Ir directamente al contenido principal

Acuerdos y condiciones

Políticas y directrices

Marcas comerciales y propiedad intelectual

Adquisiciones y proveedores

Protección de Datos y Privacidad

ACUERDO DE TRATAMIENTO O PROCESAMIENTO DE DATOS

Este Acuerdo de Procesamiento de Datos (“DPA”) es celebrado por el Cliente y Zendesk, Inc. (“Zendesk”), cada uno una “Parte” y juntos las “Partes”.

Cliente y Zendesk han celebrado el Acuerdo en virtud del cual al Cliente se le proporciona acceso y uso de los Servicios durante el Plazo de Suscripción. Este ATD se incorpora y forma parte del Contrato. Si desea firmar electrónicamente el DPA, haga clic aquí.

1. OBLIGACIONES GLOBALES DE PRIVACIDAD DE LAS PARTES

  1. Propiedad de los Datos de Servicio. Zendesk no hace valer ningún derecho de propiedad o interés sobre los Datos de servicio tratados en virtud de este ATD y, entre las Partes, los Datos de servicio propiedad del Cliente siguen siendo propiedad del Cliente.
  2. Datos personales. Las Partes acuerdan que la naturaleza, los fines, el objeto, la duración del tratamiento, las categorías de Datos personales o interesados y los periodos de conservación aplicables son los descritos en el Anexo I.
  3. Ley de protección de datos aplicable. Zendesk y el cliente acuerdan cumplir con sus respectivas obligaciones de la Ley de Protección de Datos Aplicable.
  4. Obligaciones de Zendesk. Zendesk acepta:

    1. procesar los Datos Personales según las instrucciones documentadas del cliente, a menos que la ley aplicable permita o requiera lo contrario. Zendesk informará al Cliente inmediatamente si sus instrucciones de procesamiento infringen la Ley de Protección de Datos Aplicable;

    2. no vender ni compartir Datos personales;

    3. garantizar que todos los empleados y contratistas sean plenamente conscientes de sus responsabilidades de proteger los Datos Personales en virtud de este DPA y se hayan comprometido con una obligación contractual o legal de confidencialidad adecuada;

    4. notificar al Cliente si ya no puede cumplir con sus obligaciones bajo la Ley de Protección de Datos Aplicable y permitir al Cliente tomar medidas razonables y apropiadas para remediar el procesamiento no autorizado de Datos Personales;

    5. implementar y mantener medidas técnicas y organizativas adecuadas diseñadas para proteger los Datos personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados accidentales o ilícitos, teniendo en cuenta la probabilidad y gravedad de los riesgos para los derechos de privacidad de los interesados, incluidas las medidas del Anexo II;

    6. notificar al Cliente de una violación confirmada de datos personales sin demora indebida y dentro de las 48 horas, a menos que esté prohibido por la ley o una agencia gubernamental; tomar medidas apropiadas diseñadas para mitigar la(s) causa(s) de la violación de datos personales; y proporcionar al Cliente toda la información necesaria según lo requerido por la Ley de Protección de Datos Aplicable;

    7. asistir razonablemente al Cliente con su obligación de responder a las solicitudes de los interesados y, si Zendesk recibe una solicitud directamente del interesado del Cliente, dirigir al interesado al Cliente a menos que la ley lo prohíba; y

    8. poner a disposición información y asistencia comercialmente razonables para permitir que el Cliente lleve a cabo cualquier evaluación de impacto de protección de datos o consulta con la autoridad de supervisión, según lo requiera la Ley de Protección de Datos Aplicable.

  5. Obligaciones del cliente. Cliente, como responsable del tratamiento de datos, determina qué Datos personales procesan los Servicios. El Cliente es responsable de evaluar las medidas técnicas y organizativas de Zendesk según corresponda para los tipos de Datos personales que el Cliente desee tratar mediante su uso de los Servicios.

