El cliente que acepta estos términos (“Cliente”) ha celebrado un Acuerdo de Términos de Uso o un Acuerdo de Servicios SaaS con The Enlighten Company S/A (“Enspace”) bajo el cual Enspace se compromete a prestar servicios al Cliente (según se modifique ocasionalmente, el “Acuerdo”).

Este Anexo de Protección de Datos, incluidos sus Apéndices aplicables (el “Anexo”), entrará en vigor y reemplazará cualquier término de procesamiento de datos y seguridad aplicable previamente a partir de la Fecha de Vigencia del Anexo (según se define a continuación). Este Anexo forma parte del Acuerdo.

Cualquier término en mayúsculas utilizado pero no definido de otro modo en este Anexo tendrá el significado que se le asigne en el Acuerdo.

1. Definiciones

Para los fines de este Anexo, los términos que se enumeran a continuación tendrán los significados establecidos. Los términos en mayúsculas que se utilicen pero que no estén definidos de otro modo en este Anexo tendrán los significados establecidos en el Acuerdo.

1.1 “Fecha de Vigencia del Anexo” significa la fecha en que las partes acordaron este Anexo.
1.2 “Afiliada” significa cualquier entidad que directa o indirectamente controle, sea controlada por o esté bajo control común con la entidad objeto, donde “control” se refiere al poder de dirigir o causar la dirección de la gestión de la entidad objeto, ya sea mediante la propiedad de títulos con derecho a voto, por contrato o de otra forma.
1.3 “Informes de Auditoría” tiene el significado atribuido en la Sección 5.4.4 (Informes de Auditoría).
1.4 “CCPA” significa la Ley de Privacidad del Consumidor de California de 2018.
1.5 “Datos Personales del Cliente” significa cualquier dato personal o información personal de los titulares de los datos contenidos en los datos proporcionados o accedidos por Enspace en nombre del Cliente o usuarios finales del Cliente en relación con los Servicios.
1.6 “Legislación Global de Protección de Datos” significa la Legislación Europea de Protección de Datos, la CCPA y la LGPD según sea aplicable al procesamiento de Datos Personales del Cliente bajo el Acuerdo.
1.7 “EEE” significa el Espacio Económico Europeo.
1.8 “UE” significa la Unión Europea.
1.9 “Legislación Europea de Protección de Datos” significa el GDPR y otras leyes de protección de datos de la UE, sus Estados Miembros, Suiza, Islandia, Liechtenstein, Noruega y Reino Unido aplicables al procesamiento de Datos Personales del Cliente bajo el Acuerdo.
1.10 “GDPR” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos, y que deroga la Directiva 95/46/EC.
1.11 “Incidente de Seguridad de la Información” significa una violación de la seguridad de Enspace que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos Personales del Cliente en posesión, custodia o control de Enspace. “Incidentes de Seguridad de la Información” no incluirán intentos fallidos o actividades que no comprometan la seguridad de los Datos Personales del Cliente, incluidos intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.
1.12 “LGPD” significa la Ley General de Protección de Datos de Brasil.
1.13 “Cláusulas Contractuales Estándar” o “SCCs” tienen el significado establecido en el Apéndice 3 (Soluciones de Transferencia Transfronteriza) de este Anexo.
1.14 “Documentación de Seguridad” significa todos los documentos e información puestos a disposición por Enspace en la Sección 5.4.1 (Auditorías).
1.15 “Medidas de Seguridad” tiene el significado asignado en la Sección 5.1.1 (Medidas de Seguridad de Enspace).
1.16 “Servicios” significa los servicios y/o productos que Enspace proporcionará al Cliente bajo el Acuerdo.
1.17 “Sub-Procesadores” significa terceros autorizados bajo este Anexo para procesar Datos Personales del Cliente en relación con los Servicios.
1.18 “Plazo” significa el período desde la Fecha de Vigencia del Anexo hasta el final de la prestación de los Servicios por parte de Enspace.
1.19 “Solución de Transferencia” significa las Cláusulas Contractuales Estándar u otra solución que permita la transferencia legal de datos personales a un tercer país de acuerdo con el Artículo 45 o 46 del GDPR.
1.20 Los términos “datos personales”, “titular de los datos”, “tratamiento”, “responsable”, “encargado” y “autoridad de control” utilizados en este Anexo tienen los significados asignados en el GDPR y LGPD, según corresponda, y los términos “importador de datos” y “exportador de datos” tienen los significados atribuidos en las Cláusulas Contractuales Estándar. Los términos “información personal”, “negocio” y “proveedor de servicios” tienen los significados definidos en la CCPA.

2. Duración del Anexo

Este Anexo entrará en vigor en la Fecha de Vigencia del Anexo y, a pesar de la expiración del Plazo, permanecerá en vigor hasta que se eliminen automáticamente todos los Datos Personales del Cliente por parte de Enspace, según lo descrito en este Anexo.

3. Procesamiento de Datos

3.1 Roles y Cumplimiento Normativo; Autorización

3.1.1 Responsabilidades del Encargado y del Responsable. Este Anexo se aplica solo en la medida en que procesemos Datos Personales del Cliente en nombre del Cliente. Si la Legislación Europea de Protección de Datos, la LGPD o la CCPA se aplican al procesamiento de Datos Personales del Cliente, las partes reconocen y acuerdan que:
(a) el objeto y los detalles del procesamiento se describen en el Apéndice 1;
(b) Enspace es un encargado de dichos Datos Personales del Cliente bajo la Legislación Europea de Protección de Datos o la LGPD, y/o un Proveedor de Servicios con respecto a dichos Datos Personales del Cliente bajo la CCPA, según corresponda;
(c) el Cliente es un responsable o encargado de dichos Datos Personales del Cliente bajo la Legislación Europea de Protección de Datos o la LGPD, y/o una Empresa con respecto a dichos Datos Personales del Cliente bajo la CCPA, según corresponda; y
(d) cada parte cumplirá con las obligaciones que le correspondan conforme a la Legislación Global de Protección de Datos aplicable con respecto al procesamiento de dichos Datos Personales del Cliente.

