política de privacidad

1. Protección de datos de un vistazo

información general

La siguiente información proporciona una descripción general simple de lo que sucede con sus datos personales cuando visita este sitio web. Los datos personales son cualquier dato que pueda utilizarse para identificarle personalmente. Para obtener información detallada sobre la protección de datos, consulte nuestra política de privacidad que aparece debajo de este texto.

Recopilación de datos en este sitio web

¿Quién es responsable de la recopilación de datos en este sitio web?

El procesamiento de datos en este sitio web lo realiza el operador del sitio web. Puede encontrar sus datos de contacto en el apartado “Nota sobre el organismo responsable” de esta declaración de protección de datos.

¿Cómo recopilamos sus datos?

Por un lado, tus datos se recogen cuando tú mismo nos los proporcionas. Estos pueden ser, por ejemplo: Estos pueden ser, por ejemplo, datos que usted introduce en un formulario de contacto.

Otros datos se recopilan automáticamente o con su consentimiento por nuestros sistemas de TI cuando visita el sitio web. Se trata principalmente de datos técnicos (por ejemplo, navegador de Internet, sistema operativo u hora de acceso a la página). Estos datos se recopilan automáticamente tan pronto como usted ingresa a este sitio web.

¿Para qué utilizamos tus datos?

Algunos de los datos se recopilan para garantizar que el sitio web funcione correctamente. Se pueden utilizar otros datos para analizar su comportamiento de usuario. Si a través del sitio web se pueden concluir o iniciar contratos, los datos transmitidos también se procesarán para ofertas de contratos, pedidos u otras consultas de pedidos.

¿Qué derechos tienes sobre tus datos?

Usted tiene derecho a obtener información sobre el origen, el destinatario y la finalidad de sus datos personales almacenados en cualquier momento y de forma gratuita. También tiene derecho a solicitar la corrección o eliminación de estos datos. Si ha dado su consentimiento para el tratamiento de datos, podrá revocar dicho consentimiento en cualquier momento para el futuro. También tiene derecho a solicitar la restricción del procesamiento de sus datos personales en determinadas circunstancias. Además, usted tiene derecho a presentar una reclamación ante la autoridad de control competente.

Puede ponerse en contacto con nosotros en cualquier momento para cualquier pregunta sobre este u otros temas relacionados con la protección de datos.

Herramientas de análisis y herramientas de terceros

Cuando visite este sitio web, su comportamiento de navegación podrá ser evaluado estadísticamente. Esto se hace principalmente con los llamados programas de análisis.

Información detallada sobre estos programas de análisis se puede encontrar en la siguiente política de privacidad.

2. Hospedaje

Alojamos el contenido de nuestro sitio web con el siguiente proveedor:

Alojamiento externo

Este sitio web está alojado externamente. Los datos personales recopilados en este sitio web se almacenan en los servidores del/de los anfitrión(es). Esto puede ser... a. Direcciones IP, solicitudes de contacto, metadatos y datos de comunicación, datos contractuales, datos de contacto, nombres, accesos a sitios web y otros datos generados a través de un sitio web.

El alojamiento externo se lleva a cabo con el fin de cumplir el contrato con nuestros clientes potenciales y existentes (art. 6 (1) (b) RGPD) y en interés de una prestación segura, rápida y eficiente de nuestra oferta en línea por parte de un proveedor profesional (art. 6 (1) (f) RGPD). Si se ha solicitado el consentimiento correspondiente, el tratamiento se realizará exclusivamente sobre la base del art. 6 (1) (a) del RGPD y la sección 25 (1) de la TDDDG, en la medida en que el consentimiento incluya el almacenamiento de cookies o el acceso a información en el dispositivo terminal del usuario (por ejemplo, la toma de huellas dactilares del dispositivo) en el sentido de la TDDDG. El consentimiento puede revocarse en cualquier momento.

Nuestros anfitriones solo procesarán sus datos en la medida necesaria para cumplir con sus obligaciones de servicio y seguirán nuestras instrucciones con respecto a estos datos.

Utilizamos los siguientes hosts:

Google LLC 1600 Amphitheatre Parkway Mountain View, CA 94043, EE. UU.

Procesamiento de pedidos

Hemos celebrado un contrato de tratamiento de datos (AVV) para el uso del servicio mencionado anteriormente. Se trata de un contrato exigido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y en cumplimiento del RGPD.

3. Información general e información obligatoria

Protección de datos

Los operadores de estas páginas se toman muy en serio la protección de sus datos personales. Tratamos sus datos personales de forma confidencial y de acuerdo con las normas legales de protección de datos y esta política de privacidad.

Al utilizar este sitio web, se recopilan diversos datos personales. Los datos personales son datos que pueden utilizarse para identificarle personalmente. Esta política de privacidad explica qué datos recopilamos y para qué los utilizamos. También explica cómo y con qué propósito se hace esto.

Nos gustaría señalar que la transmisión de datos a través de Internet (por ejemplo, durante la comunicación por correo electrónico) puede presentar vulnerabilidades de seguridad. No es posible la protección completa de los datos frente al acceso por parte de terceros.

Nota sobre el organismo responsable

El organismo responsable del tratamiento de datos de este sitio web es:

Oliversuite GmbH
Calle Oststraße 12a
87527 Sonthofen

Teléfono: +49 (0) 8321 710 90 63
Correo electrónico: info@oliversuite.de

El organismo responsable es la persona física o jurídica que, sola o junto con otras, decide sobre los fines y medios del tratamiento de datos personales (por ejemplo, nombres, direcciones de correo electrónico, etc.).

Periodo de almacenamiento

A menos que se haya especificado un período de almacenamiento más específico dentro de esta política de privacidad, sus datos personales permanecerán con nosotros hasta que el propósito del procesamiento de datos ya no sea aplicable. Si realiza una solicitud legítima de eliminación o retira su consentimiento para el procesamiento de datos, sus datos se eliminarán a menos que tengamos otras razones legalmente permisibles para almacenar sus datos personales (por ejemplo, períodos de retención según la legislación fiscal o comercial); En este último caso, la eliminación se producirá una vez que dichos motivos dejen de aplicarse.

Información general sobre la base legal para el tratamiento de datos en este sitio web

Si ha dado su consentimiento para el procesamiento de datos, procesaremos sus datos personales sobre la base del Art. 6, párr. 6 (1) (a) RGPD o art. 9 (2) (a) del RGPD, si se procesan categorías especiales de datos de conformidad con el art. 9 (1) RGPD. En caso de consentimiento expreso para la transferencia de datos personales a terceros países, el tratamiento de datos también se realizará sobre la base del art. 49 (1) (a) del RGPD. Si ha dado su consentimiento para el almacenamiento de cookies o para acceder a información en su dispositivo (por ejemplo, a través de la huella digital del dispositivo), el procesamiento de datos también se llevará a cabo sobre la base de la Sección 25 (1) TDDDG. El consentimiento puede revocarse en cualquier momento. Si sus datos son necesarios para cumplir el contrato o para llevar a cabo medidas precontractuales, procesaremos sus datos sobre la base del Art. 6 Párr. 6 (1) (b) RGPD. Además, procesamos sus datos si es necesario para cumplir con una obligación legal sobre la base del art. 6 (1) (c) RGPD. El tratamiento de datos también podrá realizarse sobre la base de nuestro interés legítimo de conformidad con el art. 6 (1) (f) RGPD. Las bases legales pertinentes en cada caso individual se explican en los siguientes párrafos de esta declaración de protección de datos.

Destinatarios de datos personales

Como parte de nuestras actividades comerciales, trabajamos con diversos organismos externos. En algunos casos, también puede ser necesario transmitir datos personales a estos organismos externos. Solo transmitimos datos personales a terceros si esto es necesario para cumplir un contrato, si estamos legalmente obligados a hacerlo (por ejemplo, transmitir datos a las autoridades fiscales) o si tenemos un interés legítimo en la transferencia de acuerdo con el art. 6 (1) (f) RGPD o si otra base legal permite la transferencia de datos. Cuando utilizamos procesadores, solo transmitimos los datos personales de nuestros clientes sobre la base de un contrato válido para el procesamiento de pedidos. En caso de tratamiento conjunto se celebrará un contrato de tratamiento conjunto.

Revocación de su consentimiento para el tratamiento de datos

Muchos tratamientos de datos solo son posibles con su consentimiento expreso. Puede revocar su consentimiento en cualquier momento. La legalidad del tratamiento de datos efectuado hasta el momento de la revocación no se verá afectada por la misma.

Derecho a oponerse a la recogida de datos en casos especiales y a la publicidad directa (artículo 21 del RGPD)

SI EL TRATAMIENTO DE DATOS SE BASA EN EL ART. 6 PÁRRAFOS 1 LIT. E O F RGPD, USTED TIENE DERECHO A OPONERSE AL TRATAMIENTO DE SUS DATOS PERSONALES EN CUALQUIER MOMENTO POR MOTIVOS DERIVADOS DE SU SITUACIÓN PARTICULAR; ESTO TAMBIÉN SE APLICA A LA ELABORACIÓN DE PERFILES BASADA EN ESTAS DISPOSICIONES. La base legal respectiva en la que se basa el tratamiento se puede encontrar en esta declaración de protección de datos. SI SE OPONE, YA NO PROCESAREMOS SUS DATOS PERSONALES A MENOS QUE PODAMOS PROBAR MOTIVOS LEGÍTIMOS IMPERIOSOS PARA EL PROCESAMIENTO QUE PREVALEZCAN SOBRE SUS INTERESES, DERECHOS Y LIBERTADES O QUE EL PROCESAMIENTO SIRVA PARA HACER VALER, EJERCER O DEFENDER RECLAMACIONES LEGALES (OBJECIÓN DE CONFORMIDAD CON EL ART. 21 (1) DEL RGPD).

SI SUS DATOS PERSONALES SE PROCESAN CON FINES DE PUBLICIDAD DIRECTA, USTED TIENE DERECHO A OPONERSE EN CUALQUIER MOMENTO AL PROCESAMIENTO DE DATOS PERSONALES QUE LE CONCIERN CON FINES DE DICHA PUBLICIDAD; ESTO TAMBIÉN SE APLICA A LA ELABORACIÓN DE PERFILES CON RESPECTO A DICHO MARKETING DIRECTO. SI SE OPONE, SUS DATOS PERSONALES YA NO SE UTILIZARÁN PARA FINES DE MARKETING DIRECTO (OBJECIÓN SEGÚN EL ART. 21, PÁRRAFO 2 DEL RGPD).

Derecho a presentar una reclamación ante la autoridad de control competente

En caso de infracción del RGPD, los interesados tendrán derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tengan su residencia habitual, su lugar de trabajo o el lugar de la supuesta infracción. El derecho de recurso se entiende sin perjuicio de otros recursos administrativos o judiciales.

Derecho a la portabilidad de datos

Tiene derecho a que los datos que procesamos automáticamente sobre la base de su consentimiento o en cumplimiento de un contrato se le entreguen a usted o a un tercero en un formato común y legible por máquina. Si solicita la transferencia directa de los datos a otro responsable, esto solo se hará si es técnicamente factible.

Información, corrección y eliminación

En el marco de las disposiciones legales aplicables, usted tiene derecho en cualquier momento a obtener información gratuita sobre sus datos personales almacenados, su origen y destinatario y la finalidad del tratamiento de datos y, en su caso, el derecho a corregir o eliminar dichos datos. Puede ponerse en contacto con nosotros en cualquier momento con cualquier pregunta sobre este u otros temas relacionados con los datos personales.

Derecho a la limitación del tratamiento

Usted tiene derecho a solicitar la restricción del tratamiento de sus datos personales. Puedes contactarnos en cualquier momento sobre este tema. El derecho a la limitación del tratamiento existe en los siguientes casos:

Si cuestiona la exactitud de sus datos personales almacenados por nosotros, generalmente necesitamos tiempo para verificarlo. Durante la revisión, usted tiene derecho a solicitar que se restrinja el procesamiento de sus datos personales.
Si el procesamiento de sus datos personales fue/es ilegal, puede solicitar la restricción del procesamiento de datos en lugar de la eliminación.
Si ya no necesitamos sus datos personales, pero usted los necesita para ejercer, defender o hacer valer reclamaciones legales, tiene derecho a solicitar que se restrinja el procesamiento de sus datos personales en lugar de eliminarlos.
Si ha presentado una objeción de conformidad con el art. 21 (1) RGPD, se debe lograr un equilibrio entre sus intereses y los nuestros. Mientras no esté claro aún qué intereses prevalecen, usted tiene derecho a solicitar que se restrinja el procesamiento de sus datos personales.

Si ha restringido el procesamiento de sus datos personales, estos datos, con excepción de su almacenamiento, solo podrán procesarse con su consentimiento o para el establecimiento, ejercicio o defensa de reclamos legales o para proteger los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión Europea o de un Estado miembro.

Cifrado SSL o TLS

Por razones de seguridad y para proteger la transmisión de contenido confidencial, como pedidos o consultas que usted nos envía como operador del sitio, este sitio utiliza encriptación SSL o TLS. Puede reconocer una conexión cifrada por el hecho de que la línea de dirección del navegador cambia de “http://” a “https://” y por el símbolo de candado en la línea de su navegador.

Si el cifrado SSL o TLS está activado, los datos que nos envíe no podrán ser leídos por terceros.

Transacciones de pago cifradas en este sitio web

Si, después de concluir un contrato de pago, está obligado a proporcionarnos sus datos de pago (por ejemplo, el número de cuenta para la autorización de débito directo), estos datos serán necesarios para el procesamiento del pago.

Las transacciones de pago mediante los métodos de pago habituales (Visa/MasterCard, domiciliación bancaria) se realizan exclusivamente a través de una conexión SSL o TLS cifrada. Puede reconocer una conexión cifrada por el hecho de que la línea de dirección del navegador cambia de “http://” a “https://” y por el símbolo de candado en la línea de su navegador.

Con la comunicación encriptada, los datos de pago que nos envíe no podrán ser leídos por terceros.

4. Recopilación de datos en este sitio web

Galletas

Nuestros sitios web utilizan las llamadas “cookies”. Las cookies son pequeños paquetes de datos y no causan ningún daño a su dispositivo. Se almacenan temporalmente durante la duración de una sesión (cookies de sesión) o de forma permanente (cookies permanentes) en su dispositivo. Las cookies de sesión se eliminan automáticamente después de su visita. Las cookies permanentes permanecen almacenadas en su dispositivo hasta que usted las elimine o su navegador web las elimine automáticamente.

Las cookies pueden proceder de nosotros (cookies de origen) o de empresas de terceros (las denominadas cookies de terceros). Las cookies de terceros permiten la integración de ciertos servicios de empresas de terceros dentro de los sitios web (por ejemplo, cookies para procesar servicios de pago).

Las cookies tienen varias funciones. Muchas cookies son técnicamente necesarias porque ciertas funciones del sitio web no funcionarían sin ellas (por ejemplo, la función de carrito de compras o la visualización de videos). Se pueden utilizar otras cookies para evaluar el comportamiento del usuario o con fines publicitarios.