2. USO DE SUBPROCESADORES

  1. Subencargados. El cliente proporciona su autorización general por escrito para que Zendesk utilice Sub-procesadores, siempre que:

    1. Zendesk sigue siendo responsable ante el cliente por los actos u omisiones de sus Sub-procesadores con respecto a su procesamiento de Datos Personales; y

    2. cada Subencargado del tratamiento acepta proteger los Datos personales según estándares coherentes con los requisitos de este ATD.

  2. Actualizaciones de la política de subencargados. Zendesk actualizará la Política de Subencargados del tratamiento con cualquier Subencargado del tratamiento recién nombrado al menos 30 días antes de dicho cambio. El cliente puede registrarse para recibir notificaciones por correo electrónico de dichos cambios.
  3. Objeciones a la política de subencargados. El cliente puede oponerse a cualquier Sub-procesador recién nombrado por motivos razonables relacionados con la protección de datos. Si el cliente se opone, lo informará a Zendesk por escrito enviando un correo electrónico a privacy@zendesk.com dentro de los 30 días siguientes a la actualización de la Política de Subprocesadores. En tal caso, las Partes negociarán, de buena fe, una solución a la objeción del cliente. Si las Partes no pueden llegar a una resolución dentro de los 60 días posteriores a la recepción por parte de Zendesk de la objeción del cliente, Zendesk, a su entera discreción, hará una de las siguientes cosas:

    1. instruir al Sub-procesador para que no procese los Datos Personales del cliente, y el DPA continuará sin verse afectado, o

    2. permitir al Cliente rescindir cualquier parte afectada de los Servicios y proporcionar al Cliente un reembolso prorrateado de los Cargos de suscripción pagados por adelantado por la parte afectada de los Servicios que aún no se hayan recibido en la fecha de entrada en vigor de la rescisión.

3. AUDITORÍA

  1. Auditores externos. Zendesk utiliza auditores externos independientes y cualificados para verificar la idoneidad de sus medidas de protección de datos y el cumplimiento de sus obligaciones en este ATD (p. ej., SOC 2 Tipo II o ISO 27001).
  2. Informe de auditoría. A solicitud por escrito del cliente, Zendesk proporcionará al cliente un Informe de Auditoría, sujeto a las disposiciones de confidencialidad del Acuerdo.
  3. Asistencia. En la medida en que los requisitos de auditoría del Cliente bajo la Ley de Protección de Datos Aplicable no se satisfagan razonablemente a través del Informe de Auditoría u otra documentación que Zendesk ponga generalmente a disposición de sus clientes, y el Cliente no tenga acceso de otro modo a la información relevante, Zendesk ayudará razonablemente al Cliente.
  4. Auditoría. Si el cliente no puede cumplir con sus obligaciones de auditoría en virtud de la Ley de Protección de Datos Aplicable mediante la asistencia de Zendesk proporcionada en la Sección 3.3 y el cliente tiene derecho a realizar una auditoría en virtud de la Ley de Protección de Datos Aplicable, el cliente podrá solicitar dicha auditoría proporcionando al menos 30 días de preaviso por escrito a privacy@zendesk.com. Dicha auditoría no puede realizarse más de una vez al año, debe realizarse durante el horario laboral normal con una duración razonable, no debe interferir con las operaciones de Zendesk y solo debe realizarse en la sede central de Zendesk o en una oficina comercial acordada. Dicha auditoría no implicará el acceso a ningún dato relacionado con otros clientes de Zendesk, ni a instalaciones o sistemas seguros de ninguna manera que infrinja los controles de seguridad de Zendesk o haga que Zendesk infrinja sus obligaciones de confidencialidad con cualquier tercero. Cualquier información generada en relación con dicha auditoría es Información confidencial de Zendesk y se proporcionará de inmediato a Zendesk. El cliente es responsable de los costes y gastos relacionados con cualquier auditoría que solicite más allá del Informe de Auditoría.