3.1.2 Autorización por parte de un Responsable de Terceros. Si la Legislación Europea de Protección de Datos se aplica al procesamiento de Datos Personales del Cliente y el Cliente es un encargado, el Cliente garantiza a Enspace que las instrucciones y acciones del Cliente respecto a dichos Datos Personales del Cliente, incluida su designación de Enspace como otro encargado y su consentimiento para las transferencias posteriores de Datos Personales del Cliente a sus Sub-Procesadores, han sido autorizadas por el responsable correspondiente.

3.2 Alcance del Procesamiento

3.2.1 Instrucciones del Cliente. Al celebrar este Anexo, el Cliente instruye a Enspace para procesar los Datos Personales del Cliente únicamente de acuerdo con la ley aplicable:
(a) para proporcionar los Servicios;
(b) según lo autorizado por el Acuerdo, incluyendo este Anexo y sus Apéndices; y
(c) según lo documentado en cualquier otra instrucción por escrito proporcionada por el Cliente y reconocida por escrito por Enspace como instrucciones para los fines de este Anexo.

3.2.2 Cumplimiento de Enspace con las Instrucciones. Enspace solo procesará los Datos Personales del Cliente de acuerdo con las instrucciones del Cliente descritas en la Sección 3.2.1 (incluyendo en relación con las transferencias de datos) (“Instrucciones del Cliente”), a menos que la Legislación Global de Protección de Datos aplicable a la que esté sujeto Enspace exija otro procesamiento de los Datos Personales del Cliente, en cuyo caso Enspace notificará al Cliente (a menos que la ley prohíba a Enspace hacerlo por motivos importantes de interés público).

4. Eliminación de Datos

4.1 Eliminación tras la Terminación. A menos que se disponga lo contrario en el Acuerdo, al expirar el Plazo, el Cliente instruye a Enspace a eliminar todos los Datos Personales del Cliente (incluidas las copias existentes) de los sistemas de Enspace según lo exigido y de acuerdo con la ley aplicable tan pronto como sea razonablemente posible, a menos que la ley aplicable impida a Enspace eliminar dichos datos. En la medida en que el Cliente esté sujeto a leyes o regulaciones que requieran que Enspace retenga los Datos Personales del Cliente después del vencimiento del Plazo y el Cliente no informe a Enspace sobre dichas obligaciones de retención, el Cliente será el único responsable de cualquier eliminación de dichos datos por parte de Enspace de acuerdo con esta Sección 4.1.

5. Seguridad de los Datos

5.1 Medidas, Controles y Asistencia de Seguridad de Enspace

5.1.1 Medidas de Seguridad de Enspace. Enspace implementará y mantendrá medidas técnicas y organizativas para proteger los Datos Personales del Cliente contra destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso, según se describe en el Apéndice 2 (las “Medidas de Seguridad Técnicas y Organizativas”). Enspace podrá actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no disminuyan materialmente la seguridad general de los Servicios.

5.1.2 Cumplimiento de Seguridad por el Personal de Enspace. Enspace otorgará acceso a los Datos Personales del Cliente solo a empleados, contratistas y Sub-Procesadores que necesiten dicho acceso dentro del alcance de su desempeño y estén sujetos a acuerdos de confidencialidad apropiados.

5.1.3 Asistencia de Seguridad de Enspace. Enspace proporcionará (considerando la naturaleza del procesamiento de los Datos Personales del Cliente y la información disponible para Enspace) la asistencia razonable necesaria para que el Cliente cumpla con sus obligaciones respecto a los Datos Personales del Cliente bajo la Legislación Global de Protección de Datos, incluidos los Artículos 32 a 34 (inclusive) del GDPR y los Artículos 6 y 46 de la LGPD, mediante:
(a) la implementación y el mantenimiento de las Medidas de Seguridad de acuerdo con la Sección 5.1.1 (Medidas de Seguridad de Enspace);
(b) el cumplimiento de los términos de la Sección 5.2 (Incidentes de Seguridad de la Información); y
(c) la provisión al Cliente de la Documentación de Seguridad de acuerdo con la Sección 5.4.1 (Revisiones de Documentación de Seguridad) y el Acuerdo, incluido este Anexo.

5.2 Incidentes de Seguridad de la Información

5.2.1 Notificación de Incidentes de Seguridad de la Información. Si Enspace toma conocimiento de un Incidente de Seguridad de la Información, Enspace:
(a) notificará al Cliente sobre el Incidente de Seguridad de la Información sin demora indebida después de tomar conocimiento del Incidente de Seguridad de la Información; y
(b) tomará medidas razonables para identificar la causa de dicho Incidente de Seguridad de la Información, minimizar los daños y prevenir una recurrencia.

5.2 Incidentes de Seguridad de la Información (Continuación)

5.2.2 Detalles del Incidente de Seguridad de la Información. Las notificaciones realizadas bajo esta Sección 5.2 (Incidentes de Seguridad de la Información) describirán, en la medida de lo posible, los detalles del Incidente de Seguridad de la Información, incluyendo:
(i) la naturaleza del Incidente de Seguridad de la Información, incluidas, siempre que sea posible, las categorías y el número aproximado de titulares de datos afectados y las categorías y el número aproximado de registros de datos personales afectados;
(ii) el nombre y los datos de contacto del responsable de protección de datos u otro punto de contacto donde se pueda obtener más información;
(iii) las consecuencias probables del Incidente de Seguridad de la Información; y
(iv) las medidas tomadas o propuestas para mitigar los riesgos potenciales y las medidas que Enspace recomienda que el Cliente adopte para abordar el Incidente de Seguridad de la Información, incluyendo, cuando sea apropiado, medidas para mitigar sus posibles efectos adversos.