Las cookies que son necesarias para llevar a cabo el proceso de comunicación electrónica, para proporcionar determinadas funciones que ha solicitado (por ejemplo, para la función del carrito de compras) o para optimizar el sitio web (por ejemplo, cookies para medir la audiencia web) (cookies necesarias) se almacenan sobre la base del Art. 6, párrafo 1 lit. 6 (1) (f) RGPD, a menos que se especifique otra base jurídica. El operador del sitio web tiene un interés legítimo en almacenar las cookies necesarias para garantizar la prestación técnicamente libre de errores y optimizada de sus servicios. Si se ha solicitado el consentimiento para el almacenamiento de cookies y tecnologías de reconocimiento similares, el procesamiento se realizará exclusivamente sobre la base de este consentimiento (art. 6 (1) (a) GDPR y Sección 25 (1) TDDDG); El consentimiento puede revocarse en cualquier momento.

Puede configurar su navegador para que le informe sobre la configuración de cookies y solo permita cookies en casos individuales, excluya la aceptación de cookies para ciertos casos o en general y active la eliminación automática de cookies al cerrar el navegador. Si se desactivan las cookies la funcionalidad de este sitio web puede ser limitada.

Puede conocer qué cookies y servicios se utilizan en este sitio web en esta política de privacidad.

Archivos de registro del servidor

El proveedor de las páginas recopila y almacena automáticamente información en los denominados archivos de registro del servidor, que su navegador nos transmite automáticamente. Estos son:

Tipo y versión del navegador
sistema operativo utilizado
URL de referencia
Nombre de host del ordenador que accede
Hora de la solicitud del servidor
Dirección IP

Estos datos no se fusionarán con otras fuentes de datos.

Estos datos se recopilan sobre la base del art. 6 (1) (f) RGPD. El operador del sitio web tiene un interés legítimo en la presentación y optimización técnicamente libre de errores de su sitio web; para este propósito, se deben registrar los archivos de registro del servidor.

Formulario de contacto

Si nos envía consultas a través del formulario de contacto, sus datos del formulario de consulta, incluidos los datos de contacto que proporcionó allí, serán almacenados por nosotros con el fin de procesar la consulta y en caso de preguntas de seguimiento. No transmitiremos estos datos sin su consentimiento.

El tratamiento de estos datos se basa en el art. 6 (1) (b) RGPD, siempre que su solicitud esté relacionada con el cumplimiento de un contrato o sea necesaria para llevar a cabo medidas precontractuales. En todos los demás casos, el tratamiento se basa en nuestro interés legítimo en el procesamiento efectivo de las consultas que nos dirige (art. 6 (1) (f) RGPD) o en su consentimiento (art. 6 (1) (a) RGPD) si este fue solicitado; El consentimiento puede revocarse en cualquier momento.

Los datos que introduzca en el formulario de contacto permanecerán con nosotros hasta que nos solicite que los eliminemos, revoque su consentimiento para el almacenamiento o el propósito del almacenamiento de los datos ya no sea aplicable (por ejemplo, después de que su solicitud haya sido procesada). Las disposiciones legales obligatorias, en particular los plazos de conservación, no se verán afectadas.

Consulta por correo electrónico, teléfono o fax

Si se comunica con nosotros por correo electrónico, teléfono o fax, su consulta, incluidos todos los datos personales resultantes (nombre, consulta), serán almacenados y procesados por nosotros con el fin de procesar su solicitud. No transmitiremos estos datos sin su consentimiento.

Los datos que nos envíe a través de sus consultas de contacto permanecerán con nosotros hasta que nos solicite que los eliminemos, revoque su consentimiento para el almacenamiento o el propósito del almacenamiento de los datos ya no sea aplicable (por ejemplo, después de que su solicitud haya sido procesada). Las disposiciones legales obligatorias, en particular los plazos de conservación legales, no se verán afectadas.

5. Redes sociales

Herramienta de intercambio seguro de eRecht24

El contenido de este sitio web podrá ser compartido en redes sociales como Facebook, X & Co. en cumplimiento de la normativa de protección de datos. Este sitio utiliza el Herramienta de intercambio seguro de eRecht24. Esta herramienta sólo establece contacto directo entre las redes y los usuarios cuando el usuario hace clic activamente en uno de estos botones. Al hacer clic en el botón se otorga el consentimiento en el sentido del art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. Este consentimiento podrá revocarse en cualquier momento con efecto para el futuro.

Esta herramienta no transfiere automáticamente los datos del usuario a los operadores de estas plataformas. Si el usuario ha iniciado sesión en una de las redes sociales, al utilizar los elementos de redes sociales de Facebook, X & Co. aparecerá una ventana de información en la que el usuario podrá confirmar el texto antes de enviarlo.

Nuestros usuarios pueden compartir el contenido de este sitio en redes sociales en cumplimiento de la normativa de protección de datos, sin que los operadores de red creen perfiles de navegación completos.

El servicio se utiliza para obtener el consentimiento legalmente requerido para el uso de determinadas tecnologías. La base legal para ello es el art. 6 (1) (c) RGPD.

Facebook

Este sitio web contiene elementos de la red social Facebook. El proveedor de este servicio es Meta Platforms Ireland Limited, Merrion Road, Dublín 4, D04 X2K5, Irlanda. Sin embargo, según Facebook, los datos recopilados también se transfieren a EE. UU. y a otros países terceros.

Puede encontrar una descripción general de los elementos de las redes sociales de Facebook aquí: https://developers.facebook.com/docs/plugins/?locale=de_DE.

Cuando el elemento de redes sociales está activo, se establece una conexión directa entre su dispositivo y el servidor de Facebook. Facebook recibe la información de que has visitado este sitio web con tu dirección IP. Si hace clic en el botón “Me gusta” de Facebook mientras está conectado a su cuenta de Facebook, puede vincular el contenido de este sitio web a su perfil de Facebook. Esto permite a Facebook asociar su visita a este sitio web con su cuenta de usuario. Nos gustaría señalar que, como proveedores de las páginas, no tenemos conocimiento del contenido de los datos transmitidos ni de su uso por parte de Facebook. Para obtener más información, consulte la política de privacidad de Facebook en: https://de-de.facebook.com/privacy/explanation.

El uso de este servicio se basa en su consentimiento de conformidad con el art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

En la medida en que se recopilen datos personales en nuestro sitio web con la ayuda de la herramienta aquí descrita y se envíen a Facebook, nosotros y Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublín 2, Irlanda, seremos conjuntamente responsables de este procesamiento de datos (art. 26 del RGPD). La responsabilidad conjunta se limita exclusivamente a la recopilación de datos y su transmisión a Facebook. El tratamiento por parte de Facebook tras el reenvío no forma parte del control conjunto. Nuestras obligaciones conjuntas se han establecido en un acuerdo de procesamiento conjunto. El texto del acuerdo se puede encontrar en: https://www.facebook.com/legal/controller_addendum. Según este acuerdo, somos responsables de proporcionar información sobre protección de datos al utilizar la herramienta de Facebook y de implementar la herramienta en nuestro sitio web de una manera que cumpla con la ley de protección de datos. Facebook es responsable de la seguridad de los datos de los productos de Facebook. Puede hacer valer sus derechos como interesado (por ejemplo, solicitudes de información) respecto a los datos procesados por Facebook directamente ante Facebook. Si usted hace valer sus derechos como interesado ante nosotros, estamos obligados a transmitirlos a Facebook.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://www.facebook.com/legal/EU_data_transfer_addendum, https://de-de.facebook.com/help/566994660333381 y https://www.facebook.com/policy.php.

La empresa está certificada según el Marco de privacidad de datos UE-EE.UU. (DPF). El DPF es un acuerdo entre la Unión Europea y EE.UU. que tiene como objetivo garantizar el cumplimiento de los estándares europeos de protección de datos durante el procesamiento de datos en EE.UU. Cada empresa certificada DPF se compromete a cumplir con estos estándares de protección de datos. Puede obtener más información del proveedor en el siguiente enlace: https://www.dataprivacyframework.gov/participant/4452.

X (antes Twitter)

Este sitio web incluye características del servicio X (anteriormente Twitter). Estas funciones las ofrece la empresa matriz X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, EE. UU. Twitter International Unlimited Company, One Cumberland Place, Fenian Street, Dublín 2, D02 AX07, Irlanda, es responsable del procesamiento de datos de personas que viven fuera de EE. UU.

Cuando el elemento de redes sociales está activo, se establece una conexión directa entre su dispositivo y el servidor X. X (antes Twitter) recibe información sobre su visita a este sitio web. Al utilizar X (antes Twitter) y la función “Re-Tweet” o “Repostar”, los sitios web que usted visita se vinculan a su cuenta de X (antes Twitter) y se dan a conocer a otros usuarios. Nos gustaría señalar que nosotros, como proveedores de las páginas, no tenemos conocimiento del contenido de los datos transmitidos ni de su uso por parte de X (anteriormente Twitter). Para obtener más información, consulte la política de privacidad de X (anteriormente Twitter) en: https://x.com/de/privacy.

El uso de este servicio se basa en su consentimiento de conformidad con el art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://gdpr.x.com/en/controller-to-controller-transfers.html.

Puede administrar su configuración de privacidad en X (anteriormente Twitter) en la configuración de la cuenta en https://x.com/settings/account cambiar.

Instagram

Este sitio web incluye funciones del servicio Instagram. Estas funciones las ofrece Meta Platforms Ireland Limited, Merrion Road, Dublín 4, D04 X2K5, Irlanda.

Cuando el elemento de redes sociales está activo, se establece una conexión directa entre tu dispositivo y el servidor de Instagram. Instagram recibe información sobre tu visita a este sitio web.

Si ha iniciado sesión en su cuenta de Instagram, puede vincular el contenido de este sitio web a su perfil de Instagram haciendo clic en el botón de Instagram. Esto permite a Instagram asociar su visita a este sitio web con su cuenta de usuario. Nos gustaría señalar que, como proveedores de las páginas, no tenemos conocimiento del contenido de los datos transmitidos ni de su uso por parte de Instagram.

El uso de este servicio se basa en su consentimiento de conformidad con el art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

En la medida en que se recopilen datos personales en nuestro sitio web con la ayuda de la herramienta aquí descrita y se envíen a Facebook o Instagram, nosotros y Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublín 2, Irlanda, seremos conjuntamente responsables de este procesamiento de datos (art. 26 del RGPD). La responsabilidad conjunta se limita exclusivamente a la recopilación de datos y su transmisión a Facebook o Instagram. El tratamiento realizado por Facebook o Instagram tras el reenvío no forma parte del tratamiento conjunto de datos. Nuestras obligaciones conjuntas se han establecido en un acuerdo de procesamiento conjunto. El texto del acuerdo se puede encontrar en: https://www.facebook.com/legal/controller_addendum. Según este acuerdo, somos responsables de proporcionar información sobre protección de datos al utilizar la herramienta de Facebook o Instagram y de implementar la herramienta en nuestro sitio web de una manera que cumpla con la ley de protección de datos. Facebook es responsable de la seguridad de los datos de los productos de Facebook e Instagram. Puede hacer valer sus derechos como interesado (por ejemplo, solicitudes de información) respecto a los datos procesados por Facebook o Instagram directamente ante Facebook. Si usted hace valer sus derechos como interesado ante nosotros, estamos obligados a transmitirlos a Facebook.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://www.facebook.com/legal/EU_data_transfer_addendum, https://privacycenter.instagram.com/policy/ y https://de-de.facebook.com/help/566994660333381.

Para obtener más información, consulte la política de privacidad de Instagram: https://privacycenter.instagram.com/policy/.

6. Herramientas de análisis y publicidad

Administrador de etiquetas de Google

Utilizamos Google Tag Manager. El proveedor es Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda.

Google Tag Manager es una herramienta que nos permite integrar herramientas de seguimiento o estadísticas y otras tecnologías en nuestro sitio web. El propio Google Tag Manager no crea perfiles de usuario, no almacena cookies y no realiza ningún análisis independiente. Solo se utiliza para administrar y mostrar las herramientas integradas a través de él. Sin embargo, Google Tag Manager registra su dirección IP, que también puede transferirse a la empresa matriz de Google en Estados Unidos.

El uso de Google Tag Manager se basa en el art. 6 (1) (f) RGPD. El operador del sitio web tiene un interés legítimo en la integración y gestión rápida y sencilla de diversas herramientas en su sitio web. Si se ha solicitado el consentimiento correspondiente, el tratamiento se realizará exclusivamente sobre la base del art. 6 (1) (a) del RGPD y la sección 25 (1) de la TDDDG, en la medida en que el consentimiento incluya el almacenamiento de cookies o el acceso a información en el dispositivo terminal del usuario (por ejemplo, la toma de huellas dactilares del dispositivo) en el sentido de la TDDDG. El consentimiento puede revocarse en cualquier momento.

Google Analytics

Este sitio web utiliza funciones del servicio de análisis web Google Analytics. El proveedor es Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublín 4, Irlanda.

Google Analytics permite al operador del sitio web analizar el comportamiento de los visitantes del sitio web. El operador del sitio web recibe diversos datos de uso, como: B. páginas vistas, duración de la estancia, sistemas operativos utilizados y origen del usuario. Estos datos se resumen en un ID de usuario y se asignan al dispositivo respectivo del visitante del sitio web.

Además, podemos utilizar, entre otras cosas, Google Analytics. Registre los movimientos del mouse, el desplazamiento y los clics. Además, Google Analytics utiliza varios enfoques de modelado para complementar los conjuntos de datos recopilados y utiliza tecnologías de aprendizaje automático en el análisis de datos.

Google Analytics utiliza tecnologías que permiten reconocer al usuario con el fin de analizar su comportamiento (por ejemplo, cookies o huellas digitales del dispositivo). La información recopilada por Google sobre su uso de este sitio web normalmente se transfiere a un servidor de Google en EE. UU. y se almacena allí.

El uso de este servicio se basa en su consentimiento de conformidad con el art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://privacy.google.com/businesses/controllerterms/mccs/.

Anonimización de IP

La anonimización de IP de Google Analytics está activada. Esto significa que su dirección IP será acortada por Google dentro de los estados miembros de la Unión Europea o en otros estados contratantes del Acuerdo sobre el Espacio Económico Europeo antes de ser transmitida a los EE.UU. Solo en casos excepcionales se transmitirá la dirección IP completa a un servidor de Google en EE. UU. y se acortará allí. En nombre del operador de este sitio web, Google utilizará esta información para evaluar su uso del sitio web, para recopilar informes sobre la actividad del sitio web y para proporcionar al operador del sitio web otros servicios relacionados con la actividad del sitio web y el uso de Internet. La dirección IP transmitida por su navegador como parte de Google Analytics no se fusionará con otros datos de Google.

complemento del navegador

Puede evitar que Google recopile y procese sus datos descargando e instalando el complemento del navegador disponible en el siguiente enlace: https://tools.google.com/dlpage/gaoptout?hl=de.

Para obtener más información sobre cómo Google Analytics maneja los datos de los usuarios, consulte la política de privacidad de Google: https://support.google.com/analytics/answer/6004245?hl=de.