4. TRANSFERENCIAS INTERNACIONALES DE DATOS

  1. Transferencias internacionales de datos. El Cliente reconoce que es necesario para la prestación de los Servicios que Zendesk pueda tratar los Datos del Servicio a nivel global de conformidad con la Ley de protección de datos aplicable. Si Zendesk transfiere Datos Personales de un país de origen a un país que no ha recibido una decisión de adecuación del país de origen, las transferencias se adherirán a uno o más de los siguientes Mecanismos de Transferencia, que se aplicarán a todos los Datos Personales, y en el siguiente orden:

    1. un mecanismo de certificación válido;

    2. Normas corporativas vinculantes;

    3. CCT.

  2. Mecanismos de transferencia. Los mecanismos de transferencia, las selecciones de cláusulas y los requisitos específicos del país, si procede, se detallan e incorporan por referencia en el Anexo III.
  3. Evaluación de transferencia de datos. El cliente reconoce que puede estar obligado a realizar una evaluación de transferencia de datos además de depender de los Mecanismos de Transferencia. Zendesk proporcionará asistencia razonable con esta evaluación previa solicitud.
  4. Firma vinculante. El cliente reconoce que la firma del Acuerdo constituye la firma vinculante de las SCC y otros requisitos de firma establecidos en los Términos Específicos de la Región.

5. DEVOLUCIÓN Y DESTRUCCIÓN DE DATOS PERSONALES

A solicitud por escrito del cliente, Zendesk pondrá los Datos del Servicio a disposición del cliente para exportar o descargar según lo previsto en el Acuerdo. Zendesk eliminará los Datos de servicio de acuerdo con la Política de eliminación de datos de servicio de Zendesk.

6. SERVICIOS DE INNOVACIÓN

Todas las Secciones de este ATD se aplican a los Servicios de Innovación, excepto la Sección 3 (Auditoría), el Anexo II (Medidas de seguridad técnicas y organizativas de Zendesk – Servicios empresariales) y el Anexo III, Secciones 1 y 2 (Reglas corporativas vinculantes y Marco de privacidad de datos).

7. CONFLICTOS

A menos que se acuerde lo contrario, los términos de este ATD prevalecerán sobre cualquier término en conflicto en el Contrato.

8. DEFINICIONES

Todos los términos utilizados en este ATD tendrán el significado que se les da a continuación. Cuando no se definan en este ATD, los términos “vender”, “compartir”, “tratamiento”, “tratar”, “encargado del tratamiento”, “responsable del tratamiento”, “exportador de datos”, “importador de datos”, “interesado”, “violación de datos personales” (y términos similares) y “autoridad de control” tendrán el mismo significado que en la Ley de protección de datos aplicable. Cualquier término en mayúscula que no se defina de otro modo en este ATD es el definido en el Contrato.

“Ley de protección de datos aplicable” significa todas las leyes y reglamentos de protección de datos aplicables a cada parte en relación con su respectivo tratamiento de Datos personales en virtud del presente Contrato.

“Informe de auditoría” significa un resumen confidencial de cualquier informe de certificación o auditoría de este tipo para Servicios Enterprise.

“Normas Corporativas Vinculantes” significa (a) Normas Corporativas Vinculantes de la UE – Encargado del tratamiento para transferencias de Datos Personales sujetos al RGPD, o (b) Normas Corporativas Vinculantes del Reino Unido – Encargado del tratamiento para transferencias de Datos Personales del Reino Unido.

“Programa de recompensas por errores” significa los términos en: https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

Página web de resiliencia empresarial https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

“Datos personales” significa cualquier dato personal relacionado, directa o indirectamente, con una persona física identificada o identificable que esté contenido en los Datos de servicio.

“Página web de estado” https://status.zendesk.com/.

“SCC” significa cláusulas contractuales tipo aprobadas por una autoridad de control como Mecanismo de transferencia.

“Subencargado del tratamiento” se refiere a cualquier tercero encargado del tratamiento de datos contratado por Zendesk que reciba y trate Datos de servicio de acuerdo con las instrucciones del Cliente (según lo comunicado por Zendesk) y los términos de su subcontrato escrito con Zendesk, según se indica en la Política de Subencargados del tratamiento.