5.2.3 Notificación. El Cliente es el único responsable de cumplir con las leyes de notificación de incidentes aplicables al Cliente y de cumplir con cualquier obligación de notificación a terceros relacionada con cualquier Incidente(s) de Seguridad de la Información.

5.2.4 No Admisión de Culpa por parte de Enspace. La notificación o respuesta de Enspace a un Incidente de Seguridad de la Información bajo esta Sección 5.2 (Incidentes de Seguridad de la Información) no se interpretará como un reconocimiento por parte de Enspace de ninguna falla o responsabilidad con respecto al Incidente de Seguridad de la Información.

5.3 Responsabilidades y Evaluación de Seguridad del Cliente

5.3.1 Responsabilidades de Seguridad del Cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Enspace bajo la Sección 5.1 (Medidas, Controles y Asistencia de Seguridad de Enspace) y la Sección 5.2 (Incidentes de Seguridad de la Información):
(a) El Cliente es el único responsable del uso de los Servicios, incluyendo:
(i) hacer un uso adecuado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo en relación con los Datos Personales del Cliente;
(ii) proteger las credenciales de la cuenta, los sistemas de autenticación y los dispositivos que el Cliente utiliza para acceder a los Servicios;
(iii) proteger los sistemas y dispositivos del Cliente que Enspace utiliza para proporcionar los Servicios; y
(iv) realizar copias de seguridad de sus Datos Personales del Cliente.

(b) Enspace no tiene la obligación de proteger los Datos Personales del Cliente que el Cliente decida almacenar o transferir fuera de los sistemas de Enspace y sus Sub-Procesadores (por ejemplo, almacenamiento fuera de línea o en las instalaciones).

5.3.2 Evaluación de Seguridad del Cliente
(a) El Cliente es el único responsable de revisar la Documentación de Seguridad y evaluar por sí mismo si los Servicios, las Medidas de Seguridad y los compromisos de Enspace bajo esta Sección 5 (Seguridad de los Datos) satisfarán las necesidades del Cliente, incluyendo con respecto a cualquier obligación de seguridad del Cliente bajo la Legislación Global de Protección de Datos aplicable.
(b) El Cliente reconoce y acepta que (considerando el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y fines del tratamiento de los Datos Personales del Cliente, así como los riesgos para las personas), las Medidas de Seguridad implementadas y mantenidas por Enspace según se define en la Sección 5.1.1 (Medidas de Seguridad de Enspace) proporcionan un nivel de seguridad adecuado al riesgo en relación con los Datos Personales del Cliente.

5.4 Revisiones y Auditorías de Cumplimiento

5.4.1 Auditorías. El Cliente puede auditar el cumplimiento de Enspace con sus obligaciones bajo este Anexo una vez al año. Además, en la medida requerida por la Legislación Global de Protección de Datos aplicable, incluido cuando lo exija la autoridad supervisora del Cliente, el Cliente o la autoridad supervisora del Cliente pueden realizar auditorías más frecuentes (incluidas inspecciones). Enspace contribuirá a dichas auditorías proporcionando al Cliente o a la autoridad supervisora del Cliente la información y asistencia razonablemente necesaria para llevar a cabo la auditoría, incluidos los registros relevantes de actividades de procesamiento aplicables a los Servicios.

5.4.2 Objeciones al Auditor de Terceros. Si un tercero realiza la auditoría, Enspace puede objetar al auditor si, a juicio razonable de Enspace, el auditor no está adecuadamente calificado o es independiente, es un competidor de Enspace o es manifiestamente inadecuado. Tal objeción por parte de Enspace requerirá que el Cliente designe a otro auditor o realice la auditoría por sí mismo.

5.4.3 Solicitud de Auditoría. Para solicitar una auditoría, el Cliente debe enviar un plan de auditoría propuesto detallado a Enspace al menos dos semanas antes de la fecha propuesta para la auditoría. El plan de auditoría propuesto debe describir el alcance, la duración y la fecha de inicio de la auditoría. Enspace revisará el plan de auditoría propuesto y proporcionará al Cliente cualquier preocupación o pregunta (por ejemplo, cualquier solicitud de información que pueda comprometer la seguridad, la privacidad, el empleo u otras políticas relevantes de Enspace). Enspace trabajará en cooperación con el Cliente para acordar un plan de auditoría final. Nada en esta Sección 5.4 (Revisiones y Auditorías de Cumplimiento) obligará a Enspace a violar ninguna obligación de confidencialidad.

5.4.4 Informes de Auditoría. Si el alcance de la auditoría solicitada está cubierto por un informe SSAE 16/18/ISAE 3402 Tipo 2, AICPA SOC 2 (SOC para Organizaciones de Servicios: Criterios de Servicios de Confianza) o un informe de auditoría similar realizado por un auditor externo calificado (“Informes de Auditoría”) dentro de los doce (12) meses posteriores a la solicitud de auditoría del Cliente, y Enspace confirma que no existen cambios materiales conocidos en los controles auditados, el Cliente acepta aceptar dichos hallazgos en lugar de solicitar una auditoría de los controles cubiertos por el informe.

5.4.5 Realización de la Auditoría. La auditoría debe llevarse a cabo durante el horario comercial normal en las instalaciones aplicables, de acuerdo con el plan de auditoría final acordado y las políticas de salud, seguridad u otras políticas relevantes de Enspace, y no debe interferir de manera injustificada con las actividades comerciales de Enspace.

