez (10) días después del pedido. El PROVEEDOR deberá cooperar completamente con dicha auditoría. En caso de que la auditoría revele violación material de los términos aquí explicitados que no pueda ser remediada dentro de un periodo razonable, ADP  tendrá el derecho de suspender el Procesado de Datos de ADP por parte del PROVEEDOR hasta que tales cuestiones se resuelvan. Las auditorías deberán realizarse únicamente una vez por año, siempre y cuando ADP  pueda realizar la auditoría en cualquier momento en el caso de Violación de Seguridad o sospecha de violación material por parte del PROVEEDOR  en relación a sus obligaciones bajo este Acuerdo. El PROVEEDOR  también deberá cooperar con cualesquiera auditorías conducidas por cualquier agencia reguladora que tenga autoridad sobre ADP  o los clientes de ADP  (si procede) según lo requerido para estar en conformidad con las leyes aplicables. El PROVEEDOR  informará a ADP  inmediatamente en la medida en que el PROVEEDOR  considere que una instrucción infrinja una Ley de Privacidad aplicable.
 
 

8. Devolución, Destrucción de Datos de ADP

Sujeta a cualesquiera disposiciones en cualquier acuerdo con el PROVEEDOR  en relación a la finalización y transición de procesos, cuando el PROVEEDOR  deje de realizar servicios para ADP  (y en cualquier otro momento, mediante pedido) el PROVEEDOR  devolverá o destruirá los Datos ADP, y mediante pedido de ADP, certificará que dichas acciones se hayan realizado. Los medios electrónicos que contengan Datos de ADP  serán eliminados de manera que convierta a los Datos de ADP  en irrecuperables. Si el PROVEEDOR  está obligado por las leyes aplicables a retener Datos de ADP, el PROVEEDOR  garantiza que (i) se asegurara de mantener la confidencialidad y seguridad de los Datos ADP, (ii) eliminará o destruirá de forma segura los Datos ADP  cuando el periodo de retención haya acabado, y (iii) no procesará activamente Datos ADP  a no ser que ellos sean necesarios para estar en conformidad con las exigencias legales.
 
 
El Proveedor acuerda que a partir de la aceptación del pedido de compra y / o contrato de ADP, queda ya condicionado a la atención de todas las obligaciones aquí constantes.