“Política de subencargado” significa la política disponible en: https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy.

“Mecanismo de transferencia” significa el/los marco(s) que rigen el tratamiento internacional de los Datos personales descritos en el Anexo III.

ANEXO I

Detalles del tratamiento

Exportador de datos: Cliente

Detalles de contacto: Se proporciona en el bloque de firma DPA.

Rol del exportador de datos: El cliente es un controlador (con respecto a Zendesk)

Importador de datos: Zendesk, Inc.

Detalles de contacto: Se proporciona en el bloque de firma DPA

Rol del importador de datos: Zendesk es un procesador

  1. Naturaleza y propósito del procesamiento: Zendesk procesará los Datos Personales según lo especificado en el Acuerdo y para los fines determinados por el Cliente.
  2. Actividades de procesamiento: Las actividades de procesamiento incluirán el alojamiento y procesamiento de Datos Personales según lo instruido específicamente por el programa del Cliente o en el Acuerdo.
  3. Duración del procesamiento y retención: Zendesk tratará y conservará los Datos personales de forma continua durante el Periodo de suscripción. Zendesk elimina los Datos personales de acuerdo con la Política de eliminación de datos del Servicio Zendesk.
  4. Interesados: El cliente puede, a su entera discreción, enviar Datos Personales a los Servicios, que pueden incluir, pero no se limitan a: empleados (incluidos contratistas y empleados temporales), familiares de empleados, clientes, posibles clientes, proveedores de servicios, socios comerciales, vendedores, Usuarios Finales, asesores (todos ellos son personas físicas) del cliente y cualquier persona(s) física(s) autorizada por el cliente para usar los Servicios.
  5. Categorías de datos personales: El cliente puede procesar cualquier categoría de Datos Personales a su entera discreción utilizando los Servicios, que pueden incluir, pero no se limitan a, las siguientes categorías de Datos Personales: nombre y apellidos, dirección de correo electrónico, título, puesto, empleador, información de contacto (empresa, correo electrónico, números de teléfono, dirección física), fecha de nacimiento, género, comunicaciones (grabaciones telefónicas, correo de voz, metadatos) e información de servicio al cliente.
  6. Categorías especiales de datos (si corresponde): Las categorías sensibles de datos que requieren un tratamiento especial según la Ley de Protección de Datos Aplicable pueden incluir Datos Personales a discreción del Cliente.

ANEXO II

Medidas de seguridad técnicas y organizativas de Zendesk – Servicios empresariales

Las medidas técnicas y organizativas para proteger los Datos de servicio para los Servicios empresariales están contenidas en las Medidas de seguridad empresarial de Zendesk.

Zendesk se reserva el derecho de actualizar su programa de seguridad de vez en cuando; siempre que, sin embargo, cualquier actualización no reduzca sustancialmente las protecciones generales en este Anexo II.