5.4.6 Condiciones de Auditoría. El Cliente notificará de inmediato a Enspace sobre cualquier incumplimiento descubierto durante una auditoría y proporcionará a Enspace los informes de auditoría generados en relación con cualquier auditoría bajo esta Sección 5.4 (Revisiones y Auditorías de Cumplimiento), a menos que esté prohibido por la Legislación Global de Protección de Datos aplicable o que la autoridad supervisora instruya lo contrario. El Cliente solo podrá usar los informes de auditoría para cumplir con los requisitos de auditoría regulatoria del Cliente y/o confirmar el cumplimiento con los requisitos de este Anexo. Los informes de auditoría y cualquier información compartida por Enspace durante el proceso de auditoría son Información Confidencial de las partes según el Acuerdo.

5.4.7 Gastos de Auditoría. Todas las auditorías serán a cargo del Cliente. El Cliente reembolsará a Enspace por cualquier tiempo invertido por Enspace o sus Sub-Procesadores en relación con cualquier auditoría o inspección bajo esta Sección 5.4 (Revisiones y Auditorías de Cumplimiento) según las tarifas de servicios profesionales vigentes de Enspace, que estarán disponibles para el Cliente previa solicitud. El Cliente será responsable de cualquier tarifa cobrada por cualquier auditor designado por el Cliente para realizar dicha auditoría.

5.4.8 Cláusulas Contractuales Estándar. Las partes acuerdan que esta Sección 5.4 (Revisiones y Auditorías de Cumplimiento) satisfará las obligaciones de Enspace conforme a los requisitos de auditoría de las Cláusulas Contractuales Estándar de 2021 aplicables al Importador de Datos conforme a la Cláusula 8 y la Cláusula 13(a) y a cualquier Sub-Procesador conforme a la Cláusula 9.

6. Evaluaciones de Impacto y Consultas

Enspace (considerando la naturaleza del procesamiento y la información disponible para Enspace) brindará asistencia razonable al Cliente para cumplir con sus obligaciones bajo la Legislación Global de Protección de Datos aplicable en relación con evaluaciones de impacto de protección de datos y consultas previas, incluyendo, si corresponde, las obligaciones establecidas en los Artículos 35 y 36 del GDPR, mediante:

6.1 Informes de Auditoría y Medidas de Seguridad. Poner a disposición para su revisión copias de los Informes de Auditoría u otra documentación que describa aspectos relevantes del programa de seguridad de la información de Enspace y las medidas de seguridad aplicadas en relación con el mismo; y

6.2 Información Adicional. Proporcionar la información contenida en el Acuerdo, incluido este Anexo.

7. Derechos de los Titulares de los Datos

7.1 Responsabilidad del Cliente sobre las Solicitudes. Durante el Plazo, si Enspace recibe una solicitud de un titular de datos en relación con los Datos Personales del Cliente, Enspace, a su exclusivo criterio: (i) notificará al Cliente sobre la solicitud, (ii) aconsejará al titular de los datos que envíe su solicitud al Cliente, y/o (iii) informará al titular de los datos que su solicitud ha sido remitida al Cliente. El Cliente será responsable de responder a cualquier solicitud de este tipo.

7.2 Asistencia de Enspace con las Solicitudes de los Titulares de los Datos. Enspace (considerando la naturaleza del procesamiento de los Datos Personales del Cliente) proporcionará al Cliente funcionalidad de autoservicio a través de los Servicios u otra asistencia razonable según sea necesario para que el Cliente cumpla con su obligación bajo la Legislación Global de Protección de Datos aplicable para responder a solicitudes de titulares de datos, incluyendo, si corresponde, la obligación del Cliente de responder a solicitudes de ejercicio de los derechos de los titulares de datos establecidos en el Capítulo III del GDPR, en los Artículos 18 y 19 de la LGPD o en la Sección 1798.105 de la CCPA. El Cliente reembolsará a Enspace por cualquier asistencia adicional más allá de la provisión de funciones de autoservicio incluidas como parte de los Servicios según las tarifas de servicios profesionales vigentes de Enspace, que estarán disponibles para el Cliente previa solicitud.

8. Transferencias de Datos

8.1 Instalaciones de Almacenamiento y Procesamiento de Datos. Enspace podrá, de acuerdo con la Sección 8.2 (Transferencias de Datos Fuera del EEE), almacenar y procesar los Datos Personales del Cliente en cualquier lugar donde Enspace o sus Sub-Procesadores mantengan instalaciones.

8.2 Transferencias de Datos Fuera del EEE

8.2.1 Obligaciones de Transferencia de Enspace. Si el almacenamiento y/o procesamiento de los Datos Personales del Cliente (según lo establecido en la Sección 8.1 (Instalaciones de Almacenamiento y Procesamiento de Datos)) implica transferencias de Datos Personales del Cliente fuera del EEE, Reino Unido o Suiza, y la Legislación Europea de Protección de Datos se aplica a las transferencias de dichos datos (“Datos Personales Transferidos”), se aplicarán los términos establecidos en el Apéndice 3 (Soluciones de Transferencia Internacional). Enspace realizará dichas transferencias de acuerdo con una Solución de Transferencia y pondrá a disposición del Cliente información sobre dicha Solución de Transferencia previa solicitud.

8.2.2 Obligaciones de Transferencia del Cliente. Con respecto a los Datos Personales Transferidos, el Cliente acepta que, si de acuerdo con la Legislación Europea de Protección de Datos, Enspace requiere razonablemente que el Cliente utilice otra Solución de Transferencia ofrecida por Enspace (además de las Cláusulas Contractuales Estándar adjuntas a este documento como Apéndice 3 e incorporadas por referencia en la medida en que el Cliente transfiera Datos Personales del Cliente fuera del EEE, Reino Unido o Suiza a Enspace) y Enspace solicita razonablemente que el Cliente tome cualquier acción (que puede incluir la firma de documentos) necesaria para dar pleno efecto a dicha solución, el Cliente cumplirá.