Procesamiento de pedidos

Hemos celebrado un contrato con Google para el procesamiento de pedidos y cumplimos plenamente los estrictos requisitos de las autoridades alemanas de protección de datos al utilizar Google Analytics.

Hotjar

Este sitio web utiliza Hotjar. El proveedor es Hotjar Ltd., Level 2, St Julians Business Centre, 3, Elia Zammit Street, St Julians STJ 1000, Malta, Europa (Sitio web: https://www.hotjar.com).

Hotjar es una herramienta para analizar el comportamiento de sus usuarios en este sitio web. Con Hotjar podemos, entre otras cosas, grabar los movimientos del ratón, el desplazamiento y los clics. Hotjar también puede determinar cuánto tiempo dejó el puntero del mouse en un lugar determinado. A partir de esta información, Hotjar crea los denominados mapas de calor, que pueden utilizarse para determinar qué áreas del sitio web son vistas preferentemente por los visitantes del mismo.

También podemos determinar cuánto tiempo permaneció en una página y cuándo la abandonó. También podemos determinar en qué momento abandonaste tus entradas en un formulario de contacto (los llamados embudos de conversión).

Además, Hotjar se puede utilizar para obtener comentarios directos de los visitantes del sitio web. Esta función se utiliza para mejorar la oferta web del operador del sitio web.

Hotjar utiliza tecnologías que permiten el reconocimiento del usuario con el fin de analizar su comportamiento (por ejemplo, cookies o el uso de huellas dactilares del dispositivo).

Si se ha obtenido el consentimiento se utilizará lo anteriormente mencionado. Servicios exclusivamente en base al Art. 6 (1) (a) del RGPD y del artículo 25 de la TDDDG. El consentimiento puede revocarse en cualquier momento. A menos que se haya obtenido el consentimiento, el uso de este servicio se basa en el art. 6 (1) (f) RGPD; El operador del sitio web tiene un interés legítimo en analizar el comportamiento del usuario para optimizar tanto su sitio web como su publicidad.

Desactivando Hotjar

Si desea desactivar la recopilación de datos por parte de Hotjar, haga clic en el siguiente enlace y siga las instrucciones que aparecen allí: https://www.hotjar.com/policies/do-not-track/

Tenga en cuenta que Hotjar debe desactivarse por separado para cada navegador o dispositivo.

Para obtener más información sobre Hotjar y los datos recopilados, consulte la política de privacidad de Hotjar en el siguiente enlace: https://www.hotjar.com/privacy

Procesamiento de pedidos

Anuncios de Google

El operador del sitio web utiliza Google Ads. Google Ads es un programa de publicidad en línea de Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublín 4, Irlanda.

Google Ads nos permite mostrar anuncios en el motor de búsqueda de Google o en sitios web de terceros cuando el usuario ingresa determinados términos de búsqueda en Google (segmentación por palabras clave). Además, se pueden mostrar anuncios específicos basados en los datos de usuario disponibles para Google (por ejemplo, datos de ubicación e intereses) (segmentación de audiencia). Como operadores de sitios web, podemos evaluar estos datos cuantitativamente, por ejemplo, analizando qué términos de búsqueda llevaron a la visualización de nuestros anuncios y cuántos anuncios generaron los clics correspondientes.

El uso de este servicio se basa en su consentimiento de conformidad con el art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://policies.google.com/privacy/frameworks y https://business.safety.google/controllerterms/.

Seguimiento de conversiones de Google

Este sitio web utiliza el seguimiento de conversiones de Google. El proveedor es Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublín 4, Irlanda.

Con la ayuda de Google Conversion Tracking, Google y nosotros podemos reconocer si el usuario ha realizado determinadas acciones. Por ejemplo, podemos evaluar qué botones de nuestro sitio web fueron pulsados y con qué frecuencia, y qué productos fueron vistos o comprados con especial frecuencia. Esta información se utiliza para crear estadísticas de conversión. Conocemos el número total de usuarios que hicieron clic en nuestros anuncios y qué acciones realizaron. No recibimos ninguna información que nos permita identificar personalmente al usuario. El propio Google utiliza cookies o tecnologías de reconocimiento similares para la identificación.

El uso de este servicio se basa en su consentimiento de conformidad con el art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

Para obtener más información sobre el seguimiento de conversiones de Google, consulte la política de privacidad de Google: https://policies.google.com/privacy?hl=de.

Klaviyo

Hemos integrado Klaviyo en este sitio web. El proveedor es Klaviyo Inc., 125 Summer Street, Piso 6, Boston, MA, 02110, EE. UU. (en adelante Klaviyo).

Klaviyo es una herramienta de automatización de marketing para enviar correos electrónicos, SMS, notificaciones push y recopilar reseñas de clientes para minoristas de comercio electrónico.

Para este propósito, Klaviyo almacena su consentimiento para el marketing por correo electrónico. En particular, se podrán procesar los siguientes datos: nombre, número de teléfono, dirección de correo electrónico, datos de dirección, dirección IP, identificación del dispositivo, datos de uso (como interacciones entre un usuario y el sistema en línea de Klaviyo, sitio web o correo electrónico, navegador utilizado, sistema operativo utilizado, URL de referencia).

El uso de Klaviyo se basa en el arte. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

Para obtener más detalles, consulte la política de privacidad del proveedor en https://www.klaviyo.com/legal/privacy.

El proveedor aplica cláusulas contractuales estándar para la transferencia de datos personales a terceros países. Los detalles se pueden encontrar aquí: https://www.klaviyo.com/legal/data-processing-agreement.

Procesamiento de pedidos

Meta Pixel (anteriormente Facebook Pixel)

Este sitio web utiliza el píxel de acción de visitantes de Meta para medir las conversiones. El proveedor de este servicio es Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublín 2, Irlanda. Sin embargo, según Meta, los datos recopilados también se transferirán a EE. UU. y a otros países terceros.

Esto permite rastrear el comportamiento de los visitantes del sitio después de haber sido redirigidos al sitio web del proveedor al hacer clic en un metaanuncio. Esto permite evaluar la eficacia de los metaanuncios con fines estadísticos y de investigación de mercado y optimizar las futuras medidas publicitarias.

Los datos recopilados son anónimos para nosotros como operadores de este sitio web; No podemos sacar ninguna conclusión sobre la identidad de los usuarios. Sin embargo, los datos son almacenados y procesados por Meta para que sea posible una conexión con el perfil de usuario respectivo en Facebook o Instagram y Meta pueda utilizar los datos para sus propios fines publicitarios, de acuerdo con la política de uso de datos de Meta (https://de-de.facebook.com/about/privacy/) se puede utilizar. Esto permite que Meta habilite la colocación de anuncios en páginas de Facebook o Instagram y otros canales publicitarios. Nosotros, como operadores de sitios web, no podemos influir en este uso de datos.

El uso de este servicio se basa en su consentimiento de conformidad con el art. 6 (1) (a) del RGPD y Sección 25 (1) de la TDDDG. El consentimiento puede revocarse en cualquier momento.

Utilizamos la función de coincidencia avanzada dentro de los metapíxeles.

La coincidencia avanzada nos permite transmitir varios tipos de datos (por ejemplo, ciudad, estado, código postal, direcciones de correo electrónico en hash, nombres, género, fecha de nacimiento o número de teléfono) de nuestros clientes y prospectos que recopilamos a través de nuestro sitio web a Meta. Esto nos permite adaptar nuestras campañas publicitarias en Facebook e Instagram con mayor precisión a las personas que están interesadas en nuestras ofertas. Además, la coincidencia avanzada mejora la atribución de conversiones del sitio web y amplía las audiencias personalizadas.

En la medida en que se recopilen datos personales en nuestro sitio web con la ayuda de la herramienta aquí descrita y se envíen a Meta, nosotros y Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublín 2, Irlanda, seremos conjuntamente responsables de este procesamiento de datos (art. 26 del RGPD). La responsabilidad conjunta se limita exclusivamente a la recogida de datos y su transmisión a Meta. El tratamiento realizado por Meta después del envío no forma parte del control conjunto. Nuestras obligaciones conjuntas se han establecido en un acuerdo de procesamiento conjunto. El texto del acuerdo se puede encontrar en: https://www.facebook.com/legal/controller_addendum. Según este acuerdo, somos responsables de proporcionar la información sobre protección de datos al utilizar la metaherramienta y de implementar la herramienta en nuestro sitio web de una manera que cumpla con la ley de protección de datos. Meta es responsable de la seguridad de los datos de los productos Meta. Puede hacer valer sus derechos como interesado (por ejemplo, solicitudes de información) respecto a los datos procesados por Facebook o Instagram directamente ante Meta. Si usted hace valer sus derechos como interesado ante nosotros, estamos obligados a transmitirlos a Meta.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://www.facebook.com/legal/EU_data_transfer_addendum y https://de-de.facebook.com/help/566994660333381.

Puede encontrar más información sobre la protección de su privacidad en la política de privacidad de Meta: https://de-de.facebook.com/about/privacy/.

También puede utilizar la función de remarketing "Audiencias personalizadas" en la sección Configuración de anuncios de https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen desactivar. Para ello debes estar logueado en Facebook.

Si no tiene una cuenta de Facebook o Instagram, puede optar por no recibir publicidad basada en el uso de Meta en el sitio web de la Alianza Europea de Publicidad Digital Interactiva: http://www.youronlinechoices.com/de/praferenzmanagement/.

7. Complementos y herramientas

YouTube con privacidad mejorada

Este sitio web incorpora vídeos del sitio web de YouTube. El operador del sitio web es Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublín 4, Irlanda.

Cuando visita uno de estos sitios web que integran YouTube, se establece una conexión con los servidores de YouTube. El servidor de YouTube recibe la información sobre cuáles de nuestras páginas ha visitado. Si ha iniciado sesión en su cuenta de YouTube, permite que YouTube asigne su comportamiento de navegación directamente a su perfil personal. Puedes evitar esto cerrando la sesión de tu cuenta de YouTube.

Utilizamos YouTube en modo de privacidad mejorado. Según YouTube, los vídeos reproducidos en modo de privacidad mejorada no se utilizan para personalizar su experiencia de navegación en YouTube. Los anuncios que se muestran en el modo de privacidad mejorada tampoco son personalizados. En el modo de privacidad extendida, no se establecen cookies. En su lugar, en el navegador del usuario se almacenan los denominados elementos de almacenamiento local que, de forma similar a las cookies, contienen datos personales y pueden utilizarse para el reconocimiento. Los detalles sobre el modo de privacidad mejorado se pueden encontrar aquí: https://support.google.com/youtube/answer/171780.

Después de activar un vídeo de YouTube, es posible que se desencadenen otros procesos de procesamiento de datos sobre los que no tenemos ninguna influencia.

Utilizamos YouTube con el objetivo de ofrecer una presentación atractiva de nuestras ofertas en línea. Esto representa un interés legítimo en el sentido del art. 6 (1) (f) RGPD. Si se ha solicitado el consentimiento correspondiente, el tratamiento se realizará exclusivamente sobre la base del art. 6 (1) (a) del RGPD y la sección 25 (1) de la TDDDG, en la medida en que el consentimiento incluya el almacenamiento de cookies o el acceso a información en el dispositivo final del usuario (por ejemplo, huellas dactilares del dispositivo) en el sentido de la TDDDG. El consentimiento puede revocarse en cualquier momento.

Para obtener más información sobre la protección de datos en YouTube, consulte su política de privacidad en: https://policies.google.com/privacy?hl=de.

Vimeo

Este sitio web utiliza complementos del portal de vídeo Vimeo. El proveedor es Vimeo Inc., 555 West 18th Street, Nueva York, Nueva York 10011, EE. UU.

Cuando visita una de nuestras páginas que contiene un vídeo de Vimeo, se establece una conexión con los servidores de Vimeo. El servidor de Vimeo recibe la información sobre cuáles de nuestras páginas ha visitado. Vimeo también obtiene su dirección IP. Esto también se aplica si no ha iniciado sesión en Vimeo o no tiene una cuenta de Vimeo. La información recopilada por Vimeo se transmite al servidor de Vimeo en EE.UU.

Si ha iniciado sesión en su cuenta de Vimeo, permite que Vimeo asigne su comportamiento de navegación directamente a su perfil personal. Puedes evitar esto cerrando la sesión de tu cuenta de Vimeo.

Vimeo utiliza cookies o tecnologías de reconocimiento similares (por ejemplo, huellas dactilares del dispositivo) para reconocer a los visitantes del sitio web.

Utilizamos Vimeo con el objetivo de ofrecer una presentación atractiva de nuestras ofertas en línea. Esto representa un interés legítimo en el sentido del art. 6 (1) (f) RGPD. Si se ha solicitado el consentimiento correspondiente, el tratamiento se realizará exclusivamente sobre la base del art. 6 (1) (a) del RGPD y la sección 25 (1) de la TDDDG, en la medida en que el consentimiento incluya el almacenamiento de cookies o el acceso a información en el dispositivo final del usuario (por ejemplo, huellas dactilares del dispositivo) en el sentido de la TDDDG. El consentimiento puede revocarse en cualquier momento.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea y, según Vimeo, en “intereses comerciales legítimos”. Los detalles se pueden encontrar aquí: https://vimeo.com/privacy.

Puede encontrar más información sobre cómo se manejan los datos de los usuarios en la política de privacidad de Vimeo en: https://vimeo.com/privacy.

Fuentes de Google (alojamiento local)

Este sitio utiliza las denominadas fuentes Google Fonts, proporcionadas por Google, para la visualización uniforme de las fuentes. Las fuentes de Google se instalan localmente. No hay conexión con los servidores de Google.

Para obtener más información sobre Google Fonts, consulte https://developers.google.com/fonts/faq y en la política de privacidad de Google: https://policies.google.com/privacy?hl=de.

Google reCAPTCHA

Utilizamos “Google reCAPTCHA” (en adelante “reCAPTCHA”) en este sitio web. El proveedor es Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublín 4, Irlanda.

reCAPTCHA se utiliza para verificar si los datos ingresados en este sitio web (por ejemplo, en un formulario de contacto) son ingresados por una persona o por un programa automatizado. Para ello, reCAPTCHA analiza el comportamiento del visitante del sitio web en función de diversas características. Este análisis comienza automáticamente tan pronto como el visitante del sitio web ingresa al mismo. Para su análisis, reCAPTCHA evalúa diversa información (por ejemplo, la dirección IP, el tiempo que el visitante permanece en el sitio web o los movimientos del ratón realizados por el usuario). Los datos recopilados durante el análisis se transmiten a Google.

Los análisis de reCAPTCHA se ejecutan completamente en segundo plano. A los visitantes del sitio web no se les informa de que se está realizando un análisis.

Los datos se almacenan y analizan sobre la base del art. 6 (1) (f) RGPD. El operador del sitio web tiene un interés legítimo en proteger su oferta web del espionaje automatizado abusivo y del SPAM. Si se ha solicitado el consentimiento correspondiente, el tratamiento se realizará exclusivamente sobre la base del art. 6 (1) (a) del RGPD y la sección 25 (1) de la TDDDG, en la medida en que el consentimiento incluya el almacenamiento de cookies o el acceso a información en el dispositivo terminal del usuario (por ejemplo, la toma de huellas dactilares del dispositivo) en el sentido de la TDDDG. El consentimiento puede revocarse en cualquier momento.