  1. Programa y equipo de seguridad de la información: El programa de seguridad de Zendesk incluye políticas y estándares documentados de salvaguardas administrativas, técnicas, físicas y organizativas, que rigen el tratamiento de los Datos de servicio de conformidad con la legislación aplicable. El programa de seguridad está diseñado para proteger la confidencialidad e integridad de los Datos de servicio, según la naturaleza, el alcance, el contexto y los fines del tratamiento y los riesgos implicados en el tratamiento para los interesados. Zendesk mantiene un equipo de seguridad distribuido a nivel mundial disponible las 24 horas y los 7 días de la semana para responder a alertas y eventos de seguridad.
  2. Certificaciones de seguridad: Zendesk cuenta con las siguientes certificaciones relacionadas con la seguridad de auditores externos independientes: SOC 2 Tipo II, ISO 27001:2013 o ISO 27018:2014.
  3. Controles de acceso físico: Zendesk toma medidas razonables, como personal de seguridad y edificios seguros, para evitar que personas no autorizadas obtengan acceso físico a los Datos del servicio y valida que los centros de datos operativos de terceros en nombre de Zendesk cumplan con dichos controles.
  4. Controles de acceso al sistema: Zendesk toma medidas razonables para evitar que los Datos de servicio se utilicen sin autorización. Estos controles varían según la naturaleza del procesamiento realizado y pueden incluir, entre otros controles, autenticación mediante contraseñas y/o autenticación de dos factores, procesos de autorización documentados, procesos documentados de gestión del cambio y/o registro de acceso en varios niveles.
  5. Controles de acceso a los datos: Zendesk toma medidas razonables para garantizar que los Datos de servicio sean accesibles y manejables solo por personal debidamente autorizado, que el acceso directo a las consultas de la base de datos esté restringido y que los derechos de acceso a las aplicaciones se establezcan y apliquen para garantizar que las personas con derecho a utilizar un sistema de tratamiento de datos solo tengan acceso a los Datos de servicio a los que tienen privilegios de acceso; y que los Datos de servicio no puedan leerse, copiarse, modificarse o eliminarse sin autorización en el transcurso del tratamiento.
  6. Controles de transmisión: Zendesk toma medidas razonables para garantizar la capacidad de comprobar y establecer qué entidades se transfieren Datos de servicio por medio de instalaciones de transmisión de datos para que los Datos de servicio no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión o el transporte electrónico. Los datos del servicio se cifran en tránsito a través de redes públicas al comunicarse con las interfaces de usuario (UIs) de Zendesk y la interfaz de programación de aplicaciones (API) mediante el estándar de la industria HTTPS/TLS (TLS 1.2 o superior). Las excepciones al cifrado en tránsito pueden incluir cualquier Producto de terceros que no admita cifrado, al que el controlador de datos pueda vincular a través de los Servicios Enterprise a su elección. Los datos de servicio se encriptan en reposo mediante el subprocesador de Zendesk y el proveedor de servicios administrados, Amazon Web Services Inc., a través de AES-256.
  7. Controles de entrada: Zendesk toma medidas razonables para proporcionar la capacidad de comprobar y establecer si y por quién se han introducido los Datos de servicio en los sistemas de tratamiento de datos, modificados o eliminados, y que cualquier transferencia de Datos de servicio a un proveedor de servicios externo se realiza a través de una transmisión segura.
  8. Separación lógica: Los datos de diferentes entornos del Cliente de Zendesk se segregan lógicamente en sistemas gestionados por Zendesk para garantizar que los Datos de servicio recopilados por diferentes controladores se separan entre sí.
  9. Sin puertas traseras: Zendesk no ha incorporado puertas traseras u otros métodos en los Servicios para permitir a las autoridades gubernamentales eludir sus medidas de seguridad para obtener acceso a los Datos del servicio.