8.3 Divulgación de Información Confidencial que Contenga Datos Personales. Si el Cliente ha celebrado Cláusulas Contractuales Estándar según se describe en la Sección 8.2 (Transferencias de Datos Fuera del EEE), Enspace, no obstante cualquier término en contrario en el Acuerdo, realizará cualquier divulgación de Información Confidencial del Cliente que contenga datos personales y cualquier notificación relacionada con dichas divulgaciones de acuerdo con dichas Cláusulas Contractuales Estándar. A los efectos de las Cláusulas Contractuales Estándar, el Cliente y Enspace acuerdan que (i) el Cliente actuará como exportador de datos en su nombre y en nombre de cualquiera de las entidades del Cliente, y (ii) Enspace o su Afiliada relevante actuará en su propio nombre y/o en nombre de las Afiliadas de Enspace como importadores de datos.

9. Sub-Procesadores

9.1 Consentimiento para la Contratación de Sub-Procesadores. El Cliente autoriza generalmente la contratación de terceros como Sub-Procesadores y autoriza la transferencia posterior de Datos Personales del Cliente a cualquier Sub-Procesador contratado por Enspace. Si el Cliente ha celebrado Cláusulas Contractuales Estándar según se describe en la Sección 8.2 (Transferencias de Datos Fuera del EEE), las autorizaciones anteriores constituirán el consentimiento previo por escrito del Cliente para la subcontratación por parte de Enspace del procesamiento de Datos Personales del Cliente si dicho consentimiento es requerido bajo las Cláusulas Contractuales Estándar.

9.2 Información sobre los Sub-Procesadores. La información sobre los Sub-Procesadores, incluidos sus roles y ubicaciones, está disponible en sales@be-enlighten.com (según se actualice periódicamente por Enspace de acuerdo con este Anexo).

9.3 Requisitos para la Contratación de Sub-Procesadores. Al contratar cualquier Sub-Procesador, Enspace celebrará un contrato por escrito con dicho Sub-Procesador que contenga obligaciones de protección de datos no menos protectoras que las del Acuerdo (incluido este Anexo) con respecto a la protección de los Datos Personales del Cliente, en la medida aplicable a la naturaleza de los Servicios prestados por dicho Sub-Procesador. Enspace será responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del Sub-Procesador.

9.4 Oportunidad de Oposición a los Cambios en los Sub-Procesadores. Cuando se contrate a un nuevo Sub-Procesador durante el Plazo, Enspace notificará al Cliente sobre la contratación por correo electrónico (incluido el nombre, la ubicación y las actividades del Sub-Procesador relevante) al menos 30 días antes de que el nuevo Sub-Procesador procese cualquier Dato Personal del Cliente. Para recibir notificaciones por correo electrónico relacionadas con los cambios de Sub-Procesadores, el Cliente puede registrarse utilizando el portal disponible en sales@be-enlighten.com.

El Cliente puede oponerse a cualquier nuevo Sub-Procesador proporcionando una notificación por escrito a Enspace dentro de los diez (10) días hábiles posteriores a ser informado de la contratación del Sub-Procesador según lo descrito anteriormente. Si el Cliente se opone a un nuevo Sub-Procesador, el Cliente y Enspace trabajarán juntos de buena fe para encontrar una resolución mutuamente aceptable para abordar la objeción. Si las partes no pueden llegar a una resolución mutuamente aceptable dentro de un plazo razonable, el Cliente podrá, como único y exclusivo recurso, rescindir el Acuerdo mediante notificación por escrito a Enspace.

10.1 Registros de Procesamiento de Enspace. El Cliente reconoce que Enspace está obligada por el GDPR a:
(a) recopilar y mantener registros de cierta información, incluido el nombre y los datos de contacto de cada procesador y/o controlador en cuyo nombre actúa Enspace y, cuando corresponda, del representante local de dicho procesador o controlador y del responsable de protección de datos; y
(b) poner dicha información a disposición de las autoridades de supervisión.

Por consiguiente, si el GDPR se aplica al procesamiento de Datos Personales del Cliente, el Cliente proporcionará dicha información a Enspace cuando se le solicite y garantizará que toda la información proporcionada sea precisa y esté actualizada.

11.1 Límite de Responsabilidad. La responsabilidad total combinada de cualquiera de las partes y sus Afiliadas con respecto a la otra parte y sus Afiliadas, ya sea por contrato, agravio o cualquier otra teoría de responsabilidad, bajo o en conexión con el Acuerdo, este Anexo y las Cláusulas Contractuales Estándar, si se celebran según lo descrito en la Sección 8.2 (Transferencias de Datos Fuera del EEE), estará limitada a los límites de responsabilidad acordados por las partes en el Acuerdo, sujeto a la Sección 11.2 (Exclusiones del Límite de Responsabilidad).

11.2 Exclusiones del Límite de Responsabilidad. Nada en la Sección 11.1 (Límite de Responsabilidad) afectará la responsabilidad de cualquiera de las partes frente a los titulares de datos bajo las disposiciones de terceros beneficiarios de las Cláusulas Contractuales Estándar en la medida en que la limitación de dichos derechos esté prohibida por la Legislación Europea de Protección de Datos.

12. Análisis

El Cliente reconoce y acepta que Enspace puede crear y derivar del procesamiento relacionado con los Servicios datos anonimizados y/o agregados que no identifiquen al Cliente ni a ninguna persona física, y utilizar, divulgar o compartir dichos datos con terceros para mejorar los productos y servicios de Enspace y para sus otros fines comerciales legítimos.

13. Avisos
No obstante cualquier disposición en contrario en el Acuerdo, cualquier notificación requerida o permitida para ser proporcionada por Enspace al Cliente puede ser proporcionada (a) de acuerdo con la cláusula de notificación del Acuerdo; (b) a los puntos de contacto principales de Enspace con el Cliente; y/o (c) a cualquier correo electrónico proporcionado por el Cliente con el fin de enviar comunicaciones o alertas relacionadas con el Servicio. El Cliente es el único responsable de garantizar que dichas direcciones de correo electrónico sean válidas.