Para obtener más información sobre Google reCAPTCHA, consulte la Política de privacidad de Google y las Condiciones de servicio de Google en los siguientes enlaces: https://policies.google.com/privacy?hl=de y https://policies.google.com/terms?hl=de.

8. Comercio electrónico y proveedores de pagos

Tratamiento de datos de clientes y contratos

Recopilamos, procesamos y utilizamos datos personales de clientes y contratos para establecer, dar forma y modificar nuestras relaciones contractuales. Recopilamos, procesamos y utilizamos datos personales sobre el uso de este sitio web (datos de uso) solo en la medida necesaria para permitir al usuario utilizar el servicio o facturarlo. La base legal para ello es el art. 6 (1) (b) RGPD.

Los datos de clientes recopilados se eliminarán una vez completado el pedido o finalizada la relación comercial y transcurridos los períodos de retención legales existentes. Los plazos de conservación legales no se verán afectados.

Transferencia de datos en el momento de la celebración del contrato para tiendas online, minoristas y envío de mercancías

Cuando usted nos pide productos, transmitiremos sus datos personales a la empresa de transporte encargada de la entrega y al proveedor de servicios de pago encargado de procesar el pago. Sólo se divulgarán los datos que el respectivo proveedor de servicios necesita para cumplir su tarea. La base legal para ello es el art. 6 (1) (b) RGPD, que permite el tratamiento de datos para cumplir un contrato o adoptar medidas precontractuales. Si ha dado su consentimiento de conformidad con el art. 6 (1) (a) RGPD, transmitiremos su dirección de correo electrónico a la empresa de transporte encargada de la entrega para que puedan informarle por correo electrónico sobre el estado del envío de su pedido; Puede revocar su consentimiento en cualquier momento.

Transferencia de datos en el momento de la celebración del contrato de servicios y contenidos digitales

Solo transmitimos datos personales a terceros si esto es necesario para la ejecución del contrato, por ejemplo, a la entidad de crédito encargada del procesamiento del pago.

No se realizará ninguna transmisión posterior de los datos o solo se realizará si usted ha consentido expresamente dicha transmisión. Sus datos no serán cedidos a terceros sin su consentimiento expreso, por ejemplo para fines publicitarios.

La base para el tratamiento de datos es el art. 6 (1) (b) RGPD, que permite el tratamiento de datos para el cumplimiento de un contrato o para medidas precontractuales.

Verificaciones de crédito

Si compra a cuenta o utiliza cualquier otro método de pago donde realizamos un pago por adelantado, podemos realizar una verificación de crédito (puntuación). Para este fin, transmitimos los datos que usted introduce (por ejemplo, nombre, dirección, edad o datos bancarios) a una agencia de crédito. En base a estos datos se determina la probabilidad de impago. Si el riesgo de impago es excesivo, podremos rechazar el método de pago en cuestión.

La verificación de crédito se realiza sobre la base del cumplimiento del contrato (art. 6, apartado 1, letra b del RGPD) y para evitar impagos (interés legítimo según el art. 6, apartado 1, letra f del RGPD). Si se ha obtenido el consentimiento, la verificación de crédito se realizará sobre la base de este consentimiento (art. 6 (1) (RGPD)); El consentimiento puede revocarse en cualquier momento.

Servicios de pago

Integramos servicios de pago de empresas de terceros en nuestro sitio web. Cuando realiza una compra con nosotros, sus detalles de pago (por ejemplo, nombre, monto del pago, datos bancarios, número de tarjeta de crédito) serán procesados por el proveedor de servicios de pago con el fin de procesar el pago. Para estas transacciones se aplican las respectivas disposiciones contractuales y de protección de datos de los respectivos proveedores. El uso de proveedores de servicios de pago se basa en el art. 6 (1) (b) RGPD (tramitación de contratos) y en interés de garantizar el proceso de pago más fluido, cómodo y seguro posible (art. 6 (1) (f) RGPD). Si se solicita su consentimiento para determinadas acciones, el art. 6 (1) (a) del RGPD es la base legal para el tratamiento de datos; El consentimiento puede revocarse en cualquier momento para el futuro.

Utilizamos los siguientes servicios de pago/proveedores de servicios de pago en este sitio web:

PayPal

El proveedor de este servicio de pago es PayPal (Europe) S.à.rl et Cie, SCA, 22-24 Boulevard Royal, L-2449 Luxemburgo (en adelante, “PayPal”).

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://www.paypal.com/de/webapps/mpp/ua/pocpsa-full.

Para obtener más detalles, consulte la política de privacidad de PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full.

Apple Pay

El proveedor de servicios de pago es Apple Inc., Infinite Loop, Cupertino, CA 95014, EE. UU. La política de privacidad de Apple se puede encontrar en: https://www.apple.com/legal/privacy/de-ww/.

tarjeta American Express

El proveedor de este servicio de pago es American Express Europe SA, Theodor-Heuss-Allee 112, 60486 Frankfurt am Main, Alemania (en adelante, “American Express”).

American Express podrá transferir datos a su empresa matriz en EE.UU. La transferencia de datos a EE.UU. se basa en las normas corporativas vinculantes. Los detalles se pueden encontrar aquí: https://www.americanexpress.com/en-cz/company/legal/privacy-centre/binding-corporate-rules/.

Para obtener más información, consulte la Política de privacidad de American Express: https://www.americanexpress.com/de-de/firma/legal/datenschutz-center/online-datenschutzerklarung/.

Tarjeta MasterCard

El proveedor de este servicio de pago es Mastercard Europe SA, Chaussée de Tervuren 198A, B-1410 Waterloo, Bélgica (en adelante, “Mastercard”).

Mastercard podrá transferir datos a su empresa matriz en EE.UU. La transferencia de datos a EE. UU. se basa en las reglas corporativas vinculantes de Mastercard. Los detalles se pueden encontrar aquí: https://www.mastercard.de/de-de/datenschutz.html y https://www.mastercard.us/content/dam/mccom/global/documents/mastercard-bcrs.pdf.

VISA

El proveedor de este servicio de pago es Visa Europe Services Inc., London Branch, 1 Sheldon Square, Londres W2 6TT, Reino Unido (en adelante “VISA”).

Gran Bretaña se considera un tercer país seguro en términos de protección de datos. Esto significa que el Reino Unido tiene un nivel de protección de datos equivalente al de la Unión Europea.

VISA podrá transferir datos a su empresa matriz en EE.UU. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales estándar de la Comisión Europea. Los detalles se pueden encontrar aquí: https://www.visa.de/nutzungsbedingungen/visa-globale-datenschutzmitteilung/mitteilung-zu-zustandigkeitsfragen-fur-den-ewr.html.

Para obtener más información, consulte la política de privacidad de VISA: https://www.visa.de/nutzungsbedingungen/visa-privacy-center.html.

9. Google Gemini API für KI Nutzung (Hinweise Datenschutz)

Anexo sobre procesamiento de datos en la nube

Este Anexo sobre Procesamiento de Datos en la Nube (incluidos sus apéndices, el “Apéndice") se incorpora al/los Acuerdo(s) (como se define a continuación) entre Google y el Cliente. Este Anexo se conocía anteriormente como "Términos de Procesamiento de Datos y Seguridad" en el marco de un Acuerdo para Google Cloud Platform, Looker (original) o Google SecOps Services, o como "Enmienda de Procesamiento de Datos" en el marco de un Acuerdo para Google Workspace o Cloud Identity.

Tabla de contenido:

Condiciones generales

1. Descripción general

2. Definiciones

3. Duración

4. Roles; Cumplimiento legal

5. Tratamiento de datos

6. Eliminación de datos

7. Seguridad de los datos

8. Evaluaciones de impacto y consultas

9. Acceso; Derechos del titular de los datos; Exportación de datos

10. Ubicaciones de procesamiento de datos

11. Subprocesadores

12. Equipo de Protección de Datos en la Nube; Procesamiento de registros

13. Avisos

14. Interpretación

Apéndice 1: Objeto y detalles del tratamiento de datos

Apéndice 2: Medidas de seguridad

Apéndice 3: Leyes específicas de privacidad

Ley Europea de Protección de Datos

Ley de Privacidad del Consumidor de California (CCPA)

Pavo

Israel

Apéndice 4: Productos específicos

Plataforma de Google Cloud

Solución Bare Metal (Google Cloud Platform)

Google Distributed Cloud Edge (Google Cloud Platform)

Nube múltiple administrada por Google (Google Cloud Platform)

Google Cloud VMware Engine (Plataforma de Google Cloud)

Volúmenes de NetApp (Google Cloud Platform)

Google Workspace y Cloud Identity

Hoja de aplicación (Google Workspace)

Mirador (original)

Servicios de SecOps

Condiciones generales

1. Descripción general

Este Anexo describe las obligaciones de las partes, incluidas las leyes aplicables de privacidad, seguridad de datos y protección de datos, con respecto al procesamiento y la seguridad de los Datos del Cliente (como se define a continuación). Esta Adenda entrará en vigencia en la Fecha de entrada en vigencia de la Adenda (como se define a continuación) y reemplazará cualquier término previamente aplicable al procesamiento y seguridad de los Datos del Cliente. Los términos en mayúscula utilizados pero no definidos en este Addendum tienen el significado que se les da en el Acuerdo.

2. Definiciones

2.1 En esta Adenda:

“Fecha de entrada en vigor del anexo” significa la fecha en la que el Cliente aceptó, o las partes acordaron de otra manera, este Addendum.
“Controles de seguridad adicionales” significa recursos de seguridad, características, funcionalidades y controles que el Cliente puede usar a su elección y según lo determine, incluida la Consola de administración, el cifrado, el registro y la supervisión, la gestión de identidad y acceso, el escaneo de seguridad y los firewalls.
"Acuerdo" significa el contrato bajo el cual Google acordó proporcionar los Servicios aplicables al Cliente.
“Ley de Privacidad Aplicable” significa, según corresponda al procesamiento de Datos Personales del Cliente, cualquier ley o reglamento nacional, federal, de la Unión Europea, estatal, provincial o de otro tipo sobre privacidad, seguridad de datos o protección de datos.
“Servicios auditados” significa los Servicios vigentes en ese momento indicados como dentro del alcance de la certificación o informe pertinente en https://cloud.google.com/security/compliance/services-in-scope. Google no podrá eliminar ningún Servicio de esta URL a menos que se haya interrumpido de conformidad con el Acuerdo aplicable.
“Certificaciones de cumplimiento” tiene el significado que se le da en la Sección 7.4 (Certificaciones de cumplimiento e informes SOC).
“Datos del cliente”, si no se define en el Acuerdo, tiene el significado que se le da en el Apéndice 4 (Productos específicos).
“Datos personales del cliente” significa los datos personales contenidos en los Datos del Cliente, incluidas cualquier categoría especial de datos personales o datos sensibles definidos en la Ley de Privacidad Aplicable.
“Incidente de datos” significa una violación de la seguridad de Google que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos del Cliente en sistemas administrados o controlados de otro modo por Google.
“EMEA” significa Europa, Oriente Medio y África.
RGPD de la UE significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se retoma la Directiva 95/46/CE.
“Ley Europea de Protección de Datos” significa, según corresponda: (a) el RGPD; o (b) el FADP suizo.
“Derecho europeo” significa, según corresponda: (a) la legislación de la UE o de un Estado miembro de la UE (si el RGPD de la UE se aplica al procesamiento de Datos Personales del Cliente); (b) la ley del Reino Unido o de una parte del Reino Unido (si el RGPD del Reino Unido se aplica al procesamiento de Datos Personales del Cliente); o (c) la ley de Suiza (si la FADP suiza se aplica al procesamiento de Datos Personales del Cliente).
“RGPD” significa, según corresponda: (a) el RGPD de la UE; o (b) el RGPD del Reino Unido.
Auditor externo de Google significa un auditor externo independiente, calificado y designado por Google, cuya identidad actual Google revelará al Cliente.
"Instrucciones" tiene el significado que se le da en la Sección 5.2 (Cumplimiento de las instrucciones del cliente).
“Dirección de correo electrónico de notificación” significa la(s) dirección(es) de correo electrónico designadas por el Cliente en la Consola de administración o en el Formulario de pedido para recibir determinadas notificaciones de Google.
“Documentación de seguridad” significa las Certificaciones de Cumplimiento y los Informes SOC.
“Medidas de seguridad” tiene el significado que se le da en la Sección 7.1.1 (Medidas de seguridad de Google).
"Servicios" significa los servicios aplicables descritos en el Apéndice 4 (Productos específicos).
“Informes SOC” tiene el significado que se le da en la Sección 7.4 (Certificaciones de cumplimiento e informes SOC).
“Subencargado del tratamiento” significa un tercero autorizado como otro procesador bajo este Anexo para procesar Datos del Cliente con el fin de proporcionar partes de los Servicios y TSS.
“Autoridad supervisora” significa, según corresponda: (a) una “autoridad de control” según se define en el RGPD de la UE; o (b) el “Comisionado” según se define en el RGPD del Reino Unido o la FADP suiza.
“FADP suizo” significa, según corresponda, la Ley Federal de Protección de Datos de 19 de junio de 1992 (Suiza) (con la Ordenanza de la Ley Federal de Protección de Datos de 14 de junio de 1993) o la Ley Federal de Protección de Datos revisada de 25 de septiembre de 2020 (Suiza) (con la Ordenanza de la Ley Federal de Protección de Datos de 31 de agosto de 2022).
"Término" significa el período desde la Fecha de entrada en vigor de la Adenda hasta el final de la prestación de los Servicios por parte de Google, incluido, si corresponde, cualquier período durante el cual la prestación de los Servicios pueda suspenderse y cualquier período posterior a la terminación durante el cual Google pueda continuar prestando los Servicios con fines transitorios.
RGPD del Reino Unido significa el RGPD de la UE, tal como fue modificado e incorporado a la legislación del Reino Unido bajo la Ley de Retirada de la Unión Europea de 2018 y la legislación secundaria aplicable elaborada bajo dicha Ley.

2.2 Los términos “datos personales”, “titular de los datos”, “procesamiento”, “controlador” y “procesador” tal como se utilizan en este Anexo tienen los significados que les da la Ley de Privacidad Aplicable o, en ausencia de dicho significado o ley, el RGPD de la UE.

2.3 Los términos “titular de los datos”, “controlador” y “procesador” incluyen “consumidor”, “empresa” y “proveedor de servicios”, respectivamente, según lo exige la Ley de Privacidad Aplicable.

3. Duración

Independientemente de si el Acuerdo aplicable ha finalizado o vencido, este Anexo permanecerá en vigor hasta que Google elimine todos los Datos del Cliente según lo descrito en este Anexo y vencerá automáticamente cuando lo haga.

4. Roles; Cumplimiento legal

4.1 Roles de las partes. Google es un procesador y el Cliente es un controlador o procesador, según corresponda, de los Datos Personales del Cliente.