  10. Arquitectura y seguridad del centro de datos: Zendesk aloja los datos del servicio principalmente en centros de datos de AWS que poseen la certificación de conformidad con ISO 27001 (proveedor de servicios de nivel 1 según la normativa PCI DSS) o de SOC2 tipo. Los servicios de infraestructura de AWS incluyen alimentación de reserva, sistemas de calefacción, ventilación y aire acondicionado (HVAC) y equipos de lucha contra incendios para ayudar a proteger los servidores y, en última instancia, los datos del Cliente. La seguridad en las instalaciones de AWS incluye una serie de características, como guardias de seguridad, vallado, cadenas de seguridad, tecnología de detección de intrusiones y otras medidas de seguridad. Puede encontrar más detalles sobre los controles de AWS en: https://aws.amazon.com/security.
  11. Arquitectura de red y seguridad: Los sistemas de Zendesk están albergados en zonas acordes a su seguridad, dependiendo de la función, la clasificación de la información y el riesgo. La arquitectura de seguridad de red de Zendesk consiste en múltiples zonas con sistemas más sensibles, como servidores de bases de datos, en las zonas más fiables de Zendesk. En función de la zona, se aplicarán controles adicionales de acceso y monitorización de la seguridad. Se utilizan DMZ entre internet e internamente entre las distintas zonas de confianza. La red de Zendesk está protegida mediante el uso de servicios de seguridad clave de AWS, auditorías regulares y tecnologías de inteligencia de red, que supervisan y/o bloquean el tráfico malicioso conocido y los ataques de red. Zendesk utiliza el análisis de seguridad de la red para proporcionar una identificación rápida de sistemas potencialmente vulnerables, además del amplio programa interno de análisis y pruebas de Zendesk. Zendesk también participa en varios programas de intercambio de información sobre amenazas para supervisar las amenazas publicadas en estas redes de información sobre amenazas y tomar medidas basadas en el riesgo. Zendesk tiene un enfoque multicapa para la mitigación de DDoS, utilizando defensas de borde de red, junto con herramientas de escalado y protección.
  12. Pruebas, monitoreo y registro: Cada año, Zendesk contrata a expertos en seguridad independientes para realizar pruebas de penetración exhaustivas en todas las redes de producción y corporativas de Zendesk. Zendesk utiliza un sistema de gestión de eventos de incidentes de seguridad (Security Incident Event Management, SIEM), que reúne registros de importantes dispositivos de red y sistemas de alojamiento. El SIEM alerta al equipo de seguridad sobre factores desencadenantes basados en eventos correlacionados para su investigación y respuesta. Los puntos de ingreso y salida del servicio se instrumentan y monitorizan para detectar comportamientos anómalos, incluyendo la supervisión del sistema 24/7.
  13. Localización de alojamiento de datos: Zendesk ofrece a los Clientes una opción para elegir dónde se alojan los Datos de servicio si un Cliente compra el Complemento de ubicación de centro de datos. Se proporciona una descripción completa de esta oferta en: https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. Disponibilidad y continuidad: Zendesk mantiene una Página de Estado disponible públicamente, que incluye detalles de la disponibilidad del sistema, el mantenimiento programado, el historial de incidencias de servicio y eventos de seguridad relevantes. Zendesk emplea el agrupamiento de servicios y las redundancias de red para eliminar puntos únicos de fallo. Nuestro estricto régimen de copia de seguridad o la oferta de servicios de recuperación ante desastres mejorada de Zendesk nos permite ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en las zonas disponibles. El programa de recuperación ante desastres de Zendesk garantiza que los Servicios de Zendesk permanezcan disponibles y sean fácilmente recuperables en caso de desastre, mediante la creación de un entorno técnico sólido. Hay detalles adicionales disponibles en la página web de resiliencia empresarial de Zendesk.
  15. Seguridad de las personas: Zendesk realiza verificaciones de antecedentes previas al empleo de todos los empleados, incluida la verificación de educación y empleo, de acuerdo con las leyes locales aplicables. Los empleados reciben formación en seguridad al ser contratados y anualmente en lo sucesivo. Los empleados están obligados por acuerdos de confidencialidad por escrito a mantener la confidencialidad de los datos.
  16. Gestión de proveedores: Zendesk utiliza proveedores externos para proporcionar ciertos aspectos de los Servicios. Zendesk completa una evaluación de riesgos de seguridad de posibles proveedores.
  17. Bug Bounty: Zendesk mantiene un Programa de recompensas por errores para permitir a los investigadores de seguridad independientes informar de vulnerabilidades de seguridad de forma continua.