14. Efecto de Estos Términos
No obstante cualquier disposición en contrario en el Acuerdo, en la medida en que exista cualquier conflicto o inconsistencia entre este Anexo y los demás términos del Acuerdo, este Anexo prevalecerá.

Apéndice 1

Asunto y Detalles del Procesamiento de Datos

Este Apéndice 1 se incorpora al Adendo y también forma parte de las Cláusulas Contractuales Estándar (si dichas Cláusulas Contractuales Estándar son aplicables al Cliente).

Importador de Datos
El Importador de Datos (o Proveedor de Servicios/Procesador) es Enspace, un proveedor de soluciones de productividad.

Exportador de Datos
El Exportador de Datos (o Empresa/Controlador) es el Cliente que forma parte del Adendo.

Asunto
La provisión de Servicios al Cliente por parte de Enspace, según lo establecido en el Acuerdo y el Adendo.

Duración del Procesamiento
El Plazo más el período desde la expiración del Plazo hasta la eliminación de todos los Datos Personales del Cliente por parte de Enspace de acuerdo con el Adendo.

Naturaleza y Propósito del Procesamiento
Enspace recibirá, procesará y almacenará los Datos Personales del Cliente con el propósito de brindar los Servicios al Cliente según el Acuerdo y el Adendo, comunicarse con el Cliente y sus usuarios finales, proporcionar atención al cliente, monitorear, mantener y mejorar los Servicios, y de otro modo cumplir con sus obligaciones según el Acuerdo. Enspace no vende Datos Personales del Cliente ni datos personales de los usuarios finales del Cliente, ni comparte dicha información de los usuarios finales con terceros para compensación o con fines comerciales propios de dichos terceros.

Categorías de Datos Personales

• Nombre y apellido
• Título
• Posición
• Empleador
• Información de contacto (empresa, correo electrónico, teléfono, dirección física comercial)
• Datos de identificación
• Datos de conexión
• Datos de ubicación
• Otros datos electrónicos enviados, almacenados, transmitidos o recibidos por un usuario final (lo que puede incluir categorías especiales de datos personales según el GDPR o datos personales sensibles según la LGPD, en la medida en que dichos datos sean enviados, almacenados, transmitidos o recibidos por un usuario final; Enspace no solicita ni requiere ninguna categoría sensible o especial de datos personales para la prestación de los Servicios)
• Información relacionada con facturas o pagos realizados a través del servicio Enspace
• Información de uso

Datos Sensibles
Enspace no solicita ni requiere ninguna categoría de datos personales sensibles o especiales para la prestación de los Servicios. Los datos confidenciales pueden, ocasionalmente, ser procesados a través de los Servicios si el Cliente o sus usuarios finales eligen incluir datos confidenciales en las comunicaciones transmitidas utilizando los Servicios o cargar datos confidenciales en los Servicios. El Cliente es responsable de garantizar que se implementen las protecciones adecuadas antes de transmitir o procesar, o permitir que sus usuarios finales transmitan o procesen, cualquier dato confidencial a través de los Servicios.

Titulares de los Datos

• Empleados, agentes, consultores y/o freelancers del Cliente (que sean personas físicas)
• Individuos cuyos datos se proporcionan a Enspace a través de los Servicios por parte del Cliente o bajo su dirección
• Usuarios finales autorizados por el Cliente para usar los Servicios

Sub-Procesadores
El Cliente consiente el subprocesamiento por parte de las entidades designadas.

Apéndice 2

Medidas de Seguridad Técnicas y Organizacionales

A partir de la Fecha de Entrada en Vigor del Adendo, Enspace implementará y mantendrá las medidas de seguridad técnicas y organizacionales definidas a continuación.

Enspace puede actualizar o modificar dichas medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no reduzcan materialmente la seguridad general de los Servicios.

La siguiente tabla proporciona información adicional sobre las medidas de seguridad técnicas y organizacionales:

Medida de Seguridad Técnica y Organizacional

• Medidas de Anonimización y Cifrado de Datos Personales: Consulte la Política de Privacidad de Datos.
• Medidas para Garantizar la Confidencialidad, Integridad, Disponibilidad y Resiliencia Continua de los Sistemas y Servicios de Procesamiento: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Garantizar la Restauración oportuna de la Disponibilidad y el Acceso a los Datos Personales en Caso de un Incidente Físico o Técnico: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Procesos para Probar, Evaluar y Evaluar Regularmente la Eficacia de las Medidas Técnicas y Organizacionales para Garantizar la Seguridad del Procesamiento: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas de Identificación y Autorización de Usuarios: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para la Protección de Datos Durante la Transmisión: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para la Protección de Datos Durante el Almacenamiento: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Garantizar la Seguridad Física de los Lugares donde se Procesan los Datos Personales: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Garantizar el Registro de Eventos: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Garantizar la Configuración del Sistema, Incluida la Configuración Predeterminada: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para la Gobernanza y la Gestión Interna de TI y la Seguridad de TI: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas de Certificación/Garantía de Procesos y Productos: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Garantizar la Minimización de Datos: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Garantizar la Calidad de los Datos: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Garantizar la Responsabilidad: Consulte la Política de Seguridad y el Informe ISAE 3402.
• Medidas para Permitir la Portabilidad de los Datos y Garantizar su Eliminación: Consulte la Política de Seguridad y el Informe ISAE 3402.

Medidas de Asistencia de Sub-Procesadores
Cuando Enspace contrata un Sub-Procesador, Enspace y el Sub-Procesador celebran un acuerdo con obligaciones de protección de datos sustancialmente similares a las contenidas en este Adendo. Cada contrato de Sub-Procesador debe garantizar que Enspace pueda cumplir con sus obligaciones hacia el Cliente.