4.2 Resumen de procesamiento. El objeto y los detalles del procesamiento de los Datos Personales del Cliente se describen en el Apéndice 1 (Objeto y detalles del procesamiento).

4.3 Cumplimiento de la ley. Cada parte cumplirá con sus obligaciones relacionadas con el procesamiento de los Datos Personales del Cliente según la Ley de Privacidad Aplicable.

4.4 Términos legales adicionales. En la medida en que el procesamiento de Datos Personales del Cliente esté sujeto a una Ley de Privacidad Aplicable descrita en el Apéndice 3 (Leyes de Privacidad Específicas), los términos correspondientes en el Apéndice 3 se aplicarán además de estos Términos Generales y prevalecerán como se describe en la Sección 14.1 (Precedencia).

5. Tratamiento de datos

5.1 Clientes de procesadores. Si el Cliente es un procesador:

a. El cliente garantiza de forma continua que el responsable del tratamiento pertinente ha autorizado:

i. las instrucciones;

ii. Contratación por parte del cliente de Google como otro procesador; y.

iii. Contratación de subprocesadores por parte de Google según se describe en la Sección 11 (Subprocesadores);

b. El Cliente remitirá al responsable del tratamiento pertinente de forma inmediata y sin demoras indebidas cualquier notificación proporcionada por Google en virtud de la Sección 7.2.1 (Notificación de incidentes), 9.2.1 (Responsabilidad por las solicitudes) o 11.4 (Oportunidad de objetar a los subprocesadores); y

do. El Cliente podrá poner a disposición del responsable del tratamiento correspondiente cualquier otra información puesta a disposición por Google en virtud de este Anexo sobre las ubicaciones de los centros de datos de Google o los nombres, ubicaciones y actividades de los Subprocesadores.

5.2 Cumplimiento de las instrucciones del cliente. El Cliente ordena a Google que procese los Datos del Cliente de conformidad con el Acuerdo aplicable (incluido este Anexo) y la legislación aplicable únicamente de la siguiente manera:

a. para proporcionar, proteger y supervisar los Servicios y TSS; y

b. como se especifica más adelante mediante:

i. Uso de los Servicios por parte del Cliente (incluso a través de la Consola de administración) y TSS; y

ii. cualquier otra instrucción escrita proporcionada por el Cliente y reconocida por Google como instrucciones en virtud de este Anexo
(en conjunto, las “Instrucciones”).

Google cumplirá con las Instrucciones a menos que lo prohíba la legislación europea, donde se aplique la legislación europea de protección de datos, o lo prohíba la legislación aplicable, donde se aplique cualquier otra legislación de privacidad aplicable.

6. Eliminación de datos

6.1 Eliminación por parte del cliente. Google permitirá al Cliente eliminar Datos del Cliente durante el Plazo de una manera coherente con la funcionalidad de los Servicios. Si el Cliente utiliza los Servicios para eliminar cualquier Dato del Cliente durante el Plazo y el Cliente no puede recuperar dichos Datos, este uso constituirá una Instrucción a Google para eliminar los Datos del Cliente relevantes de los sistemas de Google de conformidad con la ley aplicable. Google cumplirá con esta Instrucción tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la Ley Europea requiera almacenamiento, donde se aplique la Ley de Protección de Datos Europea, o la ley aplicable requiera almacenamiento, donde se aplique cualquier otra Ley de Privacidad Aplicable.

6.2 Devolver o eliminar cuando finalice el plazo. Si el Cliente desea conservar algún Dato del Cliente después de finalizado el Plazo, puede indicarle a Google, de conformidad con la Sección 9.1 (Acceso; Rectificación; Procesamiento Restringido; Portabilidad), que devuelva dichos datos durante el Plazo. Sujeto a la Sección 6.3 (Instrucción de eliminación diferida), el Cliente instruye a Google a eliminar todos los Datos del Cliente restantes (incluidas las copias existentes) de los sistemas de Google al final del Plazo de conformidad con la ley aplicable. Después de un período de recuperación de hasta 30 días a partir de esa fecha, Google cumplirá con esta Instrucción tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la Ley Europea requiera almacenamiento, donde se aplique la Ley Europea de Protección de Datos, o la ley aplicable requiera almacenamiento, donde se aplique cualquier otra Ley de Privacidad Aplicable.

6.3. Instrucciones de eliminación diferida. En la medida en que cualquier Dato del Cliente cubierto por la instrucción de eliminación descrita en la Sección 6.2 (Devolución o Eliminación cuando finaliza el Plazo) también se procese, cuando expire el Plazo aplicable según la Sección 6.2, en relación con un Acuerdo con un Plazo continuo, dicha instrucción de eliminación entrará en vigor con respecto a dichos Datos del Cliente solo cuando expire el Plazo continuo. Para mayor claridad, este Anexo seguirá aplicándose a dichos Datos del Cliente hasta que Google los elimine.

7. Seguridad de los datos

7.1 Medidas de seguridad, controles y asistencia de Google.

7.1.1 Medidas de seguridad de Google. Google implementará y mantendrá medidas técnicas, organizativas y físicas para proteger los Datos del Cliente contra la destrucción, pérdida, alteración, divulgación o acceso no autorizado accidental o ilegal, tal como se describe en el Apéndice 2 (Medidas de seguridad) (el "Medidas de seguridad").

7.1.2 Acceso y cumplimiento. Google quiere:

a. autorizar a sus empleados, contratistas y Subprocesadores a acceder a los Datos del Cliente sólo cuando sea estrictamente necesario para cumplir con las Instrucciones;

b. tomar las medidas adecuadas para garantizar el cumplimiento de las Medidas de Seguridad por parte de sus empleados, contratistas y Subprocesadores en la medida que sea aplicable a su ámbito de desempeño; y

do. garantizar que todas las personas autorizadas a procesar Datos del Cliente estén obligadas a mantener la confidencialidad.

7.1.3 Controles de seguridad adicionales. Google pondrá a disposición controles de seguridad adicionales para:

a. permitir al Cliente tomar medidas para proteger sus Datos; y

b. Proporcionar al Cliente información sobre cómo proteger, acceder y utilizar los Datos del Cliente.

7.1.4 Asistencia de seguridad de Google. Google (teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Cliente y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones (o, cuando el Cliente sea un procesador, las del controlador pertinente) relacionadas con la seguridad y las violaciones de datos personales según la Ley de Privacidad Aplicable, mediante:

a. implementar y mantener las Medidas de Seguridad de acuerdo con la Sección 7.1.1 (Medidas de Seguridad de Google);

b. poner a disposición controles de seguridad adicionales de conformidad con la Sección 7.1.3 (Controles de seguridad adicionales);

do. cumplir con los términos de la Sección 7.2 (Incidentes de Datos);

d. poner a disposición la Documentación de Seguridad de conformidad con la Sección 7.5.1 (Revisiones de la Documentación de Seguridad) y proporcionar la información contenida en el Acuerdo aplicable (incluido este Anexo); y

mi. si las subsecciones (a) a (d) anteriores son insuficientes para que el Cliente (o el controlador pertinente) cumpla con dichas obligaciones, a solicitud del Cliente, brindarle cooperación y asistencia razonables adicionales.

7.2 Incidentes de datos.

7.2.1 Notificación de incidentes. Google notificará al Cliente de inmediato y sin demoras indebidas después de tener conocimiento de un Incidente de Datos y tomará rápidamente medidas razonables para minimizar el daño y proteger los Datos del Cliente.

7.2.2 Detalles del incidente de datos. La notificación de Google sobre un incidente de datos describirá: la naturaleza del incidente de datos, incluidos los recursos del cliente afectados; las medidas que Google ha tomado o planea tomar para abordar el incidente de datos y mitigar su riesgo potencial; las medidas, si las hubiera, que Google recomienda que el Cliente adopte para abordar el Incidente de Datos; y detalles de un punto de contacto donde se puede obtener más información. Si no es posible proporcionar toda esa información al mismo tiempo, la notificación inicial de Google contendrá la información disponible en ese momento y se proporcionará información adicional sin demora indebida a medida que esté disponible.

7.2.3 Google no evalúa los datos de los clientes. Google no tiene la obligación de evaluar los Datos del cliente para identificar información sujeta a requisitos legales específicos.

7.2.4 Sin reconocimiento de culpa por parte de Google. La notificación o respuesta de Google a un Incidente de Datos según esta Sección 7.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Google de cualquier falla o responsabilidad con respecto al Incidente de Datos.

7.3 Responsabilidades y evaluación de seguridad del cliente.

7.3.1 Responsabilidades de seguridad del cliente. Sin perjuicio de las obligaciones de Google en virtud de las Secciones 7.1 (Medidas de seguridad, controles y asistencia de Google) y 7.2 (Incidentes de datos), y en otras partes del Acuerdo aplicable, el Cliente es responsable de su uso de los Servicios y del almacenamiento de cualquier copia de los Datos del Cliente fuera de los sistemas de Google o de los Subprocesadores de Google, incluyendo:

a. utilizando los Servicios y Controles de Seguridad Adicionales para garantizar un nivel de seguridad apropiado al riesgo de los Datos del Cliente;

b. proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder a los Servicios; y

do. realizar copias de seguridad o conservar copias de sus Datos de Cliente según corresponda.

7.3.2 Evaluación de seguridad del cliente. El Cliente acepta que los Servicios, las Medidas de Seguridad, los Controles de Seguridad Adicionales y los compromisos de Google bajo esta Sección 7 (Seguridad de Datos) brindan un nivel de seguridad apropiado al riesgo de los Datos del Cliente (teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento de los Datos del Cliente, así como los riesgos para las personas).

7.4 Certificaciones de cumplimiento e informes SOC. Google mantendrá al menos lo siguiente para los Servicios Auditados para verificar la eficacia continua de las Medidas de Seguridad:

a. certificados de la norma ISO 27001 y cualquier certificación adicional descrita en el Apéndice 4 (Productos específicos) (las “Certificaciones de cumplimiento”); y

b. Informes SOC 2 y SOC 3 elaborados por el auditor externo de Google y actualizados anualmente en función de una auditoría realizada al menos una vez cada 12 meses (los “Informes SOC”).

Google puede agregar estándares en cualquier momento. Google puede reemplazar una Certificación de Cumplimiento o un Informe SOC con una alternativa equivalente o mejorada.

7.5 Revisiones y Auditorías de Cumplimiento.

7.5.1 Revisiones de documentación de seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo, Google pondrá la Documentación de Seguridad a disposición del Cliente para su revisión y, si el Cliente es un procesador, le permitirá solicitar acceso a los Informes SOC para el controlador relevante de acuerdo con la Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías).

7.5.2 Derechos de auditoría del cliente.

a. Auditoría de clientes. Google, si así lo exige la Ley de Privacidad Aplicable, permitirá que el Cliente o un auditor independiente designado por el Cliente realice auditorías (incluidas inspecciones) para verificar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo de conformidad con la Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías). Durante una auditoría, Google cooperará razonablemente con el Cliente o su auditor como se describe en esta Sección 7.5 (Revisiones y auditorías de cumplimiento).

b. Revisión independiente del cliente. El Cliente puede realizar una auditoría para verificar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo revisando la Documentación de Seguridad (que refleja el resultado de las auditorías realizadas por el Auditor Externo de Google).

7.5.3 Términos comerciales adicionales para revisiones y auditorías.

a. El cliente debe comunicarse con el Equipo de protección de datos en la nube de Google para solicitar:

i. acceso a los Informes SOC de un responsable del tratamiento pertinente según la Sección 7.5.1 (Revisiones de la documentación de seguridad); o

ii. una auditoría según la Sección 7.5.2(a) (Auditoría del Cliente).

b. Tras una solicitud del Cliente según la Sección 7.5.3(a), Google y el Cliente discutirán y acordarán de antemano lo siguiente:

i. controles de seguridad y confidencialidad aplicables a cualquier acceso a los Informes SOC por parte de un controlador relevante según la Sección 7.5.1 (Revisiones de la Documentación de Seguridad); y

ii. la fecha de inicio razonable, el alcance y la duración de los controles de seguridad y confidencialidad aplicables a cualquier auditoría según la Sección 7.5.2(a) (Auditoría del Cliente).

do. Google puede cobrar una tarifa (basada en los costos razonables de Google) por cualquier auditoría según la Sección 7.5.2(a) (Auditoría del Cliente). Google proporcionará al Cliente detalles adicionales sobre cualquier tarifa aplicable y la base de su cálculo antes de cualquier auditoría. El Cliente será responsable de cualquier honorario cobrado por cualquier auditor designado por el Cliente para ejecutar dicha auditoría.

d. Google podrá oponerse por escrito a un auditor designado por el Cliente para realizar una auditoría según la Sección 7.5.2(a) (Auditoría del Cliente) si, en la opinión razonable de Google, el auditor no está debidamente calificado o no es independiente, es un competidor de Google o, de otro modo, es manifiestamente inadecuado. Cualquier objeción de este tipo por parte de Google requerirá que el Cliente designe otro auditor o realice la auditoría él mismo.

mi. Cualquier solicitud de Cliente según el Apéndice 3 (Leyes de Privacidad Específicas) o el Apéndice 4 (Productos Específicos) para acceder a cualquier informe SOC para un controlador relevante o para auditorías también estará sujeta a esta Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías).

8. Evaluaciones de impacto y consultas

Google (teniendo en cuenta la naturaleza del procesamiento y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones (o, cuando el Cliente sea un procesador, las del controlador pertinente) relacionadas con las evaluaciones de protección de datos, evaluaciones de riesgo, consultas regulatorias previas o procedimientos equivalentes según la Ley de Privacidad Aplicable, mediante:

a. poner a disposición Controles de Seguridad Adicionales de conformidad con la Sección 7.1.3 (Controles de Seguridad Adicionales) y la Documentación de Seguridad de conformidad con la Sección 7.5.1 (Revisiones de la Documentación de Seguridad);

b. proporcionar la información contenida en el Acuerdo aplicable (incluido este Anexo); y

do. si los apartados (a) y (b) anteriores son insuficientes para que el Cliente (o el responsable del tratamiento pertinente) cumpla con dichas obligaciones, a solicitud del Cliente, proporcionarle cooperación y asistencia razonables adicionales.

9. Acceso; Derechos del titular de los datos; Exportación de datos

9.1 Acceso; Rectificación; Procesamiento restringido; Portabilidad. Durante el Plazo, Google permitirá al Cliente, de una manera coherente con la funcionalidad de los Servicios, acceder, rectificar y restringir el procesamiento de los Datos del Cliente, incluso a través de la funcionalidad de eliminación proporcionada por Google como se describe en la Sección 6.1 (Eliminación por parte del Cliente), y exportar los Datos del Cliente. Si el Cliente toma conocimiento de que algún Dato Personal del Cliente es inexacto o está desactualizado, el Cliente será responsable de utilizar dicha funcionalidad para rectificar o eliminar dichos datos si así lo exige la Ley de Privacidad Aplicable.