Medidas de seguridad técnicas y organizativas de Zendesk – Servicios de innovación

Las medidas técnicas y organizativas para proteger los Datos de servicio para los Servicios de innovación están contenidas en las Medidas de seguridad de innovación de Zendesk.

El programa de seguridad de la información de Zendesk incluye políticas o estándares documentados que rigen el manejo de los Datos de servicio de conformidad con la legislación aplicable, y salvaguardas administrativas, técnicas y físicas diseñadas para proteger la confidencialidad e integridad de los Datos de servicio. Zendesk se reserva el derecho de actualizar su programa de seguridad de vez en cuando; siempre que, sin embargo, cualquier actualización no reduzca sustancialmente las protecciones generales en este Anexo II.

  1. Controles de acceso físico: Zendesk toma medidas razonables para evitar que personas no autorizadas obtengan acceso físico a los Datos del Servicio.

  2. Controles de acceso del sistema: Zendesk toma medidas razonables para evitar que los Datos de servicio se utilicen sin autorización.

  3. Controles de acceso a datos: Zendesk toma medidas razonables para proporcionar que los Datos de servicio sean accesibles y manejables solo por personal debidamente autorizado.

  4. Controles de la transmisión: Zendesk toma medidas razonables para garantizar la capacidad de comprobar y establecer a qué entidades se transfieren los Datos de servicio por medio de instalaciones de transmisión de datos para que los Datos de servicio no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión o el transporte electrónico.

  5. Controles de entrada: Zendesk toma medidas razonables para proporcionar que sea posible verificar y establecer si los Datos de Servicio han sido introducidos en sistemas de procesamiento de datos, modificados o eliminados, y por quién, y que cualquier transferencia de Datos de Servicio a un proveedor de servicios externo se realice a través de una transmisión segura.

  6. Separación lógica: Los datos de diferentes entornos del Cliente de Zendesk se segregan lógicamente en sistemas gestionados por Zendesk para garantizar que los Datos de servicio recopilados por diferentes controladores se separan entre sí.

  7. Políticas de seguridad y personal: Zendesk tiene y mantendrá un programa de seguridad gestionado para identificar riesgos e implementar tecnología preventiva, así como tecnología y procesos para la mitigación de ataques comunes. Zendesk tiene, y mantendrá, un equipo de seguridad de la información a tiempo completo responsable de salvaguardar las redes, sistemas y servicios de Zendesk, y desarrollar y proporcionar formación a los empleados de Zendesk de conformidad con las políticas de seguridad de Zendesk.

ANEXO III

Mecanismos de transferencia y términos específicos de la región

Zendesk utiliza varios mecanismos de transferencia que rigen la transferencia internacional de Datos personales, dependiendo de la jurisdicción de los Datos personales que se traten. Términos adicionales específicos de privacidad en los Términos específicos de la región se incorporan según corresponda.

1. Normas corporativas vinculantes

Zendesk, sus filiales y Subencargados del tratamiento cumplen con los requisitos de las Normas corporativas vinculantes de Zendesk, que han sido aprobadas por la Comisión Irlandesa de Protección de Datos y la Oficina de la Comisión de Información del Reino Unido y están disponibles en el Centro de confianza de Zendesk en: https://www.zendesk.com/trust-center/.

2. Marco de Privacidad de Datos

Zendesk ha certificado su participación y cumplimiento con la legislación de la UE-EE. UU. Marco de Privacidad de Datos ("DPF UE-EE. UU.) DPA”), la Extensión del Reino Unido a la DPA del UE-EE. UU. DPF, y el Suiza-EE. UU. Marco de Privacidad de Datos ("DPF Suiza-EE. UU.) DPF”) (consulte: https://www.dataprivacyframework.gov/s/). Zendesk se compromete a mantener la autocertificación de cumplimiento con la UE-EE.UU. DPA, la Extensión del Reino Unido a la DPA del UE-EE. UU. DPF, y el Suiza-EE. UU. DPF, o cualquier marco de sustitución, para los Servicios prestados en virtud del Contrato y este ATD.

3. CCT

  1. Zendesk también utiliza las cláusulas contractuales tipo adoptadas por la Comisión Europea que se establecen en el Anexo de la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, disponible en: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 (“CCT de la UE”), y el Anexo de transferencia internacional de datos del Reino Unido a las Cláusulas contractuales tipo de la Comisión Europea, disponible en: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (“Anexo del Reino Unido”). Las partes reconocen que las CCT se incorporan a este ATD como si se indicara plenamente a continuación. Estos enlaces pueden actualizarse ocasionalmente en función de las actualizaciones de las autoridades reguladoras y se actualizarán mediante enmienda a este DPA.