Además, los Sub-Procesadores deben:

• (a) Notificar a Enspace en caso de un Incidente de Seguridad para que Enspace pueda notificar al Cliente;
• (b) Eliminar los datos personales cuando sean instruidos por Enspace de acuerdo con las instrucciones del Cliente a Enspace;
• (c) No contratar Sub-Procesadores adicionales sin la autorización de Enspace;
• (d) No cambiar la ubicación donde se procesan los datos personales.

Apéndice 3
Soluciones de Transferencia de Datos Entre Fronteras

1. Definiciones
A los fines de las Cláusulas:
A los fines de este Anexo, los términos que se describen a continuación tendrán los significados que se indican a continuación. Los términos en mayúsculas utilizados pero no definidos de otra manera en este Anexo tendrán los significados establecidos en el Acuerdo.

1.1 “Cláusulas Contractuales Estándar” significa, según las circunstancias únicas del Cliente, cualquiera de los siguientes:
1.1.1 Adendo de Transferencia Internacional de Datos del Reino Unido; o
1.1.2 Cláusulas Contractuales Estándar de la UE 2021 (“CCE de la UE”).

1.2 “Adendo de Transferencia Internacional de Datos del Reino Unido” significa: el Adendo de Transferencia Internacional de Datos del Reino Unido (“IDTA”) a las Cláusulas Contractuales Estándar de la Comisión de la UE (“CCE de la UE”) (Versión B1.0) emitido por el Comisionado de Información del Reino Unido para las Partes que realizan Transferencias (que pueden ser enmendadas, actualizadas o reemplazadas de vez en cuando).

1.3 “Cláusulas Contractuales Estándar de 2021” significa las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea en la decisión 2021/914.

2. Soluciones de Transferencia de Datos Entre Fronteras

2.1 Orden de Prioridad. Si los Servicios están cubiertos por más de una Solución de Transferencia, la transferencia de datos personales estará sujeta a una única Solución de Transferencia de acuerdo con el siguiente orden de prioridad:
(a) las Cláusulas Contractuales Estándar aplicables, según lo establecido en la Sección 2.2 (Cláusulas Contractuales Estándar del Reino Unido) o la Sección 2.3 (Cláusulas Contractuales Estándar de 2021) de este Apéndice 3; y, si ni (a) ni (b) son aplicables, entonces
(c) otras Soluciones de Transferencia de datos permitidas por la Legislación Global de Protección de Datos aplicable.

2.2 Cláusulas Contractuales Estándar de 2021. Las partes acuerdan que las Cláusulas Contractuales Estándar de 2021 se aplicarán a los datos personales transferidos a través de los Servicios desde el Espacio Económico Europeo, directamente o mediante transferencia posterior, a cualquier país o destinatario fuera del Espacio Económico Europeo que no esté reconocido por la Comisión como que proporciona un nivel adecuado de protección de los datos personales. Para las transferencias de datos desde el Espacio Económico Europeo que están sujetas a las Cláusulas Contractuales Estándar de 2021, se considerará que las Cláusulas Contractuales Estándar de 2021 han sido celebradas (e incorporadas a este Adendo por esta referencia) y completadas de la siguiente manera:

2.2.1 El Módulo Dos (Controlador a Procesador) de las Cláusulas Contractuales Estándar de 2021 se aplicará cuando el Cliente sea el controlador de los Datos Personales del Cliente y Enspace esté procesando los Datos Personales del Cliente.
2.2.2 El Módulo Tres (Procesador a Procesador) de las Cláusulas Contractuales Estándar de 2021 se aplicará cuando el Cliente sea un procesador de los Datos Personales del Cliente y Enspace esté procesando los Datos Personales del Cliente.
2.2.3 Para cada Módulo, cuando corresponda:

(a) En la Cláusula 7 de las Cláusulas Contractuales Estándar de 2021, la cláusula opcional de adhesión no será aplicable;
(b) En la Cláusula 9 de las Cláusulas Contractuales Estándar de 2021, se aplicará la Opción 2 “Autorización General por Escrito” y el período de notificación previa de cambios en el Sub-Procesador será el establecido en la Sección 9 (Sub-Procesadores) de este Anexo;
(c) En la Cláusula 11 de las Cláusulas Contractuales Estándar de 2021, el lenguaje opcional no será aplicable;
(d) En la Cláusula 17 (Opción 1), las Cláusulas Contractuales Estándar de 2021 se regirán por la ley irlandesa;
(e) En la Cláusula 18(b) de las Cláusulas Contractuales Estándar de 2021, las disputas se resolverán ante los tribunales de Irlanda;
(f) En el Anexo I, Parte A (Lista de Partes) de las Cláusulas Contractuales Estándar de 2021:

(i) Exportador de Datos: Cliente.
(ii) Detalles de Contacto: La(s) dirección(es) de correo electrónico designada(s) por el Cliente en la cuenta del Cliente a través de sus preferencias de notificación.
(iii) Rol del Exportador de Datos: El rol del Exportador de Datos se define en la Sección 3.1 (Roles y Cumplimiento Normativo; Autorización) de este Anexo. Las partes reconocen y acuerdan que, con respecto al procesamiento de los Datos Personales del Cliente, el Cliente puede actuar como controlador o procesador y Enspace es un procesador. Enspace procesará los Datos Personales del Cliente de acuerdo con las Instrucciones del Cliente, como se establece en la Sección 3.2.1.
(iv) Firma y Fecha: Al celebrar el Acuerdo, se considerará que el Exportador de Datos ha firmado estas Cláusulas Contractuales Estándar incorporadas, incluidos sus Anexos, a partir de la fecha de vigencia del Acuerdo.
(v) Importador de Datos: The Enlighten Company S/A dbo Enspace.
(vi) Dirección: 350 Tenth Ave Suite 500, San Diego, CA 92101
(vii) Detalles de Contacto: Equipo de Seguridad de Datos de Enspace – data@enspace.io
(viii) Rol del Importador de Datos: Las partes reconocen y acuerdan que, con respecto al procesamiento de los Datos Personales del Cliente, el Cliente puede actuar como controlador o procesador y Enspace es un procesador. Enspace procesará los Datos Personales del Cliente de acuerdo con las Instrucciones del Cliente.
(ix) Firma y Fecha: Al celebrar el Acuerdo, se considerará que el Importador de Datos ha firmado estas Cláusulas Contractuales Estándar incorporadas, incluidos sus Anexos, a partir de la fecha de vigencia del Acuerdo.