9.2 Solicitudes del interesado.

9.2.1 Responsabilidad por las solicitudes. Durante el Plazo, si el Equipo de Protección de Datos de la Nube de Google recibe una solicitud de un titular de datos que se relaciona con Datos Personales del Cliente e identifica al Cliente, Google hará lo siguiente:

a. asesorar al interesado para que presente su solicitud al Cliente;

b. notificar rápidamente al cliente; y

do. no responder de otro modo a la solicitud de dicho titular de datos sin la autorización del Cliente.

El Cliente será responsable de responder a cualquier solicitud de este tipo, incluso, cuando sea necesario, mediante el uso de la funcionalidad de los Servicios.

9.2.2 Solicitud de asistencia del interesado de Google. Google (teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Cliente) ayudará al Cliente a cumplir con sus obligaciones (o, cuando el Cliente sea un procesador, las del controlador pertinente) según la Ley de Privacidad Aplicable para responder a las solicitudes de ejercicio de los derechos del titular de los datos mediante:

a. poner a disposición controles de seguridad adicionales de conformidad con la Sección 7.1.3 (Controles de seguridad adicionales);

b. cumpliendo con las Secciones 9.1 (Acceso; Rectificación; Tratamiento Restringido; Portabilidad) y 9.2.1 (Responsabilidad por las Solicitudes); y

10. Ubicaciones de procesamiento de datos

10.1 Instalaciones de almacenamiento y procesamiento de datos. Sujeto a los compromisos de ubicación de datos de Google según los Términos específicos del servicio y los compromisos de transferencia de datos según el Apéndice 3 (Leyes de privacidad específicas), si corresponde, los Datos del cliente pueden procesarse en cualquier país donde Google o sus subprocesadores mantengan instalaciones.

10.2 Información del centro de datos. Las ubicaciones de los centros de datos de Google se describen en el Apéndice 4 (Productos específicos).

11. Subprocesadores

11.1 Consentimiento para la contratación de un subprocesador. El Cliente autoriza específicamente la participación de Google como subprocesador de aquellas entidades divulgadas según se describe en la Sección 11.2 (Información sobre subprocesadores) a partir de la Fecha de entrada en vigencia del Anexo. Además, sin perjuicio de la Sección 11.4 (Oportunidad de oponerse a los subprocesadores), el Cliente generalmente autoriza la contratación por parte de Google de otros terceros como subprocesadores (“Nuevos subprocesadores”).

11.2 Información sobre los subencargados del tratamiento. Los nombres, ubicaciones y actividades de los subprocesadores se describen en el Apéndice 4 (Productos específicos).

11.3 Requisitos para la contratación de subencargados del tratamiento. Al contratar a un subprocesador, Google:

a. garantizar mediante un contrato escrito que:

i. el Subprocesador solo accede y utiliza los Datos del Cliente en la medida necesaria para cumplir con las obligaciones subcontratadas y lo hace de conformidad con el Acuerdo aplicable (incluido este Anexo); y

ii. si así lo exigen las Leyes de Privacidad Aplicables, las obligaciones de protección de datos descritas en este Anexo se imponen al Subprocesador (como se puede describir con más detalle en el Apéndice 3 (Leyes de Privacidad Específicas)); y

b. seguirá siendo plenamente responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del Subprocesador.

11.4 Oportunidad de oponerse a los subprocesadores.

a. Cuando Google contrate a un nuevo subprocesador durante el Plazo, Google notificará al Cliente sobre la contratación (incluido el nombre, la ubicación y las actividades del nuevo subprocesador) al menos 30 días antes de que el nuevo subprocesador comience a procesar los datos del cliente.

b. El Cliente puede, dentro de los 90 días posteriores a ser notificado de la contratación de un Nuevo Subprocesador, objetar rescindiendo inmediatamente el Acuerdo aplicable por conveniencia:

i. de conformidad con la disposición de terminación por conveniencia de dicho Acuerdo; o

ii. si no existe tal previsión, notificándolo a Google.

12. Equipo de Protección de Datos en la Nube; Procesamiento de registros

12.1 Equipo de protección de datos en la nube. El Equipo de Protección de Datos en la Nube de Google brindará asistencia rápida y razonable con cualquier consulta del Cliente relacionada con el procesamiento de los Datos del Cliente según el Acuerdo aplicable y se puede contactar como se describe en la sección Avisos del Acuerdo aplicable o en el Apéndice 4 (Productos específicos).

12.2 Registros de procesamiento de Google. Google mantendrá la documentación adecuada de sus actividades de procesamiento según lo requiera la Ley de Privacidad Aplicable. En la medida en que cualquier Ley de Privacidad Aplicable requiera que Google recopile y mantenga registros de cierta información relacionada con el Cliente, el Cliente utilizará la Consola de administración u otros medios identificados en el Apéndice 4 (Productos específicos) para proporcionar dicha información y mantenerla precisa y actualizada. Google podrá poner dicha información a disposición de los reguladores competentes, incluida una Autoridad de Supervisión, si así lo exige la Ley de Privacidad Aplicable.

12.3 Solicitudes del controlador. Durante el Plazo, si el Equipo de Protección de Datos en la Nube de Google recibe una solicitud o instrucción de un tercero que pretenda ser un controlador de Datos Personales del Cliente, Google le indicará al tercero que se comunique con el Cliente.

13. Avisos

Las notificaciones bajo este Anexo (incluidas las notificaciones de cualquier Incidente de Datos) se enviarán a la Dirección de Correo Electrónico de Notificación. El cliente es responsable de utilizar la Consola de administración para garantizar que su dirección de correo electrónico de notificación permanezca actualizada y válida.

14. Interpretación

14.1 Precedencia. En la medida en que surja cualquier conflicto entre:

a. Apéndice 3 (Leyes de privacidad específicas) y el resto del Anexo (incluido el Apéndice 4 (Productos específicos)), prevalecerá el Apéndice 3; y

b. Apéndice 4 (Productos específicos) y el resto del Addendum (excluyendo el Apéndice 3), prevalecerá el Apéndice 4; y

do. esta Adenda y el resto del Acuerdo, esta Adenda prevalecerá.

Para mayor claridad, si el Cliente tiene más de un Acuerdo, este Anexo modificará cada uno de los Acuerdos por separado.

14.2 Referencias de la sección. A menos que se indique lo contrario, las referencias a secciones en cualquier Apéndice de este Addendum se refieren a secciones de los Términos Generales del Addendum.

Apéndice 1: Objeto y detalles del tratamiento de datos

Tema

Prestación de los Servicios y TSS por parte de Google al Cliente.

Duración del tratamiento

El Plazo más el período desde el final del Plazo hasta la eliminación de todos los Datos del Cliente por parte de Google de conformidad con este Anexo.

Naturaleza y finalidad del tratamiento

Google procesará los Datos Personales del Cliente con el fin de proporcionar los Servicios y TSS al Cliente de conformidad con este Anexo.

Categorías de datos

Datos relativos a personas físicas proporcionados a Google a través de los Servicios, por (o bajo la dirección de) el Cliente o por sus Usuarios finales.

Titulares de los datos

Los interesados incluyen a las personas sobre las que se proporcionan datos a Google a través de los Servicios por (o bajo la dirección de) el Cliente o por sus Usuarios finales.

Apéndice 2: Medidas de seguridad

A partir de la Fecha de Entrada en Vigencia del Anexo, Google implementará y mantendrá las Medidas de Seguridad descritas en este Apéndice 2.

1. Seguridad del centro de datos y de la red

(a) Centros de Datos.

Infraestructura. Google mantiene centros de datos distribuidos geográficamente. Google almacena todos los datos de producción en centros de datos físicamente seguros.

Redundancia. Los sistemas de infraestructura han sido diseñados para eliminar puntos únicos de falla y minimizar el impacto de los riesgos ambientales previstos. Los circuitos duales, conmutadores, redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios están diseñados para permitir que Google realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todos los equipos e instalaciones ambientales cuentan con procedimientos de mantenimiento preventivo documentados que detallan el proceso y la frecuencia de ejecución de acuerdo con las especificaciones del fabricante o internas. El mantenimiento preventivo y correctivo de los equipos del centro de datos se programa a través de un proceso de cambio estándar de acuerdo a procedimientos documentados.

fuerza. Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y mantenibles sin afectar las operaciones continuas, las 24 horas del día, los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de energía principal y otra alternativa, cada una con igual capacidad, para los componentes de infraestructura críticos en el centro de datos. La energía de respaldo se proporciona mediante varios mecanismos, como baterías de sistemas de alimentación ininterrumpida (UPS), que brindan protección energética confiable y constante durante caídas de tensión, apagones, sobretensión, subtensión y condiciones de frecuencia fuera de tolerancia. Si se interrumpe el suministro eléctrico, la energía de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a plena capacidad, durante hasta 10 minutos hasta que los sistemas de generador de respaldo tomen el control. Los generadores de respaldo pueden ponerse en marcha automáticamente en cuestión de segundos para proporcionar suficiente energía eléctrica de emergencia para hacer funcionar el centro de datos a plena capacidad, generalmente durante un período de días.

Sistemas operativos de servidor. Los servidores de Google utilizan una implementación basada en Linux personalizada para el entorno de la aplicación. Los datos se almacenan utilizando algoritmos propietarios para aumentar la seguridad y la redundancia de los datos.

Calidad del código. Google emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para proporcionar los Servicios y mejorar la seguridad de los productos en entornos de producción.

Continuidad del negocio. Google ha diseñado y planifica y prueba periódicamente sus programas de planificación de continuidad empresarial/recuperación ante desastres.

(b) Redes y Transmisión.

Transmisión de datos. Los centros de datos generalmente están conectados a través de enlaces privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre centros de datos. Esto está diseñado para evitar que los datos se lean, copien, alteren o eliminen sin autorización durante la transferencia o el transporte electrónico o mientras se graban en medios de almacenamiento de datos. Google transfiere datos a través de protocolos estándar de Internet.

Superficie de ataque externa. Google emplea múltiples capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataque externa. Google considera los posibles vectores de ataque e incorpora tecnologías apropiadas diseñadas específicamente para sistemas externos.

Detección de intrusiones. La detección de intrusiones tiene como objetivo proporcionar información sobre las actividades de ataque en curso y proporcionar información adecuada para responder a los incidentes. La detección de intrusiones de Google implica: (i) controlar estrictamente el tamaño y la composición de la superficie de ataque de Google mediante medidas preventivas; (ii) emplear controles de detección inteligentes en los puntos de entrada de datos; y (iii) emplear tecnologías que remedien automáticamente ciertas situaciones peligrosas.

Respuesta a incidentes. Google monitorea una variedad de canales de comunicación para detectar incidentes de seguridad, y el personal de seguridad de Google responderá rápidamente a los incidentes conocidos.

Tecnologías de cifrado. Google pone a disposición el cifrado HTTPS (también conocido como conexión SSL o TLS). Los servidores de Google admiten el intercambio de claves criptográficas Diffie-Hellman de curva elíptica efímera firmadas con RSA y ECDSA. Estos métodos de secreto directo perfecto (PFS) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o un avance criptográfico.

2. Controles de acceso y del sitio

(a) Controles del sitio.

Operación de seguridad del centro de datos en el sitio. Los centros de datos de Google mantienen una operación de seguridad en el sitio responsable de todas las funciones de seguridad del centro de datos físico las 24 horas del día, los 7 días de la semana. El personal de operaciones de seguridad en el lugar monitorea las cámaras de circuito cerrado de televisión (CCTV) y todos los sistemas de alarma. El personal de operaciones de seguridad en el sitio realiza patrullas internas y externas del centro de datos periódicamente.

Procedimientos de acceso al centro de datos. Google mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos están alojados en instalaciones que requieren acceso con llave de tarjeta electrónica, con alarmas vinculadas a la operación de seguridad del sitio. Todos los que ingresan al centro de datos deben identificarse y mostrar prueba de identidad a las operaciones de seguridad del sitio. Sólo se permite el ingreso a los centros de datos a empleados, contratistas y visitantes autorizados. Sólo los empleados y contratistas autorizados podrán solicitar acceso con tarjeta electrónica a estas instalaciones. Las solicitudes de acceso a la clave de tarjeta electrónica del centro de datos deben realizarse a través de correo electrónico y requieren la aprobación del gerente del solicitante y del director del centro de datos. Todos los demás participantes que requieran acceso temporal al centro de datos deben: (i) obtener la aprobación previa de los administradores del centro de datos para el centro de datos específico y las áreas internas que desean visitar; (ii) registrarse en las operaciones de seguridad del sitio; y (iii) hacer referencia a un registro de acceso al centro de datos aprobado que identifique al individuo como aprobado.

Dispositivos de seguridad del centro de datos en el sitio. Los centros de datos de Google emplean un sistema de control de acceso con autenticación dual que está vinculado a una alarma del sistema. El sistema de control de acceso monitorea y registra la tarjeta electrónica de cada individuo y cuándo accede a puertas perimetrales, de envío y recepción y otras áreas críticas. El sistema de control de acceso registra la actividad no autorizada y los intentos de acceso fallidos y los investiga según corresponda. El acceso autorizado a las operaciones comerciales y a los centros de datos está restringido según las zonas y las responsabilidades laborales del individuo. Las puertas contra incendios de los centros de datos están alarmadas. Las cámaras de CCTV están en funcionamiento tanto dentro como fuera de los centros de datos. La ubicación de las cámaras ha sido diseñada para cubrir áreas estratégicas que incluyen, entre otras, el perímetro, las puertas del edificio del centro de datos y los envíos/recepciones. El personal de operaciones de seguridad en el lugar administra el equipo de monitoreo, grabación y control de CCTV. Los cables seguros en todos los centros de datos conectan los equipos de CCTV. Las cámaras graban en el sitio a través de grabadoras de video digitales las 24 horas del día, los 7 días de la semana. Los registros de vigilancia se conservan hasta 30 días según la actividad.

(b) Control de acceso.

Personal de seguridad de infraestructura. Google tiene y mantiene una política de seguridad para su personal y exige capacitación en seguridad como parte del paquete de capacitación para su personal. El personal de seguridad de la infraestructura de Google es responsable de la supervisión continua de la infraestructura de seguridad de Google, la revisión de los Servicios y la respuesta a los incidentes de seguridad.

Control de acceso y gestión de privilegios. Los administradores y usuarios finales del cliente deben autenticarse a través de un sistema de autenticación central o a través de un sistema de inicio de sesión único para poder utilizar los servicios.