  2. En la medida en que las CCT sean publicadas y requeridas por una autoridad de control que no sean CCT de la UE, las partes las interpretan como completadas de acuerdo con las selecciones en la subsección (e).

  3. En caso de conflicto o ambigüedad, los términos de los SCC prevalecerán sobre el DPA y todos los demás términos entre Zendesk y el cliente.

  4. Cuando las CCT de la UE sean reconocidas por una autoridad de control local como un Mecanismo de transferencia, se aplicarán a todos los Datos personales sujetos a esa autoridad y se considerarán completados de la manera especificada en el subapartado (e).

  5. CCT de la UE. Donde las CCT de la UE se utilizan como mecanismo de transferencia, se consideran completadas de la siguiente manera:

    1. Módulo 2 (del Responsable al Encargado del tratamiento) se aplicará cuando el Cliente sea un responsable del tratamiento de los Datos de servicio y Zendesk sea un encargado del tratamiento de los Datos de servicio; Módulo 3 (del Encargado al Encargado del tratamiento) se aplicará cuando el Cliente sea un encargado del tratamiento de los Datos de servicio y Zendesk sea un encargado del tratamiento de los Datos de servicio;

    2. en la Cláusula 7, no se aplicará la cláusula de acoplamiento opcional;

    3. en la Cláusula 9(a), se aplicará la Opción 2 “Autorización general por escrito” y el periodo de tiempo para la notificación previa de cambios del Subencargado del tratamiento según se establece en la sección “Uso de Subencargados del tratamiento” de este ATD;

    4. en la Cláusula 11, no se aplicará el texto opcional;

    5. en la Cláusula 17, la Opción 1 se aplicará y se regirá por las leyes previstas en el Contrato, o por las leyes de Irlanda si no se aplica ninguna ley de los Estados miembros del EEE, o por las leyes del importador cuando no se aplique ninguna;

    6. en la Cláusula 18(b), las disputas se resolverán ante los tribunales en el siguiente orden de prioridad: (1) según lo dispuesto en el Acuerdo, (2) Dublín, Irlanda, si no se aplica ningún estado miembro del EEE, (3) el país del Cliente con jurisdicción sobre la sede central del Cliente, (4) la dirección de la oficina registrada de Zendesk;

    7. en los Anexos I.A y I.B y el Anexo II de las CCT de la UE se consideran completados con la información enumerada en los Anexos I y II de este ATD; y

    8. en el Anexo I.C de las CCT, la autoridad de control será la autoridad competente con respecto al exportador de datos. Cuando el exportador de datos no esté establecido en el país local pero aún esté dentro del ámbito territorial de la Ley de Protección de Datos aplicable, la autoridad de control competente estará ubicada donde el exportador de datos haya designado a un representante, pero si no ha designado a un representante, entonces la autoridad de control de Irlanda será la autoridad competente.

  6. Anexo para el Reino Unido. Cuando se aplique el Anexo del Reino Unido, se considerará completado de la siguiente manera:

    1. Tabla 1, se considera completada con la información indicada en el Anexo I de este ATD, cuyo contenido se acuerda por el presente documento entre las Partes;

    2. Tabla 2, las Partes seleccionan la casilla de verificación que dice: “CCT de la UE aprobadas, incluida la Información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT de la UE aprobadas que entran en vigor a los efectos de este Anexo”, y la tabla adjunta se consideran completadas de acuerdo con las preferencias de las Partes descritas en este Anexo;

    3. Tabla 3, se considera completada con la información indicada en el Anexo I, Anexo II y como se indica en la sección “Uso de subencargados del tratamiento” de este ATD; y

    4. Tabla 4, las Partes acuerdan que ninguna de las Partes podrá rescindir el Anexo del Reino Unido tal y como se indica en la Sección 19.