(g) En el Anexo I, Parte B (Descripción de la Transferencia) de las Cláusulas Contractuales Estándar de 2021:

(i) Las categorías de titulares de datos se describen en la sección “Titulares de los Datos” del Apéndice 1 (Asunto y Detalles del Procesamiento de Datos) de este Anexo.
(ii) Las categorías de datos personales transferidos se describen en la sección “Categorías de Datos Personales” del Apéndice 1 (Asunto y Detalles del Procesamiento de Datos) de este Anexo.
(iii) Los Datos Sensibles transferidos se describen en la sección “Datos Sensibles” del Apéndice 1 (Asunto y Detalles del Procesamiento de Datos) de este Anexo.
(iv) Firma y Fecha: Al celebrar el Acuerdo, se considerará que el Exportador de Datos ha firmado estas Cláusulas Contractuales Estándar incorporadas, incluidos sus Anexos, a partir de la fecha de vigencia del Acuerdo.
(v) La naturaleza del procesamiento se describe en la sección “Naturaleza y Propósito del Procesamiento” del Apéndice 1 (Asunto y Detalles del Procesamiento de Datos) de este Anexo.
(vi) El propósito del procesamiento se describe en la sección “Naturaleza y Propósito del Procesamiento” del Apéndice 1 (Asunto y Detalles del Procesamiento de Datos) de este Anexo.

(vii) El período durante el cual se conservarán los datos personales y los criterios utilizados para determinar este período son los siguientes:
Antes de la rescisión del Acuerdo, Enspace procesará los Datos Personales del Cliente almacenados para los fines permitidos establecidos en la Sección 3.1.1 (Instrucciones del Cliente) hasta que el Cliente opte por eliminarlos o solicite la devolución de dichos Datos Personales del Cliente de acuerdo con la Sección 4 del Anexo.
Antes de la rescisión del Acuerdo, el Cliente acepta que es el único responsable de eliminar los Datos Personales del Cliente a través de los Servicios.
Después de la rescisión del Acuerdo, Enspace:
(i) proporcionará al Cliente treinta (30) días a partir de la fecha efectiva de rescisión para obtener una copia de cualquier Dato Personal del Cliente almacenado a través de los Servicios, y
(ii) eliminará cualquier Dato Personal del Cliente almacenado dentro de los treinta (30) días tras la solicitud del Cliente, a menos que los plazos alternativos para la retención y/o eliminación se especifiquen de otra manera en el Acuerdo o se acuerden posteriormente por escrito entre las partes.
Cualquier Dato Personal del Cliente archivado en los sistemas de respaldo de Enspace se aislará de manera segura y estará protegido de cualquier procesamiento adicional, excepto según lo exija la ley o normativa aplicable.

(h) En el Anexo I, Parte C de las Cláusulas Contractuales Estándar de 2021: La Comisión de Protección de Datos de Irlanda será la autoridad supervisora competente.

(i) El Apéndice 2 (Medidas de Seguridad Técnicas y Organizacionales) de este Anexo sirve como Anexo II de las Cláusulas Contractuales Estándar.

2.3 Transferencias de datos desde Suiza. Con respecto a cualquier transferencia de datos personales fuera de Suiza o de Datos Personales regidos por la Ley Federal Suiza de Protección de Datos (“FADP”) (y la FADP revisada (“revFADP”) cuando entre en vigor), a un tercer país (sin una decisión de adecuación o equivalente emitida por la Comisión Europea o la autoridad competente en Suiza), las Partes acuerdan que las CCE de la UE en este Anexo se aplicarán, sujetas a los siguientes términos y condiciones:

A. Referencias: Los términos “Reglamento General de Protección de Datos” o “Reglamento (UE) 2016/679” tal como se utilizan en las CCE de la UE se interpretarán para incluir la FADP y, cuando sea aplicable, la revFADP.

B. Cláusula 13: En la medida en que la transferencia de Datos Personales esté sujeta únicamente a la FADP/revFADP, el Comisionado Federal de Protección de Datos e Información (FDPIC) de Suiza es la autoridad supervisora exclusiva.
En la medida en que la transferencia de Datos Personales esté regida tanto por el GDPR como por la FADP/revFADP, la autoridad supervisora competente con supervisión paralela (según el Anexo IC de las CCE de la UE) es el FDPIC, y en la medida en que la transferencia esté regida por el GDPR, se deberán observar los criterios de la Cláusula 13(a) para la selección de la autoridad competente.

C. Cláusula 17: Las CCE de la UE estarán regidas por la ley suiza si la transferencia está sujeta exclusivamente a la FADP/revFADP o, en otros casos, por la ley de un Estado Miembro de la UE, siempre que la ley del Estado Miembro permita derechos de beneficiarios terceros.

D. Cláusula 18(b): Cualquier disputa derivada de las CCE de la UE será resuelta por los tribunales de Suiza si la transferencia está sujeta exclusivamente a la FADP/revFADP, o por los tribunales de un Estado Miembro de la UE en otros casos.

E. Cláusula 18(c): El término “Estado Miembro” no deberá interpretarse de manera que excluya a los titulares de datos en Suiza de la posibilidad de ejercer sus derechos en su lugar de residencia habitual (Suiza) de acuerdo con la Cláusula 18(c) de las CCE de la UE.

F. revFADP: Las CCE de la UE protegerán los datos de las personas jurídicas hasta que la revFADP entre en vigor.