Procesos y políticas de acceso interno a datos – Política de acceso. Los procesos y políticas de acceso a datos internos de Google están diseñados para evitar que personas y sistemas no autorizados obtengan acceso a los sistemas utilizados para procesar datos del cliente. Google diseña sus sistemas para (i) permitir únicamente el acceso a los datos a los que están autorizados las personas autorizadas; y (ii) garantizar que los Datos del Cliente no puedan leerse, copiarse, alterarse o eliminarse sin autorización durante el procesamiento, uso y después de la grabación. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Google emplea un sistema de gestión de acceso centralizado para controlar el acceso del personal a los servidores de producción y solo proporciona acceso a un número limitado de personal autorizado. Los sistemas de autenticación y autorización de Google utilizan certificados SSH y claves de seguridad, y están diseñados para proporcionar a Google mecanismos de acceso seguros y flexibles. Estos mecanismos están diseñados para otorgar únicamente derechos de acceso aprobados a los hosts del sitio, registros, datos e información de configuración. Google exige el uso de identificaciones de usuario únicas, contraseñas seguras, autenticación de dos factores y listas de acceso cuidadosamente monitoreadas para minimizar la posibilidad de uso no autorizado de cuentas. La concesión o modificación de los derechos de acceso se basa en: las responsabilidades laborales del personal autorizado; requisitos de tareas laborales necesarios para realizar tareas autorizadas; y una necesidad de saber. La concesión o modificación de los derechos de acceso también debe realizarse de acuerdo con las políticas y la capacitación internas de acceso a datos de Google. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra para crear un registro de auditoría para la rendición de cuentas. Cuando se utilizan contraseñas para la autenticación (por ejemplo, para iniciar sesión en estaciones de trabajo), se implementan políticas de contraseñas que siguen al menos las prácticas estándar de la industria. Estas normas incluyen restricciones sobre la reutilización de contraseñas y la suficiente solidez de las mismas. Para acceder a información extremadamente sensible (por ejemplo, datos de tarjetas de crédito), Google utiliza tokens de hardware.

3. Datos

(a) Almacenamiento, aislamiento y registro de datos. Google almacena datos en un entorno multiinquilino en servidores propiedad de Google. Sujeto a cualquier instrucción en contrario (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente. Google también aísla lógicamente los datos de los clientes. Al cliente se le dará control sobre políticas específicas de intercambio de datos. Estas políticas, de acuerdo con la funcionalidad de los Servicios, permitirán al Cliente determinar las configuraciones de uso compartido de productos aplicables a sus Usuarios Finales para fines específicos. El Cliente puede optar por utilizar la funcionalidad de registro que Google pone a disposición a través de los Servicios.

(b) Discos fuera de servicio y política de borrado de discos. Los discos que contienen datos pueden experimentar problemas de rendimiento, errores o fallas de hardware que provoquen su desmantelamiento (“Disco desmantelado”). Cada disco dado de baja está sujeto a una serie de procesos de destrucción de datos (la “Política de borrado de discos”) antes de salir de las instalaciones de Google para su reutilización o destrucción. Los discos fuera de servicio se borran en un proceso de varios pasos y se verifican completamente por al menos dos validadores independientes. Los resultados del borrado se registran mediante el número de serie del disco dado de baja para su seguimiento. Finalmente, el disco fuera de servicio borrado se libera al inventario para su reutilización y redistribución. Si debido a una falla de hardware no se puede borrar el disco retirado, se almacena de forma segura hasta que se pueda destruir. Cada instalación es auditada periódicamente para supervisar el cumplimiento de la Política de borrado de discos.

4. Seguridad del personal

El personal de Google debe comportarse de manera coherente con las pautas de la empresa con respecto a confidencialidad, ética empresarial, uso apropiado y estándares profesionales. Google lleva a cabo verificaciones de antecedentes razonablemente apropiadas en la medida legalmente permitida y de acuerdo con la legislación laboral local y las reglamentaciones legales aplicables.

El personal de Google debe firmar un acuerdo de confidencialidad y debe reconocer la recepción y el cumplimiento de las políticas de confidencialidad y privacidad de Google. El personal recibe capacitación en seguridad. El personal que maneja datos de clientes debe cumplir requisitos adicionales apropiados para su función (certificaciones por ejemplo). El personal de Google no procesará Datos del Cliente sin autorización.

5. Seguridad del subencargado del tratamiento

Antes de incorporar a los subprocesadores, Google realiza una auditoría de las prácticas de seguridad y privacidad de los subprocesadores para garantizar que brinden un nivel de seguridad y privacidad adecuado a su acceso a los datos y al alcance de los servicios que están comprometidos a brindar. Una vez que Google haya evaluado los riesgos que presenta el subprocesador, sujeto a los requisitos descritos en la Sección 11.3 (Requisitos para la contratación del subprocesador), el subprocesador deberá celebrar términos contractuales de seguridad, confidencialidad y privacidad adecuados.

Apéndice 3: Leyes específicas de privacidad

Los términos en cada subsección de este Apéndice 3 se aplican únicamente cuando la ley correspondiente se aplica al procesamiento de Datos Personales del Cliente.

Ley Europea de Protección de Datos

1. Definiciones adicionales.

“País adecuado” medio:

para los datos tratados de conformidad con el RGPD de la UE: el Espacio Económico Europeo o un país o territorio reconocido por garantizar una protección adecuada en virtud del RGPD de la UE;
para datos procesados sujetos al RGPD del Reino Unido: el Reino Unido, o un país o territorio reconocido por garantizar una protección adecuada según el RGPD del Reino Unido y la Ley de Protección de Datos de 2018; o
para los datos tratados de conformidad con el FADP suizo: Suiza, o un país o territorio que esté: (i) incluido en la lista de estados cuya legislación garantiza una protección adecuada publicada por el Comisionado Federal de Protección de Datos e Información de Suiza, si corresponde; o (ii) reconocido como garante de una protección adecuada por el Consejo Federal Suizo en virtud del FADP suizo;

en cada caso, salvo que se base en un marco opcional de protección de datos.

“Solución de transferencia alternativa” significa una solución, distinta de las SCC, que permite la transferencia legal de datos personales a un tercer país de conformidad con la Ley Europea de Protección de Datos, por ejemplo, un marco de protección de datos reconocido por garantizar que las entidades participantes brinden una protección adecuada.
“SCC del cliente” significa las SCC (Controlador a Procesador), las SCC (Procesador a Procesador) o las SCC (Procesador a Controlador), según corresponda.
“SCC” significa las Condiciones Generales de Contratación del Cliente o las Condiciones Generales de Contratación (de Procesador a Procesador, Exportador de Google), según corresponda.
“SCCs (del responsable al encargado del tratamiento)” significa los términos en: https://cloud.google.com/terms/sccs/eu-c2p
“SCCs (Procesador a Controlador)” significa los términos en: https://cloud.google.com/terms/sccs/eu-p2c
“SCCs (de procesador a procesador)” significa los términos en: https://cloud.google.com/terms/sccs/eu-p2p
“SCCs (Procesador a procesador, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/sccs/eu-p2p-google-exporter

2. Notificaciones de instrucciones. Sin perjuicio de las obligaciones de Google en virtud de la Sección 5.2 (Cumplimiento de las instrucciones del cliente) o cualquier otro derecho u obligación de cualquiera de las partes en virtud del Acuerdo aplicable, Google notificará inmediatamente al Cliente si, en opinión de Google:

a. La legislación europea prohíbe a Google cumplir una instrucción;

b. una Instrucción no cumple con la Ley Europea de Protección de Datos; o

do. De lo contrario, Google no podrá cumplir con una instrucción, a menos que dicho aviso esté prohibido por la legislación europea. Si el Cliente es un procesador,

El cliente enviará inmediatamente al responsable del tratamiento correspondiente cualquier notificación proporcionada por Google en virtud de esta sección.

3. Derechos de auditoría del cliente. Google permitirá que el Cliente o un auditor independiente designado por el Cliente realice auditorías (incluidas inspecciones) como se describe en la Sección 7.5.2(a) (Auditoría del Cliente). Durante dicha auditoría, Google pondrá a disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones bajo este Anexo y contribuirá a la auditoría como se describe en la Sección 7.5 (Revisiones y Auditorías de Cumplimiento) y esta sección.

4. Transferencias de datos.

4.1 Transferencias restringidas. Las partes reconocen que la Ley Europea de Protección de Datos no requiere SCC ni una Solución de Transferencia Alternativa para que los Datos Personales del Cliente se procesen o se transfieran a un País Adecuado. Si los Datos Personales del Cliente se transfieren a cualquier otro país y la Ley de Protección de Datos Europea se aplica a las transferencias (según lo certificado por el Cliente en la Sección 4.2 (Certificación de Clientes No EMEA) de estos términos de la Ley de Protección de Datos Europea, si su dirección de facturación está fuera de EMEA) ("Transferencias Restringidas"), entonces:

a. si Google ha adoptado una Solución de Transferencia Alternativa para cualquier Transferencia Restringida, Google informará al Cliente sobre la solución relevante y se asegurará de que dichas Transferencias Restringidas se realicen de conformidad con ella; o

b. Si Google no ha adoptado una Solución de Transferencia Alternativa para ninguna Transferencia Restringida, o informa al Cliente que Google ya no está adoptando una Solución de Transferencia Alternativa para ninguna Transferencia Restringida (sin adoptar una Solución de Transferencia Alternativa de reemplazo):

i. Si la dirección de Google está en un país adecuado:

A. las SCC (de procesador a procesador, Google Exportador) se aplicarán con respecto a dichas Transferencias Restringidas de Google a Subprocesadores; y

B. además, si la dirección de facturación del Cliente no se encuentra en un País Adecuado, se aplicarán las SCC (Procesador a Controlador) (independientemente de si el Cliente es un controlador o procesador) con respecto a dichas Transferencias Restringidas entre Google y el Cliente; o

ii. si la dirección de Google no se encuentra en un País Adecuado, se aplicarán las SCC (De Controlador a Encargado) o las SCC (De Encargado a Encargado) (según si el Cliente es controlador o encargado) con respecto a dichas Transferencias Restringidas entre Google y el Cliente.

4.2 Certificación por parte de clientes no pertenecientes a EMEA. Si la dirección de facturación del Cliente está fuera de EMEA y el procesamiento de los Datos Personales del Cliente está sujeto a la Ley Europea de Protección de Datos, entonces, a menos que el Apéndice 4 (Productos Específicos) de esta Adenda indique lo contrario, el Cliente lo certificará e identificará su Autoridad de Supervisión competente a través de la Consola de Administración para los Servicios aplicables.

4.3 Información sobre transferencias restringidas. Google proporcionará al Cliente información relevante sobre Transferencias Restringidas, Controles de Seguridad Adicionales y otras medidas de protección complementarias:

a. como se describe en la Sección 7.5.1 (Revisiones de la documentación de seguridad);

b. en cualquier ubicación adicional descrita en el Apéndice 4 (Productos específicos); y

do. en relación con la adopción por parte de Google de una Solución de Transferencia Alternativa, en https://cloud.google.com/terms/alternative-transfer-solution.

4.4 Auditorías del SCC. Si las Condiciones Generales de Contratación del Cliente se aplican según lo descrito en la Sección 4.1 (Transferencias Restringidas) de estos términos de la Ley Europea de Protección de Datos, Google permitirá al Cliente (o a un auditor independiente designado por el Cliente) realizar auditorías según lo descrito en dichas Condiciones Generales de Contratación y, durante una auditoría, poner a disposición toda la información requerida por dichas Condiciones Generales de Contratación, ambos de conformidad con la Sección 7.5.3 (Condiciones Comerciales Adicionales para Revisiones y Auditorías).

4.5 Avisos de la SCC. El cliente remitirá al responsable del tratamiento correspondiente con prontitud y sin demoras indebidas cualquier notificación que haga referencia a alguna CGC.

4.6 Terminación por riesgo de transferencia de datos. Si el Cliente concluye, en función de su uso actual o previsto de los Servicios, que no se proporcionan las garantías adecuadas para los Datos Personales del Cliente transferidos, entonces el Cliente puede rescindir de inmediato el Acuerdo aplicable de conformidad con la disposición de rescisión por conveniencia de ese Acuerdo o, si no existe tal disposición, notificando a Google.

4.7 Sin modificación de los SCC. Nada de lo dispuesto en el Acuerdo (incluido este Anexo) pretende modificar o contradecir ninguna de las Condiciones Generales de Contratación ni perjudicar los derechos o libertades fundamentales de los interesados conforme a la Ley Europea de Protección de Datos.

4.8 Precedencia de las cláusulas contractuales estándar. En caso de conflicto o inconsistencia entre las Condiciones Generales de Contratación del Cliente (que se incorporan por referencia en este Anexo) y el resto del Acuerdo (incluido este Anexo), prevalecerán las Condiciones Generales de Contratación del Cliente.

5. Requisitos para la contratación de subencargados del tratamiento. La Ley Europea de Protección de Datos exige que Google garantice mediante un contrato escrito que las obligaciones de protección de datos descritas en este Anexo, tal como se menciona en el Artículo 28(3) del RGPD, si corresponde, se impongan a cualquier Subprocesador contratado por Google.

Ley de Privacidad del Consumidor de California (CCPA)

1. Definiciones adicionales.

“CCPA” significa la Ley de Privacidad del Consumidor de California de 2018, con sus modificaciones, incluidas las modificaciones realizadas por la Ley de Derechos de Privacidad de California de 2020, junto con todas las reglamentaciones de implementación.
“Datos personales del cliente” incluye “información personal”.
Los términos “negocio”, “propósito comercial”, “consumidor”, “información personal”, “procesamiento”, “venta”, “vender”, “proveedor de servicios” y “compartir” tienen los significados que se les dan en la CCPA.

2. Prohibiciones. Sin perjuicio de las obligaciones de Google en virtud de la Sección 5.2 (Cumplimiento de las instrucciones del cliente), con respecto al procesamiento de los Datos personales del cliente de conformidad con la CCPA, Google no hará lo siguiente, a menos que la CCPA lo permita:

a. vender o compartir datos personales del cliente;

b. conservar, utilizar o divulgar los Datos Personales del Cliente:

i. que no sea para un propósito comercial bajo la CCPA en nombre del Cliente y para el propósito específico de realizar los Servicios y TSS; o

ii. fuera de la relación comercial directa entre Google y el Cliente; o

do. combinar o actualizar los Datos Personales del Cliente con información personal que Google recibe de un tercero o en nombre de un tercero o que recopila de sus propias interacciones con el consumidor.

3. Cumplimiento. Sin perjuicio de las obligaciones de Google en virtud de la Sección 5.2 (Cumplimiento de las instrucciones del cliente) o cualquier otro derecho u obligación de cualquiera de las partes en virtud del Acuerdo aplicable, Google notificará al Cliente si, en opinión de Google, Google no puede cumplir con sus obligaciones en virtud de la CCPA, a menos que dicha notificación esté prohibida por la ley aplicable.

4. Intervención del cliente. Si Google notifica al Cliente sobre cualquier uso no autorizado de sus Datos Personales, incluso en la Sección 3 (Cumplimiento) de esta subsección o la Sección 7.2.1 (Notificación de Incidentes), el Cliente podrá tomar medidas razonables y apropiadas para detener o remediar dicho uso no autorizado mediante:

a. tomar cualquier medida recomendada por Google de conformidad con la Sección 7.2.2 (Detalles del incidente de datos), si corresponde; o

b. ejercer sus derechos según la Sección 7.5.2(a) (Auditoría del Cliente) o 9.1 (Acceso; Rectificación; Procesamiento Restringido; Portabilidad).

