NeuroCRMAnexo de Tratamiento de Datos
Este Anexo de Tratamiento de Datos («DPA») forma parte de las Condiciones del Servicio entre usted («Cliente», el responsable del tratamiento) y Empire Luxury International Corporation (DBA Neuro Empire) («NeuroCRM», el encargado del tratamiento) y rige el tratamiento de los datos personales contenidos en el Contenido del Cliente. En caso de conflicto en materia de protección de datos, este DPA prevalece sobre las Condiciones.
1. Roles y alcance
Respecto del Contenido del Cliente, el Cliente es el responsable del tratamiento (o un encargado que actúa por cuenta de sus propios clientes) y NeuroCRM es el encargado del tratamiento (o subencargado). NeuroCRM trata el Contenido del Cliente únicamente para prestar el Servicio y conforme a las instrucciones documentadas del Cliente, que comprenden las Condiciones, este DPA y el uso de las funciones del Servicio. NeuroCRM actúa como responsable independiente del tratamiento solo respecto de los datos limitados de cuenta, facturación y seguridad descritos en la Política de Privacidad.
2. Detalles del tratamiento
Objeto: la prestación del Servicio NeuroCRM. Duración: el plazo de la suscripción del Cliente más cualquier período de cese. Naturaleza y finalidad: las operaciones de alojamiento, almacenamiento y tratamiento necesarias para prestar el Servicio según lo configure el Cliente. Categorías de interesados: los contactos, clientes potenciales, clientes, personal y demás personas físicas cuyos datos introduzca el Cliente. Categorías de datos personales: las que determine el Cliente, normalmente datos de identificación y de contacto, registros comerciales y comunicaciones; el Cliente no debe introducir datos de categorías especiales salvo acuerdo por escrito.
3. Instrucciones del Cliente y cumplimiento
NeuroCRM tratará el Contenido del Cliente únicamente conforme a instrucciones documentadas, incluso para las transferencias, salvo que lo exija la legislación aplicable (en cuyo caso NeuroCRM informará al Cliente, salvo prohibición). NeuroCRM notificará al Cliente si, en su opinión, una instrucción infringe la legislación aplicable en materia de protección de datos. El Cliente es responsable de la licitud del Contenido del Cliente y de contar con todos los avisos y consentimientos exigidos.
4. Confidencialidad del personal
NeuroCRM garantiza que el personal autorizado a tratar el Contenido del Cliente está sujeto a obligaciones de confidencialidad y trata los datos únicamente según las instrucciones recibidas.
5. Medidas de seguridad
NeuroCRM implementa medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, lo que incluye el cifrado en tránsito y de los tokens de acceso en reposo, el aislamiento lógico de los inquilinos, controles de acceso y registro de actividad, resiliencia y copias de seguridad, y revisión periódica. Hay disponible un resumen previa solicitud y en la Política de Privacidad.
6. Subencargados
El Cliente otorga una autorización general para que NeuroCRM recurra a subencargados. Hay una lista actualizada en /legal/subprocessors. NeuroCRM impone a cada subencargado obligaciones de protección de datos no menos protectoras que las de este DPA y sigue siendo responsable de su actuación. NeuroCRM dará un aviso de al menos 30 días sobre cualquier subencargado nuevo o sustituto; el Cliente podrá oponerse por motivos razonables de protección de datos y, si las partes no resuelven la objeción, el Cliente podrá rescindir el Servicio afectado y obtener el reembolso de las cantidades prepagadas no utilizadas.
7. Solicitudes de los interesados y asistencia
Teniendo en cuenta la naturaleza del tratamiento, NeuroCRM asistirá al Cliente, mediante medidas apropiadas y en la medida en que sea comercialmente razonable, para responder a las solicitudes de los interesados y para cumplir sus obligaciones en materia de seguridad, notificación de violaciones, evaluaciones de impacto relativas a la protección de datos y consulta previa. Si NeuroCRM recibe una solicitud directamente de un interesado, la remitirá al Cliente y no responderá salvo que se le indique o lo exija la ley.
8. Notificación de violación de datos personales
NeuroCRM notificará al Cliente sin dilación indebida y, en cualquier caso, dentro de las 24 horas siguientes a tener conocimiento de una violación confirmada o razonablemente sospechada de los datos personales que afecte al Contenido del Cliente, y proporcionará la información disponible para ayudar al Cliente a cumplir sus obligaciones de notificación, con actualizaciones a medida que avance la investigación. Dicha notificación no constituye un reconocimiento de culpa o responsabilidad. Determinar si procede notificar a las autoridades de control o a los interesados, y realizar tales notificaciones, es responsabilidad del Cliente como responsable del tratamiento; NeuroCRM presta una cooperación razonable.
9. Transferencias internacionales
Cuando el tratamiento implique una transferencia de datos personales fuera del EEE, el Reino Unido o Suiza a un país sin decisión de adecuación, las partes incorporan las Cláusulas Contractuales Tipo de la Comisión Europea (2021/914), Módulo Dos (de responsable a encargado), completadas con la información de este DPA, junto con el UK International Data Transfer Addendum y las adaptaciones suizas según corresponda; alternativamente, NeuroCRM podrá ampararse en el EU-US Data Privacy Framework cuando esté certificado. NeuroCRM aplica medidas complementarias según proceda. En caso de conflicto, las SCC prevalecen únicamente en la medida necesaria.
10. Contorno de datos ruso (152-FZ)
Para los datos personales de personas físicas en la Federación de Rusia, NeuroCRM mantiene un contorno ruso segregado con registro y almacenamiento primarios en servidores ubicados en Rusia, de conformidad con la Ley Federal n.º 152-FZ, y trata dichos datos por encargo del Cliente al amparo del artículo 6(3) de la 152-FZ. Este contorno y su flujo de notificación de violaciones (preliminar en un plazo de 24 horas y resultados en un plazo de 72 horas a Roskomnadzor) funcionan con independencia de la cadena del GDPR. Véase la Política de Tratamiento de Datos Personales (Rusia).
11. Auditoría
NeuroCRM pondrá a disposición la información necesaria para demostrar el cumplimiento de este DPA y permitirá la realización de auditorías. Para minimizar las molestias, NeuroCRM podrá atender las solicitudes de auditoría facilitando certificaciones o informes vigentes de terceros (como ISO 27001 o SOC 2 Type II) cuando estén disponibles. Las auditorías presenciales o detalladas se limitan a una vez al año (salvo tras una violación), requieren un aviso de al menos 30 días, un alcance acordado mutuamente y confidencialidad, y se realizan en horario laboral sin interferencias irrazonables.
12. Devolución y supresión
A la terminación, según la elección que el Cliente realice dentro de los 30 días, NeuroCRM devolverá el Contenido del Cliente en un formato de uso común o lo suprimirá y, previa solicitud, certificará la supresión en un plazo razonable, salvo en la medida en que la ley exija su conservación. Las copias de seguridad rutinarias se sobrescriben en el ciclo de rotación estándar.
13. Responsabilidad y prelación
La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones y exclusiones de las Condiciones del Servicio, incluido el límite ampliado para las violaciones de protección de datos. Este DPA, incluidas las SCC en él incorporadas, prevalece sobre las disposiciones contradictorias de las Condiciones en materia de protección de datos. El DPA se rige por la ley y las disposiciones de resolución de controversias de las Condiciones aplicables al Cliente.