Pavo

1. Transferencias de datos.

1.1 Si la dirección de facturación del Cliente está en Turquía y el Cliente acepta los términos adicionales puestos a disposición por separado por Google en relación con las transferencias de Datos Personales del Cliente conforme a la Ley Turca de Protección de Datos Personales N.º 6698 del 7 de abril de 2016, dichos términos complementarán este Anexo.

1.2 Si el Cliente concluye, en función de su uso actual o previsto de los Servicios, que no se proporcionan las garantías adecuadas para los Datos Personales del Cliente transferidos, entonces el Cliente puede rescindir inmediatamente el Acuerdo aplicable de conformidad con la disposición de rescisión por conveniencia de ese Acuerdo o, si no existe tal disposición, notificando a Google.

Israel

1. Definición adicional.

Ley de Protección de la Privacidad de Israel significa la Ley de Protección de la Privacidad de Israel, 1981 y cualquier reglamento promulgado en virtud de ella.

2. Términos Equivalentes. Cualquier término equivalente a “controlador”, “datos personales”, “procesamiento” y “procesador”, tal como se utilizan en este Anexo, tienen los significados que se les dan en la Ley de Protección de la Privacidad de Israel.

Apéndice 4: Productos específicos

Los términos de cada subsección de este Apéndice 4 se aplican únicamente con respecto al procesamiento de los Datos del Cliente por parte de los Servicios correspondientes.

Plataforma de Google Cloud

1. Definiciones adicionales.

"Cuenta", si no se define en el Acuerdo, significa la cuenta de Google Cloud Platform del Cliente.
“Datos del cliente”, si no se define en el Acuerdo, significa los datos proporcionados a Google por el Cliente o los Usuarios finales a través de Google Cloud Platform bajo la Cuenta, y los datos que el Cliente o los Usuarios finales derivan de esos datos mediante su uso de Google Cloud Platform.
Plataforma de Google Cloud significa los servicios de Google Cloud Platform descritos en https://cloud.google.com/terms/services, excluyendo cualquier oferta de terceros.
“Ofertas de terceros”, si no se define en el Acuerdo, significa (a) servicios, software, productos y otras ofertas de terceros que no están incorporados a Google Cloud Platform o al Software, (b) ofertas identificadas en la sección “Términos de terceros” de los Términos específicos del servicio del Acuerdo, y (c) sistemas operativos de terceros.

2. Certificaciones de cumplimiento. Las certificaciones de cumplimiento para los servicios auditados de Google Cloud Platform también incluirán certificados ISO 27017 e ISO 27018 y una certificación de cumplimiento PCI DSS.

3. Ubicaciones de los centros de datos. Las ubicaciones de los centros de datos de Google Cloud Platform se describen en https://cloud.google.com/about/locations/.

4. Información sobre los subprocesadores. Los nombres, las ubicaciones y las actividades de los subprocesadores de Google Cloud Platform se describen en https://cloud.google.com/terms/subprocessors.

5. Equipo de protección de datos en la nube. Puedes contactar con el Equipo de Protección de Datos de Google Cloud Platform en https://support.google.com/cloud/contact/dpo.

6. Información sobre Transferencias Restringidas. Información adicional relevante a Transferencias Restringidas, Controles de Seguridad Adicionales y otras medidas de protección complementarias está disponible en cloud.google.com/privacy/.

7. Términos específicos del servicio.

Solución Bare Metal (Google Cloud Platform)

La solución Bare Metal proporciona acceso no virtualizado a los recursos de infraestructura subyacente y, por diseño, tiene ciertas características distintivas.

Primeras enmiendas. Esta Adenda se modifica de la siguiente manera con respecto a la Solución Bare Metal:

La definición de “Auditor externo de Google” se sustituye por la siguiente:
Auditor externo de Google significa un auditor externo calificado e independiente designado por Google o un subprocesador de Bare Metal Solution, cuya identidad actual Google revelará al Cliente cuando lo solicite.
Se suprimen los siguientes términos:
De la Sección 7.1.1 (Medidas de seguridad de Google), la frase “cifrar datos personales”;
Del Apéndice 2 (Medidas de seguridad), las subsecciones de la Sección 1(a) tituladas “Sistemas operativos del servidor” y “Continuidad del negocio”;
Del Apéndice 2, las subsecciones de la Sección 1(b) tituladas “Superficie de ataque externa”, “Detección de intrusiones” y “Tecnologías de cifrado”; y
Del Apéndice 2, las siguientes frases del apartado 3(a):
Google almacena datos en un entorno multiinquilino en servidores propiedad de Google. Sujeto a cualquier instrucción del Cliente en sentido contrario (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente.

2. Certificaciones de cumplimiento e informes SOC. Google o su Subprocesador mantendrán al menos lo siguiente (o una alternativa equivalente o mejorada) para que Bare Metal Solution verifique la eficacia continua de las Medidas de Seguridad:

a. un certificado ISO 27001 y una Certificación de Cumplimiento PCI DSS (las “Certificaciones de Cumplimiento BMS”); y

b. Los informes SOC 1 y SOC 2 se actualizan anualmente con base en una auditoría realizada al menos una vez cada 12 meses (los “Informes SOC de BMS”).

3. Revisiones de Documentación de Seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo, Google pondrá a disposición del Cliente las Certificaciones de Cumplimiento de BMS y los Informes SOC de BMS para su revisión y, si el Cliente es un procesador, le permitirá solicitar acceso para el controlador pertinente a los Informes SOC de BMS de conformidad con la Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías).

4. Obligaciones del cliente. Sin limitar las obligaciones expresas de Google relacionadas con Bare Metal Solution, el Cliente tomará medidas razonables para proteger y mantener la seguridad de los Datos del Cliente y cualquier otro contenido almacenado o procesado a través de Bare Metal Solution.

5. Descargo de responsabilidad. Sin perjuicio de cualquier disposición en contrario contenida en el Acuerdo (incluido este Anexo), Google no es responsable de ninguno de los siguientes aspectos en relación con Bare Metal Solution:

a. seguridad no física, como controles de acceso, cifrado, firewalls, protección antivirus, detección de amenazas y escaneo de seguridad;

b. registro y seguimiento;

do. mantenimiento o soporte no relacionado con hardware;

d. copia de seguridad de datos, incluida cualquier configuración de redundancia o alta disponibilidad; o

mi. políticas o procedimientos de continuidad de negocio y recuperación ante desastres.

El cliente es el único responsable de proteger (excepto la seguridad física de los servidores de Bare Metal Solution), registrar, monitorear, mantener, brindar soporte y realizar copias de seguridad de todos los sistemas operativos, datos del cliente, software y aplicaciones que el cliente usa con, carga o aloja en Bare Metal Solution.

Google Distributed Cloud Edge (Google Cloud Platform)

Google Distributed Cloud Edge (“GDCE”) no se implementa en un centro de datos de Google y, por diseño, tiene ciertas características distintivas.

Primeras enmiendas. Esta Adenda se modifica como sigue con respecto al GDCE:

Google puede agregar estándares en cualquier momento. Google puede reemplazar una Certificación de Cumplimiento o un Informe SOC con una alternativa equivalente o mejorada.

Las referencias a “los sistemas de Google” se sustituyen por “el Equipo”.

La Sección 6.2 (Devolución o Eliminación al Finalizar el Plazo) se sustituye por lo siguiente:

6.2 Devolución o Eliminación al final del Plazo. El Cliente ordena a Google que elimine todos los Datos del Cliente restantes (incluidas las copias existentes) del Equipo al final del Plazo de conformidad con la legislación aplicable. Si el Cliente desea conservar algún Dato del Cliente una vez finalizado el Plazo, podrá exportar o hacer copias de dichos datos antes de que finalice el Plazo. Google cumplirá con las Instrucciones de esta Sección 6.2 tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la Ley Europea requiera almacenamiento, donde se aplique la Ley de Protección de Datos Europea, o la ley aplicable requiera almacenamiento, donde se aplique cualquier otra Ley de Privacidad Aplicable.

Se agregan las siguientes palabras al final de la Sección 10.1 (Instalaciones de almacenamiento y procesamiento de datos): “o donde se encuentra la Ubicación del Cliente”.

La Sección 1 (Seguridad del centro de datos y de la red) del Apéndice 2 (Medidas de seguridad) se sustituye por lo siguiente:

Se eliminan las secciones 2 (Controles de acceso y del sitio) y 3 (Datos) del Apéndice 2 (Medidas de seguridad).

Enmienda sobre el procesamiento de datos de MCS administrados por Google significa los términos en https://cloud.google.com/terms/mcs-data-processing-terms.

La definición de “Auditor externo de Google” se sustituye por la siguiente:

Auditor externo de Google significa un auditor externo calificado e independiente designado por Google o un subprocesador de NetApp Volumes, cuya identidad actual Google revelará al Cliente a pedido.

La Sección 3(a) (Almacenamiento, aislamiento y registro de datos) del Apéndice 2 (Medidas de seguridad) se reemplaza por lo siguiente:

(a) Almacenamiento, aislamiento y registro de datos. Google almacena datos en un entorno de múltiples inquilinos en servidores propiedad de NetApp, Inc. Sujeto a cualquier instrucción en contrario (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente. Google también aísla lógicamente los datos de los clientes. Al cliente se le dará control sobre políticas específicas de intercambio de datos. Estas políticas, de acuerdo con la funcionalidad de los Servicios, permitirán al Cliente determinar las configuraciones de uso compartido de productos aplicables a sus Usuarios Finales para fines específicos. El Cliente puede optar por utilizar la funcionalidad de registro que Google pone a disposición a través de los Servicios.

"Cuenta", si no se define en el Acuerdo, significa la cuenta de Google Workspace o Cloud Identity del Cliente.

“Identidad en la nube” cuando se compra bajo un Acuerdo independiente y no como parte de Google Cloud Platform o Google Workspace, significa los Servicios de identidad en la nube descritos en https://cloud.google.com/terms/identity/user-features.

“Datos del cliente”, si no se define en el Acuerdo, significa datos enviados, almacenados, enviados o recibidos por o en nombre del Cliente o sus Usuarios finales a través de Google Workspace o Cloud Identity bajo la Cuenta.

“Espacio de trabajo de Google” significa los servicios de Google Workspace o Google Workspace for Education descritos en https://workspace.google.com/terms/user_features.html, según corresponda.

El párrafo titulado “Sistemas operativos de servidor” en la Sección 1(a) del Apéndice 2 (Medidas de seguridad) se reemplaza por lo siguiente:

Sistemas operativos de servidor. Los servidores de Google utilizan una implementación basada en Linux personalizada para el entorno de la aplicación.

“Consola de administración” significa cualquier consola de administración aplicable a cada instancia.

Enmienda sobre el procesamiento de datos de MCS administrados por Google significa, si corresponde, los términos en https://cloud.google.com/terms/mcs-data-processing-terms.

Servicios multicloud gestionados por Google significa, si corresponde, servicios, productos y funciones específicos de Google que están alojados en la infraestructura de un proveedor de nube externo.

“Mirador (original)” significa una plataforma integrada (incluida la infraestructura basada en la nube, si corresponde, y los componentes de software, incluidas las API asociadas) que permite a las empresas analizar datos y definir métricas comerciales en múltiples fuentes de datos puestas a disposición por Google para el Cliente en virtud del Acuerdo. Looker (original) excluye ofertas de terceros.

Proveedor externo de servicios multinube tiene el significado que se le da en la Enmienda de procesamiento de datos de MCS administrado por Google.

“Formulario de pedido” tiene el significado que se le da en el Acuerdo, a menos que el Cliente haya comprado a través de un revendedor o mercado en línea o esté usando Looker solo para fines de prueba o evaluación bajo un acuerdo de prueba o evaluación, en cuyo caso, Formulario de pedido puede significar otra forma escrita (correo electrónico u otro medio electrónico permitido) según lo autorizado por Google.

La definición de “Dirección de correo electrónico de notificación” se sustituye por la siguiente:

“Dirección de correo electrónico de notificación” significa la(s) dirección(es) de correo electrónico designada(s) por el Cliente en el Formulario de pedido o a través de Looker (según corresponda) para recibir determinadas notificaciones de Google.

Las definiciones de “SCC (De Responsable a Encargado)”, “SCC (De Encargado a Encargado)”, “SCC (De Encargado a Encargado)” y “SCC (De Encargado a Encargado, Exportador de Google)” del Apéndice 3 (Leyes de Privacidad Específicas) se sustituyen por las siguientes:

“SCCs (del responsable al encargado del tratamiento)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-c2p;

“SCCs (Procesador a Controlador)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2c;

“SCCs (de procesador a procesador)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p; y

“SCCs (Procesador a procesador, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p-intra-group.

Se agregan las siguientes palabras al final de la Sección 10.1 (Instalaciones de almacenamiento y procesamiento de datos): “o donde cualquier proveedor externo de servicios multicloud mantenga instalaciones”.

"Cuenta", si no se define en el Acuerdo, significa la cuenta de Servicios SecOps del Cliente o de Google Cloud Platform, según corresponda.

“Datos del cliente”, si no se define en el Acuerdo, significa datos proporcionados a Google por el Cliente o los Usuarios finales a través de los Servicios SecOps bajo la Cuenta.

Servicios de operaciones de seguridad significa Chronicle SIEM, Chronicle SOAR y Mandiant Solutions, cada uno como se describe en https://cloud.google.com/terms/secops/services, excluyendo cualquier oferta de terceros. Para evitar dudas, los servicios SecOps excluyen los servicios administrados de Mandiant y los servicios de consultoría de Mandiant.

“Ofertas de terceros”, si no se define en el Acuerdo, significa (a) servicios, software, productos y otras ofertas de terceros que no están incorporados en los Servicios o Software de SecOps, y (b) sistemas operativos de terceros.

La definición de “Controles de seguridad adicionales” se sustituye por la siguiente:

“Controles de seguridad adicionales” significa recursos de seguridad, características, funcionalidades y/o controles (si los hubiera) que el Cliente puede usar a su opción y/o como lo determine, incluyendo (si los hubiera) encriptación, registro y monitoreo, administración de identidad y acceso, y escaneo de seguridad.

La definición de “Servicios Auditados” se sustituye por la siguiente:

“Servicios auditados” significa los Servicios SecOps vigentes en ese momento indicados como dentro del alcance de la certificación o informe pertinente en https://cloud.google.com/security/compliance/secops/services-in-scope. Google no podrá eliminar ningún Servicio SecOps de esta URL a menos que se haya interrumpido de conformidad con el Acuerdo aplicable.

“SCCs (del responsable al encargado del tratamiento)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-c2p

“SCCs (Procesador a Controlador)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2c

“SCCs (de procesador a procesador)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2p

“SCCs (Procesador a procesador, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2p-google-exporter

La Sección 7.4 (Certificaciones de cumplimiento e informes SOC) del Anexo se modifica para que se lea de la siguiente manera:

7.4 Certificaciones de cumplimiento e informes SOC. Google mantendrá al menos las certificaciones e informes identificados en https://cloud.google.com/security/compliance/secops/services-in-scope para que los Servicios Auditados verifiquen la eficacia continua de las Medidas de Seguridad (las “Certificaciones de Cumplimiento” y los “Informes SOC”).